Tietoturva Nyt!
Tuore valkohattu, Toni Ruhanen, löysi tietoturvaongelmia muutamasta julkisesta palvelusta alkuvuonna 2019. Hän ilmoitti haavoittuvuuksista asianosaisille, mutta koska ei saanut vastausta ilmoitukseensa, päätyi etsimään apua muualta. Ilmoitus päätyi lopulta meille Kyberturvallisuuskeskukseen, josta Tonin löydökset saatiin palveluista vastaavien tietoon, ja niitä käsitellään parhaillaan.
Otimme yhteyttä Toniin kiittääksemme tätä hyvästä työstä. Halusimme myös tietää, millaisia olivat nuoren miehen valkohattutunnelmat.
Kysymyksiä ja vastauksia valkohattuilusta
Terve Toni! Mitä ajattelit, kun et saanut vastauksia ensimmäisiin haavoittuvuusilmoituksiisi?
Lievää pettymystä, kun kuitenkin kohtalaisen suuret yritykset kyseessä.
Mikä sai sinut viemään tapausta eteenpäin?
Ajattelin, että jos sen joku mustahattuhakkeri löytää, niin kyseinen yritys saattaa joutua siitä jonkinlaisiin ongelmiin.
Miten ja mistä löysit yhteystiedot, joihin lopulta ilmoitit havaintosi?
Googlettelin eri viranomaistahoja, mitkä voisi asian ottaa hoidettavaksi. LVM tuli tuloksissa vastaan, joten ajattelin kokeilla onneani sitä kautta. Kannatti, kun asia lähti selviämään.
Jos nyt laatisit ensimmäistä haavoittuvuusilmoitusta, mitä tekisit toisin?
Olisin varmaan kirjoitellut vähän yksityiskohtaisemman raportin. Mulla ei kuitenkaan mitään ammattipätevyyttä hommaan vielä ole eikä liiemmin kokemusta hyvien raporttien kirjoittamisesta. Olisi silläkin saanut säästettyä jonkun verran selittelyä.
Minkälainen kokemus sinulle jäi vastuullisesta haavoittuvuuksien ilmoittamisesta?
Mulla jäi tästä aika hyvä fiilis, kun oon kuitenkin aika päättäväinen. Jos jotain aloitan, niin sen myös pusken loppuun.
Mitä mieltä olet bug bounty -ohjelmista?
Oon osallistunut muutamaan Bug Bounty -kampanjaan ja mun mielestä ne on aika hyviä tapoja saada alan harrastajia testaamaan tietoturvaa, kun kuitenkin on mahdollisuus saada pieni palkkio löydöstään.
Mitä haluaisit muuttaa haavoittuvuuksien ilmoittamisessa?
Kovin moni ei ainakaan oman kokemuksen perusteella tunnu ottavan näitä kovin tosissaan. Monesti näitä löytöjä on vaan kuitattu ohi mennen eikä kuitenkaan korjattu. Tässä olis monessa firmassa parantamisen varaa.
Kiitos Toni ja muut valkohatut! Teette tärkeää työtä.
Ilmoita meille tietoturvahaavoittuvuudesta
Lue myös muut Valkohattuhakkerit-sarjan jutut:
Kun valkohatut ja yritykset löytävät toisensa helpommin, myös haavoittuvuudet saadaan korjattua nopeammin.
Vinkkejä valkohatuille parempaan ja helpompaan yhteistyöhön
Tietoturvaongelmista ilmoittavaa valkohattuhakkeria ei tarvitse säikähtää. Lue vinkkimme sujuvaan yhteistyöhön ja jatkotoimiin.
"Palveluistanne löytyi tietoturva-aukko"
Bug bounty -ohjelma on helppo tapa saada keskitetysti tietoa omien järjestelmien ja palveluiden mahdollisista tietoturvapuutteista. Yritykselle ohjelma voi antaa mahdollisuuden todelliseen avoimuuteen ja suunnannäyttäjän asemaan.
Bug Bounty -ohjelmien avulla tietoturvaongelmat voi kääntää PR-voitoiksi
Riskienhallinnan perusperiaatteiden ymmärtäminen on tärkeää yrityksille ja hyödyllistä myös valkohatuille.
Riskienhallinnan (hyvin) lyhyt oppimäärä