Kasvokkain: Mikä valvottaa tietoturvaguru Harri Hurstia öisin? "Yleisvaarallinen laite, joka voi tuhota elämäsi"

Tietoturva-asiantuntija Harri Hurstin mielestä älypuhelinten tietoturva on retuperällä. Hursti puhui tänäkin vuonna Slushissa tietoturvan uusista virtauksista.

Kuka Harri Hursti?

• 48-vuotias it-alan yrittäjä ja vaikuttaja.
• Asuu ja pyörittää yrityksiään Yhdysvalloissa vaimonsa Maggien kanssa.
• Nordic Innovation Labsin perustaja ja Zyptoniten teknologiajohtaja.
• Zyptonite kehittää viestintäpalvelua, joka ei kerää puheluiden metatietoja.
• Nordic Innovation Labs testaa yritysten tietoturvaa, siivoaa tietomurtojen jälkiä ja konsultoi tuotteiden tietoturva-asioissa.
• Paljastanut Yhdysvaltojen vaalijärjestelmän heikkouksia. Toimii teknisenä asiantuntijana USA:n presidentinvaalien uudelleenlaskennan oikeudenkäynneissä.

• ohjelmoi jo 9-vuotiaana. Tupla tai kuitti-tietovisan voitto Basic-ohjelmoinnista 15-vuotiaana.
• Sai lempinimensä Scofield Itä-Berliinistä länteen paenneen vakoilijan mukaan. Hursti oli alaikäisenä Unescon opetusprojektissa Suomen edustajana, ja kollegat antoi nimen.
• Sukua laupeudentyöstään tunnetuille Hursteille. Isänsä Veikon työtä jatkaneen Heikki Hurstin serkku.

Harri Hursti on huolissaan erityisesti matkapuhelinten tietoturvasta, koska ihmisten koko elämä on nykyään älykännykässä. Jälki on rumaa, jos rikollliset pääsevät hakkeroimaan puhelimen.

– On verkkopankit, etämaksut ja kaikki henkilökohtaiset tiedot. Myös sähköpostisi, jolla eri salasanasi nollataan, on kytketty puhelimeen. Menetät hyvin nopeasti koko elämäsi, jos menetät puhelimesi. Matkapuhelin on yleisvaarallinen laite, joka voi tuhota koko sinun elämäsi. Kun se tapahtuu sähköisesti, et edes tiedä, että olet uhri, hän sanoo.

Hurstin mukaan nimenomaan matkapuhelimiin liittyvä verkkorikollisuus ja identiteettivarkaudet kasvavat kohisten tulevaisuudessa.

– On monia tapoja varastaa sinulta rahaa. Puhelin on ihana, koska se on avain kaikkiin tapoihin lypsää sinulta rahaa, Hursti toteaa sarkastisesti.

Haastattelun aikana ehti kylmetä toinenkin kuppi kahvia, sen verran intohimolla Harri Hursti suhtautuu työhönsä.

Sähköiset palvelut on suojattu useimmiten ssl/tls-protokollalla (s http:n perässä). Tuudittautuvatko ihmiset liikaa tietoliikenteen salauksen antamaan suojaan?

– Langattomien verkkojen turvallisuus on mitä on. Kun matkapuhelin saa nettiyhteyden, se tarkastaa automaattisesti sähköpostit ja Facebook-viestit, ja tähän kättelyyn voi päästä kiinni. On monia tekniikoita, joiden avulla ssl:n tai tls:n voi poistaa yhteydestä. Luulet, että keskustelet pankin kanssa, mutta keskusteletkin rikollisen kontrolloiman laitteen kanssa, joka keskustelee pankin kanssa, Hursti kuvailee.

Hän kertoo, ettei rikollinen tarvitse enää erityisosaamista vaan tekniikan ja palvelut voi ostaa nykyään toisilta rikollisilta valmiina pakettina: haittaohjelmat räätälöidään kohteen mukaan ja maksukin hoituu kätevästi varastetulla luottokortilla.

– Rikolliset voivat tehdä sen jopa ilmaiseksi. He panevat mukaan oman haittaohjelmansa, ja sanovat, että levitä tätä pankkivarkausohjelmaa, ja meidän oma mörökölli menee siinä mukana. Se aktivoidaan vasta 90 päivän päästä eli sinä saat ensin puhdistaa pankin ja me myymme sitten jälkimarkkinoilla ne uhrit, Hursti valottaa rikollisten toimintatapoja.

Rikolliset varastavat identiteettisi ja avaavat tilejä tai tekevät vakuutuskorvaushakemuksia nimissäsi – matkapuhelimesta tai tietokoneelta anastetuilla tiedoilla kiristetään sinulta rahaa – kaapattu matkapuhelin lähettää maksullisia tekstiviestejä laskuusi.

Tietoturvaguru luettelee lukemattomia keinoja, joilla rikolliset voivat viedä uhriltaan rahaa tai käyttää hyväksi anastettuja tietoja. Osa esimerkeistä nostaa karvat pystyyn. Jos olet onnekas vain rahasi ja tietosi varastetaan.

– Motiivina voi olla vaikka kosto. Mitä jos puhelimeesi on laitettu sinun tietämättäsi lapsipornoa? Se on vahva syyte ja niin tunteellinen asia, että siinä vaiheessa ystävät katoavat ja on vaikea löytää juristia. On äärimmäisen helppoa laittaa puhelimeen lapsipornoa. Se on elämän loppu, kun sinua siitä syytetään, Hursti toteaa.

Millä tasolla sähköisten palvelujen tietoturva on mielestäsi yleensä?

– Joka kerta kun otat luottokortin lompakostasi, on mahdollista, että juuri siinä kohdassa se kopioidaan. Tavallisella ihmisellä ei ole mitään mahdollisuutta suojautua verkkorikollisia vastaan. Monesti oletetaan, että kortin kopionti on liittynyt huolimattomuuteen tai olet ollut baarissa ja pin-koodisi on katsottu. Se ei ole enää todellisuutta. Vaikka tekisit kaiken oikein, korttitietosi voidaan silti viedä, Hursti painottaa.

Tietoturvan ammattilainenkaan ei ole turvassa. Hursti paljastaa, että hänen korttitietonsa on kopioitu viisi kertaa neljän kuukauden sisään. Viimeisellä kerralla hän ehti nostaa uudella kortilla käteistä automaatista ja maksaa pihvin, kun kortin tiedot lähtivät taas rikollisten matkaan.

Ihmiset luulevat, että ongelmat ovat ohi, kun luottokortti on suljettu. Hurstin mukaan varastetut tiedot myydään useaan kertaan aina halvempaan hintaan eri rikollistahoille, jotka käyttävät niitä erityyppisiin rikoksiin. Tiedon jälleenmyynnin kerrannaisvaikutukset paljastuvat uhrille vasta puolen vuoden päästä kortin kuolettamisesta.

Hurstin kertomuksen edessä alkaa tuntea itsensä voimattomaksi.

Miten matkapuhelimen tai luottokortin käyttäjä voi sitten suojata itsensä verkossa väijyviltä rikollisilta? Onko matkapuhelimen tietoturvaohjelmasta apua?

– Jos ei ole näkemystä tietoturvasta, niin silloin on parempi ottaa puhelimeen virustorjuntaohjelmisto. Myös puhelimen vpn-tunnelointi (kahden eri järjestelmän laitteen väliin rakennettu salaus) voi auttaa vähän, mutta ei auta kaikkeen, Hursti pohtii.

– Palomuurin kehittäjä, ystäväni Bill Cheswick sanoo, että olen alastonuinnilla internetissä. Vaikka pitää olla huolellinen, niin pitää myöskin ymmärtää, että et voi tehdä kaikkea. Emme ymmärrä, miten tärkeää on rakentaa sisäisiä palomuureja elämässään, jotta asiat olisivat turvassa. Koska todennäköisesti pahoja asioita tulee tapahtumaan. Miten rajoittaa silloin tuhot?

Mahdollisten vahinkojen minimoimiseksi Hursti on esimerkiksi estänyt verkkopankin käytön harvoin käytetyiltä säästötileiltään.