Jaanus Kääp, turvaekspert ja eetiline häkker

(Turva)vigadeta tarkvara ei ole olemas!

2019. aasta märtsis sai 19-aastane argentiinlane Santiago Lopez tuntuks, kui maailma esimene aastas üle miljoni USA dollari teeniv bug bounty häkker. Santiago on üks näide sellest, kuidas eetilise häkkimisega on võimalik enesele üsna korralik sissetulek kindlustada. Temataolisi häkkereid on maailmas palju ja tavapärasemate tippude keskmine igakuine teenistus on 25 000 euro ringis. Need summad tekitavad kahtlemata küsimusi, nagu näiteks, et kuskohast see raha tuleb? Või kas lihtsam ei oleks häkkereid vangi panna, kui et neile maksta? Pöördusin nende küsimustega Jaanus Kääpi poole, kes seda maailma päris hästi tunneb.

Jaanus tõi välja väga lihtsa tõe: vigadeta tarkvara on praktikas võimatu luua. Mida suurem ja keerulisem on tarkvaralahendus, seda kindlamini võid sellest leida erinevaid vigu. Osa neist vigadest avaldub kindlates olukordades, teised vajavad kahju tekitamiseks pahatahtliku inimese sekkumist. Kui väga suur osa tarkvaravigadest on eelkõige lihtsalt tüütud, siis mõned võivad ründajale võimaldada ligipääsu konfidentsiaalsetele andmetele, piiratud funktsionaalsustele või isegi ründajale sobivate käskude käivitamist sihtmärgiks võetud süsteemis. Ettevõtted kaasavad bug bounty programmide abil selliste turvavigade leidmiseks nn eetilisi häkkereid, kelle jaoks on olulised vea leidmise väljakutse ise ja eks muidugi sissetulek ka. Üsna mitmete häkkerite jaoks on rahaline preemia oluline motivaator selle eetilise tee valikul, sest (üllatus-üllatus) pahavara-lahendusi on võimalik täiesti legaalselt müüa sellele keskendunud firmadele, nagu näiteks Zerodium. Kuna taolised pahavaralahendusi koguvad ärid sihivad eelkõige suuri infotehnoloogia-gigante, siis pole üllatav, et oma bug bounty programme edendavad näiteks Google, Facebook, Adobe, Apple, Microsoft ja et sõltuvalt vea liigist võib tasu ulatuda miljoni dollarini. Jaanus tuletab siinkohal meelde, et keerulisi vigu on raske ilma eelteadmisteta üles leida, äärmiselt kasulik oleks siiski eelnev tarkvaraarendaja kogemus. Kuid lihtsamaid vigu, mis avalduvad veebikeskkondade töös ja mis on ikkagi üsna heldelt tasustatud (tuhanded dollarid) on võimalik otsida ka neil, kellel kogemused nimetatud valdkonnas nõrgemad on. Siin võib alustada näiteks Facebooki keskkonnaga, kus vigade otsijate elu kergendamiseks on loodud mitmeid toetavaid võimalusi (näiteks testkasutajate loomine). Samuti on kasulik visata pilk peale hackerone taolistele keskkondadele, mille kaudu on võimalik leida teisi testimist vajavaid keskkondi.

Peale bug bounty programmide kasutavad ettevõtted oma tarkvaralahenduste järeleproovimiseks turvaekspertide otsest abi, palgates turvatesti läbiviiva meeskonna. Sisuliselt teeb palgatud meeskond täpselt seda, mida häkkerid teeksid: proovib üles leida juba olemasoleva tarkvara puudused ning nende kaudu süsteemi sisse murda. Nii sellise testi kui igapäevase olukorra raames peavad süsteemi kaitsvad inimesed teadma võimalike ründemeetodeid ja ründajate metoodikaid – see pole olukord, kus kaitsele piisab üksnes kaitseks vajalikest oskustest ja teadmistest. Jaanus lisab siinkohal, et täielikku sissemurdmiskindlust on tarkvaralahendustes sõna otseses mõttes võimatu tagada. Järelikult peab paigas olemas tegevusplaan hetkeks, mil häkkerid on nii-öelda panka juba sisse murdnud. Eksisteerima peab aktiivne monitooring, mis leiab sissetungijad üles ning vastutavatel inimestel peavad olema teadmised välisest kaitsest mööda pääsenud ründajate tuvastamiseks ja peatamiseks. Suuremat sorti ettevõtted on selleks loonud operatiivüksuse, mis ühest küljest pidevalt jälgib toimuvat, teisalt on selle töötajad valmis kiirelt sekkuma ja intensiivselt tegelema ohu kõrvaldamisega niikaua, kuni oht on möödas. Sisuliselt tähendab see valmisolekut 20-tunnisteks tööpäevadeks, mil und napib ja söömisele väga aega kulutada ei saa. 

Jaanus Mojave kõrbe Surmaoru soolaväljadel
Jaanus Mojave kõrbe Surmaoru soolaväljadel

Mul oli vahepeal tekkinud palju küsimusi: näiteks, mis viis Jaanuse eetilise häkkimisega kokku? Või kellele see valdkond veel sobib ning millest tuleks alustada? Jaanus tõi uuesti välja, et tarkvaravigade leidmiseks on hea teada üht-teist tarkvara arendamisest. Ta ise alustas iseõppijana ning töötas juba mõnda aega arendajana ja seejärel turvaspetsialistina, kuid oskuste ühtlustamiseks läbis seejärel IT Kolledži tarkvaraarendaja bakalauruseõppe (ning missuguste tulemustega – parim rakenduskõrgkooli lõputöö ja ETAg üliõpilaste teadustööde riikliku konkursi 1. preemia laureaat!) ning hetkel on magistriõpinguil TalTechis. Teisalt, kui inimesel on alusteadmised tarkvaraarendusest juba olemas ning aktiivne huvi infoturbe vastu, siis võib kaaluda kandideerimist mõnda turvalahenduse firmasse. Valdkond areneb kiirelt, inimesi on puudu ning senisest töökogemusest olulisem on valmidus ning tõsine huvi turvavaldkonnaga tegeleda, kinnitas Jaanus ja loetles mõned üldised omadused, mis võiksid turvaeksperdil olla. Kasuks tuleb loogiline ning loov mõtlemine, keskendumisvõime ja olenevalt täpsemast spetsialiseerumisest ka stressitaluvus. Keerulised süsteemid võiks meeldida ja nendega seonduvate probleemide lahendamisel tuleb olla püsiv. Võib-olla kõige raskem selle ameti juures ei ole mitte ainult vajadus pidevalt juurde õppida, vaid võime tulla toime vähemalt osaliselt lahendamatute olukordadega, sest nagu eespool tõdetud, tarkvara ei ole kunagi vigadest vaba. Seega, kui sulle meeldivad võimatud ülesanded ning talud pikka pusimist, siis miks mitte proovida esmalt kätt vabakutselise (eetilise!) häkkerina bug bounty puslesid lahendades või õppida turvaeksperdiks, kes aitab turvalisemat maailma luua.

Tekst: Jaanus Leoste

Fotod: Jaanus Leoste, Jaanus Kääp