Juho Heinonen, Software Engineer, Nortal Oy, November 4, 2022
Nortalin asiantuntijatiimissä ohjelmistokehittäjänä työskentelevä Juho Heinonen nauttii haasteista ja uuden oppimisesta työssään. Viimeisimpänä aluevaltauksena hän on innostunut edelleen kehittämään itseään tietoturvan ympäriltä, joka on tärkeä ja merkittävä alue IT-alalla. Tässä blogikirjoituksessa Juho kertoo kokemuksistaan HelSec-tietoturvayhdistyksen jäsenenä.
Omaa työtäni ohjelmistokehittäjänä on leimannut säännöllisesti tunne siitä, että olen kokenut halua etsiä omaa juttuani. Löytää jotain sellaista, joka oikeasti sytyttää. Arkityön ohella olenkin mielelläni opiskellut aina jotain uutta ja kehittänyt näin edelleen itseäni. Uuden oppimisen vuoksi osallistuin vuonna 2019 tietoturvaan keskittyvälle MOOC-kurssille innostuen aiheesta. Siitä asti olen pyrkinyt päätyöni ohessa perehtymään tietoturva-alaan yhä lisää. Tämän myötä päätin kollegani vinkistä liittyä myös paikalliseen HelSec-tietoturvayhdistykseen.
Kyseessä on yhdistys, joka kokoaa yhteen pääkaupunkiseudun tietoturvasta kiinnostuneita ihmisiä. Yhdistyksessä on noin 600 jäsentä, ja tärkeänä toimintamuotona ovat mm. MeetUpit, jotka tarjoavat yhdistyksen jäsenille tilaisuuden verkostoitua ja saada lisätietoa tietoturvaan liittyvistä aiheista. Korona-aikana tilaisuudet järjestettiin pääosin etänä, mutta alkusyksyn 2022 tilaisuus päästiin pitämään livenä. Myös minä päätin osallistua tapahtumaan tuolloin ensimmäistä kertaa.
HelSec-yhdistyksellä on sponsoreita, jotka tarjoavat puitteet MeetUpeille. Samalla sponsoriyritysten edustajat pääsevät pitämään tapahtumissa esityksiään. Viimeisimmässä tapahtumassa osallistujia oli noin 100, ja mielenkiintoisten puheenvuorojen lisäksi meitä osallistujia hellittiin pizzalla ja virvokkeilla.
Tarinoita tietoturvasta – huijauspuhelut ja niiden torjuminen
Tapahtumassa ensimmäisen alustuspuheenvuoron piti Elisan Jukka Pietarinen, joka on aikanaan siirtynyt maanpuolustuksesta tietoturva-alalle. Hän tähdensi, ettei tällaisten tietoturvatapaamisten tarkoituksena ole ainoastaan verkostoituminen ja tiedon saaminen, vaan alalla halutaan kollektiivisesti toivottaa uudet ihmiset tervetulleiksi. Myös hän itse oli kokenut tietoturva-alan hyvin vieraanvaraiseksi aikanaan. Vastaavanlaisen vaikutelman sain itsekin tilaisuuden ilmapiiristä.
Elisan Karri Jäkkö aloitti varsinaisen ohjelman koskien huijauspuheluita ja niiden torjumista. Korona-pandemian aikana niiden määrä on kasvanut massiivisesti, ja niihin liittyvää torjuntaa on pidetty hyvin vaikeana – ellei jopa mahdottomana.
Huijauspuhelut perustuvat usein siihen, että puhelun vastaanottajalle näkyy suomalainen puhelinnumero, vaikka puhelu tulisi todellisuudessa ulkomailta. Suomalaisen numeron näkyminen vastaanottajalle tekee puhelusta uskottavan. Puhelinnumeroiden selvittämiseen käytetään 1970-luvulla kehitettyä SS7-protokollaa, jonka tietoturvallisuus on heikko. Näin ollen Caller ID -tiedon tekninen väärentäminen ei ole lainkaan vaikeaa.
Jäkkö kuvaili Elisan ratkaisua ongelmaan: Elisa pystyy tarkistamaan puhelinnumeron olemassaolon ja sen, onko puhelin päällä ja onko se yhdistettynä kotimaiseen vai ulkomaiseen verkkoon. Tämän perusteella operaattori pystyy estämään kokonaan epäilyttävät puhelut tai yhdistämään ne ilman Caller ID:tä. Tämä näkyy puhelun vastaanottajapäässä niin, että vaikka huijauspuhelu menisikin perille, näkyy numeron kohdalla ”tuntematon numero”, mikä vähentää huomattavasti vastaanottajan luottamusta. Menetelmä on toiminut hyvin, ja huijauspuheluiden määrä onkin vähentynyt merkittävästi. Vuonna 2021 pahimmillaan jopa n. 90 % Elisan ulkomailta tulleista suomalaisia numeroita käyttävistä puheluista oli huijauksia, kun taas tällä hetkellä n. 90 % vastaavista puheluista on aitoja.
Traficomin Lauri Isotalo jatkoi aiheesta kertomalla, että huijauspuheluiden ongelma on ollut massiivinen. Esimerkiksi vuonna 2021 pelkästään ensimmäisen kvartaalin aikana soitettiin jopa miljoonia huijauspuheluita. Operaattorit ovat tehneet omia ratkaisujaan niiden torjumiseksi, mutta samalla Traficomia on pyydetty toimimaan fasilitaattorina yhteisen ratkaisun löytämiseksi ongelmaan. Tärkeää oli, että myös pienemmät operaattorit pystyvät toteuttamaan ratkaisun riittävän edullisesti. Lopputuloksena operaattorit ovat yhteistyössä laatineet teknisen ratkaisun ja regulaation ulkomailta tulevien huijauspuheluiden torjumiseksi. Ymmärtääkseni ratkaisu perustuu siihen, että ulkomailta tulevien soittojen numerot tulee lisätä rekisteriin, josta numerot tarkistetaan puheluiden välittämisen yhteydessä. Teknistä ratkaisua ollaan nyt ottamassa käyttöön vaiheittain ja se on herättänyt kiinnostusta jopa ulkomailla.
Tarinoita tietoturvasta – BEC-huijaukset ja niiden torjuminen
KRP:n Jussi Larvanto kertoi tapahtumassa online-huijauksissa esiintyneen vuonna 2021 kolmea lajia:
1) Toimitusjohtaja/BEC-huijaukset (tappiot n. 5,7 milj. euroa)
2) Rakkaushuijaukset (tappiot n. 5,7 milj. euroa)
3) Investointihuijaukset (tappiot n. 10 milj. euroa)
Erityisesti yksityisiin ihmisiin suuntautuneet huijaukset ovat olleet nöyryyttäviä ja johtaneet jopa kymmenien tuhansien eurojen tappioihin. Näin ollen myös tästä näkökulmasta huijauksia vastaan taistelu on tärkeää. Larvanto toi alustuksessaan esille, että Suomen toimenpiteet huijausten estämiseksi ovat herättäneet kiinnostusta maailmalla.
Illan toinen pääaiheena käsiteltiin Larvannon listalta Business Email Compromise – eli BEC – huijauksia, joista kertoi Niklas Särökaari Koneelta. BEC-huijauksissa on kyse siitä, että hyökkääjät yrittävät saada haltuunsa yrityksen sähköpostitilin. Tätä kautta hyökkääjät pääsevät lähettämään huijausviestejä täysin autenttisista sähköpostiosoitteista, joista ei pelkän lähetystiedon perusteella voida päätellä sitä, että viestin lähettäjä olisi väärennetty.
Menetelmistä kaapata sähköpostitili Särökaari mainitsi huijaussähköpostit, jotka kohdistetaan yritysten työntekijöille. Viestissä saattaa olla mukana liitetiedosto, joka avaa autenttisen näköisen Microsoft 365 -kirjautumissivun. Liitetiedostossa voi olla logiikkaa, joka vieläpä valitsee kirjautumissivun ulkoasun vastaanottajan sähköpostitilin mukaisesti. Esimerkiksi Koneen sähköpostiosoitteista klikattaessa kirjautumissivu näyttää uskottavalta, sillä siinä on jäljitelty Koneen varsinaista kirjautumissivun ulkoasua. Useimmat työntekijät ymmärtävät kyseessä olevan huijausviestin, mutta riittää, että yksikin lankeaa huijaukseen, jolloin hyökkääjät voivat saada talteen kirjautumistiedot. Ymmärsin, että jopa MFA:ta pystytään huijaamaan näissä tapauksissa.
Tilaisuudesta jäi kokonaisuudessaan hyvä vaikutelma. Sain oppia uutta ja pääsin näkemään, millaista väkeä tietoturva-alalla työskentelee. Väki oli monimuotoista ja sukupuolijakauma ehkä hieman tasaisempi, kuin koodarien keskuudessa yleensä. Tunsin ennestään vain yhden osallistujan ja tällä kertaa verkostoituminen jäi vähiin. Odotan kuitenkin jo innoissani seuraavaa tapahtumaa, ja muita mahdollisuuksia päästä tutustumaan HelSecin toimintaan.
Mitä tulee tietoturvaan panostamiseen IT-alan ammattilaisena; koen, että kaikki uusi oppi on ”kotiin päin”. Tietoturvaan liittyvät asiat saattavat edellyttää, että henkilö perehtyy vaativiin teknisiin asioihin, joita ei välttämättä peruskoodauksessa tule ajateltua – kuten kuinka DNS toimii, kuinka web-sovelluksen voi suojata sql-injektiohyökkäyksiltä, tai kuinka konekielelle käännettyä ohjelmaa voi debugata.
Oma kokemukseni tietoturva-alasta on, että vaikka alasta ei välttämättä paljoakaan tiedä etukäteen, voi luvassa olla runsaasti myönteisiä oppimiskokemuksia ja ketterää edistymistä vähemmälläkin opiskelulla. Ala tarjoaa myös mahdollisuuksia harjoitella taitojaan erilaisissa CTF-haasteissa, joissa pitää esimerkiksi kyetä murtautumaan haastetta varten rakennettuun webbisovellukseen ja pyrkiä ratkaisemaan sinne rakennetut haasteet.
Oma lämmin suositukseni on, että tietoturvaan perehtyminen todella kannattaa: mitään ei menetä, mutta paljon uutta mielenkiintoista voi oppia!