Erilaiset tietomurrot ja kyberturvallisuuden ongelmat ovat jatkuvasti tapetilla mediassa. Elämän siirtyessä yhä enemmän verkon syöväreihin, myös verkossa ilmenevien ongelmien määrä kasvaa. Yksi näistä ongelmista on hakkerointi. Yleisesti ottaen hakkeroinnilla tarkoitetaan tietojärjestelmiin murtautumista.
Mutta onko kaikki hakkerointi pahasta? Hakkeroinnilla voidaan saada paljon vahinkoa aikaan. Se voi kohdistua niin yksilöön, yritykseen kuin esimerkiksi valtioon. Yksi tunnetuimmista esimerkeistä Suomessa on Vastaamon tietomurto, joka aiheutti laajaa kärsimystä monella tasolla.
Hakkerointi on myös hyvästä. Sen avulla tehdään "maailmaa parantavaa" aktivismia. Sitäkin tärkeämpää se on kyberhyökkäysten ehkäisemiseen. Jos järjestelmien heikkouksia ei tunneta, on niiden hakkerointia hankala estää. Hakkerointia käytetään siis myös suojaamaan omia järjestelmiä.
Olet ehkä kuullut jo aikaisemmin mustahattuhakkereista ja valkohattuhakkereista. Hakkerit voidaan jaotella heidän motiiviensa - ja joskus myös osaamisensa - perusteella. Hakkereiden ryhmiä ovat muun muassa:
- Mustahattuhakkerit, jotka tunnetaan epäeettisinä ja pahantahtoisina hakkereina.
- Valkohattuhakkerit, jotka tunnetaan eettisinä ja hyväntahtoisina hakkereina.
- Harmaahattuhakkerit, jotka jäävät jonnekin musta- ja valkohattuhakkereiden välimaastoon.
- Punahattuhakkerit, jotka tunnetaan myös hakkereiden Robin Hoodeina.
- Sinihattuhakkerit, jotka toimivat organisaatioiden omaan laskuun ja järjestelmien hyväksi.
- Viherhattuhakkerit, jotka ovat aloittelevia kyberturvallisuudesta kiinnostuneita hakkereita.
Tässä artikkelissa käymme läpi miksi hakkerit tekevät sitä mitä tekevät. Kuten ylläolevasta listasta voi päätellä, ei ole olemassa vain yhtä syytä hakkerointiin. Eikä kyseessä läpeensä mätä konsepti vaan yksi kyberturvallisuuden peruspilareista.
Taloudellista hyötyä hakemassa
Yksi yleisimmistä motiiveista hakkeroinnin takana on taloudellinen. Hakkeroinnilla voi kasvattaa lompakkoa laittomin keinoin, ja monet hakkerit näkevät kiinnijäämisen riskin pienenä. Yksi taloudellista hyötyä havitteleva hakkerointitapa on kiristysohjelman käyttäminen.
Kiristyshaittaohjelma voi esimerkiksi lukita käyttäjänsä laitteen kokonaan, ja laitteen vapauttamista vastaan hakkeri vaatii maksua. Yleensä kohteena on kuitenkin isommat organisaatiot, joilla hakkeri olettaa olevan varaa maksaa vaatimusten mukaisesti.
Kiristysohjelma usein päätyy organisaation riesaksi kalasteluviestiin haksahtaneen tai epämääräistä linkkiä klikanneen työntekijän toiminnan kautta. Siksi organisaatiot myös panostavat kyberturvallisuuden koulutukseen, sillä kiristysohjelmista koituu todellista haittaa.
Kiritysohjelmilla on hetkellisesti kaadettu jopa Yhdistyneen kuningaskunnan julkisen puolen terveydenhuoltojärjestelmä. Myös yksilöihin kohdistetaan kiristysohjelmia, mutta ne harvoin tuottavat suurta taloudellista etua hakkerille itselleen.
Kiristyksen uhriksi voi joutua ilman haittaohjelmaakin. Esimerkiksi Vastaamon tapauksessa varastettiin yksilöiden arkaluontoisia tietoja yrityksen tietoturvan puutteita hyödyntämällä. Ja lopulta varastettujen tietojen uhrit joutuivat kiristysten kohteeksi.
Hakkeri voi tienata myös myymällä varastamiaan tietoja. Onkin jäänyt kysymysmerkiksi oliko Vastaamon tapauksessa alkuperäinen tietomurron tekijä sama henkilö, joka kiristi arkaluontoisten tietojen uhreja. Monet hakkerit käyttävät myös identiteettivarkautta taloudellisen hyödyn saamiseksi.
Identiteettivarkauden avulla voidaan esimerkiksi avata pankkitilejä, hakea luottokortteja tai ottaa lainaa jonkun toisen nimissä. Toisena henkilönä esiintymisenä verkossa voi hakea myös muuta etua ja tehdä kiusaa identiteettivarkauden uhrille.
Valta ja vaikuttaminen
Hakkerointia käytetään myös oman valta-aseman parantamiseksi. Sillä voidaan tehdä negatiivista vaikuttamista esimerkiksi toisen yrityksen toimintaan. Näihin ei liity aina suoranaista taloudellisen hyödyn havittelua joskin usein hakkeroinnilla on useita samanaikaisia tarkoitusperiä.
Yritysvakoilua tapahtuu useammin kuin uskotkaan, ja useilla eri tavoilla. SQL-injektio (SQL = Structured Query Language) on yleinen menetelmä yritysvakoilussa. Siinä hakkerit lisäävät haittakoodia tietokantoihin, joista löytyy haavoittuvuuksia, ja näin he pääsevät käsiksi arkaluontoisiin tietoihin.
Brute force -hyökkäys on yksi vanhimpia ja yksinkertaisimpia hakkerointimenetelmiä. Menetelmän avulla automatisoidaan salasanojen ja käyttäjätunnusten "arvaamista", kunnes oikeilla tunnuksilla päästään järjestelmään sisään. Brute force -menetelmä on puhuttanut esim. koulujen Wilma-järjestelmän tietoturvan osalta.
Muitakin tapoja löytyy, kuten esimerkiksi englannin kielisellä termillä tunnettu cross-site scripting (XSS). Yksi kyberturvallisuuden haasteista onkin se, että hakkerit ovat usein ulkomailla ja kansainvälisten verkossa tapahtuvien rikosten selvittäminen on vaikea.
Yritysvakoilun lisäksi poliittinen vakoilu on melkeinpä arkipäivää. Niin pahalta kuin se kuulostaakin, esimerkiksi valtioiden välistä vakoilua on ollut aina. Se on vain siirtynyt etenevissä määrin verkon puolelle. Valtiot ympäri maailman palkkaavat hakkereita avukseen poliittiseen vakoiluun.
Siinä missä taloudellista hyötyä tavoittelevat ovat yleensä mustahattuhakkereita, asettuvat useimmat poliittista ja yritysvakoilua tekevät hakkerit harmaahattuhakkereiden joukkoon. Poliittiseen vakoiluun liittyviä hakkerointeja kutsutaan mediassa kyberhyökkäyksiksi.
Vahingon aiheuttaminen
Jotkut hakkerit eivät tavoittele taloudellista hyötyä tai hae vaikutusvaltaa. Joskus he yksinkertaisesti sanottuna vain haluavat sotkea asioita. Joskus tarkoituksena on puhtaasti vain aiheuttaa harmia, vahinkoa tai yleistä paniikkia ilman sen kummempaa syytä.
Lienee selvää, että turhanpäiväinen, ajoittain mittavaa vahinkoa aiheuttava hakkerointi, on mustahattuhakkereiden pahantahtoista toimintaa. Joskus hakkerointia tehdään täysin henkilökohtaisista syistä esimerkiksi kostamismielessä.
Olemme varmasti kaikki kuulleet tapauksia arkaluontoisten kuvien levittämisestä, sosiaalisen median tilien kaappaamisesta ja muusta ilkeästä vahingonteosta. Voimme kysyä, mitä hakkeri kokee saavuttavansa tällaisesta kiusanteosta?
Vastaus kysymykseen löytyy kuitenkin todennäköisemmin psykologian kuin koodauksen puolelta. Varmaa on kuitenkin, että mustahattuhakkerit ajattelevat ennen kaikkea itseään eivätkä välitä muille ihmisille aiheuttamastaan kärsimyksestä.
Aktivismia hakkeroinnilla
Aktivismia hakkeroinnilla eli haktivismia kutsutaan virallisemmin myös kyberaktivismiksi. Sen tarkoituksena on edistää yhteiskunnallisesti tai muuten tärkeiksi koettuja asioita. Useimmiten haktivismia pidetään hyvänä ja positiivisena asiana.
Ei ole kuitenkaan ensimmäinen kerta, kun missä tahansa aktivismissa tarkoitus on pyhittänyt keinot. Myös haktivismi kohtaa kritiikkiä, joka on paikoin täysin ansaittua. Lähtökohtaisesti kyberaktivismin tarkoitusperät ovat hyviä, vaikka toimittaisiin lain toisella puolella.
Monia haktivisteja pidetään perinteisesti punahattuhakkereina. He toimivat yleensä ryhmänä, joka ajaa joko uskonnollisia, poliittisia, ympäristöllisiä, sosiaalisia tai muita yhteiskunnallisia aatteita. He voivat myös tehdä vastatoimia mustahattuhakkereita vastaan.
Haktivismia pidetään lähimpänä eettisen hakkereiden toimintaa. Sitä tapahtuu myös Suomessa. Esimerkiksi yhteiskunnallisten isojen asioiden äärellä, kuten Natoon liittymisen yhteydessä, kyberaktivismi nousee esille isommin.
Järjestelmien kehittäminen
Vaikka hakkerointi jo sanana on omiaan aiheuttamaan negatiivisia mielikuvia, on tärkeää muistaa sen olevan osa kyberturvallisuuden kehittämistä. Osaaville sinihattuhakkereille on kysyntää. Heidän tehtävänsä on hakkeroida yrityksen omia järjestelmiä etsiäkseen haavoittuvuuksia.
Sinihattuhakkereiden työ on täysin laillista ja siitä maksetaan palkkaa. Kaikki hakkerointi ei siis ole anonyymina tehtyä rikollista toimintaa. Sinihattuhakkereiden ansiosta järjestelmien tietoturvan kestävyyttä päästään testaamaan ja kehittämään. Sen avulla suurta osaa pahantahtoisia kyberhyökkäyksiä ei pääse parhaimmassa tapauksessa ikinä tapahtumaan.
Mainitsimme alussa myös viherhattuhakkerit, joka on yksi uusimmista lisäyksistä hakkereiden hattuvärien skaalaan. Usein heihin viitataan englannin kielisellä termillä green hat hackers, joka tarkoittaa aloittelevia hakkereita.
Viherhattuhakkerit osallistuvat muun muassa hackathoneihin. Hackathon on tapahtuma, johon kerääntyy hakkereita ratkaisemaan hakkerointiin liittyvää haastetta. Se voi olla esimerkiksi jonkin yrityksen järjestämä haaste, jossa pyritään hakkeroitumaan sisään järjestelmään. Tai täysin fiktiivinen tehtävä.
Viherhattuhakkereista toivon mukaan kehittyy tulevaisuuden sinihattuhakkereita, jotka auttavat yrityksiä pitämään tietoturvan ajan tasalla ja järjestelmät hyvässä turvassa. Alalla on kysyntää ja osalle hakkerointi on vain harrastus koodaamisen parissa.
Jos koodaaminen kiinnostaa ja haluaisit oppia lisää, ovat koodauksen opettajat apunasi. Oli kyse sitten harrastuksesta tai tulevaisuuden haaveammatista, on koodaamisen parissa paljon opittavaa. Superprofista löydät alan ammattilaisia, jotka auttavat mielellään eri koodikielien opiskelussa.
Piditkö tästä artikkelista? Jätä arvostelu!
Ladataan...
