Mitä hakkerointi on?
Tietokoneiden hakkerointi on järjestelmien ja verkkojen haavoittuvuuksien etsimistä ja hyödyntämistä, jolla tavoitellaan luvatonta pääsyä järjestelmiin. Kaikki hakkerointi ei ole haitallista. Valkohattuhakkerit saattavat toimia esimerkiksi kyberturvallisuuden tai ohjelmistotekniikan ja -testauksen tehtävissä. He pyrkivät paikantamaan haavoittuvuuksia, jotta niitä voitaisiin korjata. Mustahattuhakkerit puolestaan toimivat vahingontekotarkoituksessa. Laaja joukko poliittisia aktivisteja ja hakkereita toimii kuitenkin myös harmaalla alueella ja tunnustaa molempia värejä.
Hakkeroinnista koituu yrityksille ja kuluttajille joka vuosi biljoonaluokan kustannukset. CPO Magazine -lehden mukaan kyberhyökkäyksistä koitui vuonna 2021 yrityksille kuuden biljoonan dollarin tappiot. Vielä vuonna 2019 luku oli kaksi biljoonaa. Kyberrikollisuuden ongelma kumpuaa suurelta osin niistä Internetin ominaisuuksista, joista me kaikki myös hyödymme. Jo aloitteleva hakkeri löytää verkosta helposti kaikki tarvitsemansa työkalut – käytännössä ilmaiseksi.
Hakkerit eivät kuitenkaan ilmaantuneet tyhjästä tai yhtäkkiä. Sittemmin mainetta niittäneet hakkerit etsivät kymmeniä vuosia kriittisiä haavoittuvuuksia ja paljastivat strategioita, joiden pohjalle Internet ja siellä rehottava libertarismi rakentuvat. Tässä katsaus kymmeneen kaikkien aikojen tunnetuimpaan hakkeriin.
1. Kevin Mitnick
Kevin Mitnick on hakkeroinnin keskeinen nimi Yhdysvalloissa. Jo teini-iässä aloittanut Mitnick sai vuonna 1981 syytteet tietokoneoppaiden varastamisesta Pacific Bell -yhtiöltä. Vuonna 1982 hän murtautui Pohjois-Amerikan ilmapuolustuksen komentokeskus NORADin järjestelmiin, ja näiden tapahtumien pohjalta on tehty vuoden 1983 elokuva Sotaleikit. Vuonna 1989 hän murtautui Digital Equipment Corporationin (DEC) verkkoon ja kopioi heidän ohjelmistonsa. DEC oli aikana johtava tietokonevalmistaja, joten tietomurto toi Mitnickille mainetta. Sittemmin hänet pidätetiin, tuomittiin ja passitettiin vankilaan. Ehdolliseen päästyään hän murtautui Pacific Bellin vastaajajärjestelmiin.
Mitnick ei missään hakkerinuransa vaiheessa käyttänyt väärin hankkimiaan pääsyjä ja tietoja. Yleisesti uskotaan, että hän kaappasi Pacific Bellin verkon vain todistaakseen, että se on mahdollista. Mitnickistä annettiin pidätysmääräys Pacific Bell -tapauksen vuoksi, mutta hän pakeni ja piileskeli viranomaisia yli kaksi vuotta. Kiinni jäätyään hän suoritti vankilatuomiota useista eri tietokone- ja tietoverkkorikoksista.
Vaikka Mitnick siirtyi lopulta valkohattuhakkeriksi, hänen voidaan katsoa kuuluvan harmaalle alueella, sillä hän on toiminut molemmilla puolilla. Wired-lehden vuoden 2014 artikkelin mukaan hän lanseerasi ”Mitnick’s Absolute Zero Day Exploit Exchange” -palvelun, jossa myytiin kriittisiä, paikkaamattomia ohjelmistohaavoittuvuuksia eniten tarjoavalle.
2. Anonymous
Anonymous juontaa juurensa vuoteen 2003 ja 4chan-keskustelupalstan nimettömälle foorumille. Ryhmä ei ollut juurikaan organisoitunut ja omistautui löyhästi sosiaalisen oikeudenmukaisuuden käsitteelle. Esimerkiksi vuonna 2008 ryhmä otti kantaa skientologiakirkon toimintaan. Se ryhtyi kaatamaan kirkon verkkosivustoja, jolloin sen sijoittuminen Googlen hakutuloksissa heikkeni. Ryhmä myös vyörytti kokomustaa kuvaa kirkon fakseihin. Maaliskuussa 2008 niin kutsuttu Anons-ryhmä marssi skientologikeskusten ohi eri puolilla maailmaa. Marssijat olivat sonnustautuneet sittemmin kuuluiksi tulleisiin Guy Fawkes -naamioihin. The New Yorkerin mukaan varsinaisen hierarkian puuttuminen tekee Anonymous-ryhmään kuuluvien henkilöllisyyden selvittämisestä ja ryhmän lakkauttamisesta lähes mahdotonta, vaikka FBI ja muut lainvalvontaviranomaiset ovatkin onnistuneet jäljittämään joitakin ryhmän näkyvimpiä jäseniä.
3. Adrian Lamo
Vuonna 2001 tuolloin 20-vuotias Adrian Lamo hyödynsi Yahoon suojaamatonta sisällönhallintatyökalua ja onnistui muokkaamaan Reutersin artikkelia. Hän lisäsi siihen valesitaatin oikeusministeri John Ashcroftilta. Lamolla oli tapana murtautua järjestelmiin ja ilmoittaa siitä sitten sekä lehdistölle että uhreille. Joissakin tilanteissa hän auttoi jälkien siivoamisessa ja tietoturvan parantamisessa. Lamo meni kuitenkin vuonna 2002 liian pitkälle, kuten Wiredin artikkelissa kirjoitetaan. Hän murtautui The New York Timesin sisäverkkoon, lisäsi itsensä asiantuntijalähteiden listalle ja ryhtyi selvittämään näkyvässä asemassa olevien julkisten henkilöiden taustoja. Lamoa kutsuttiin kodittomaksi hakkeriksi, koska hänellä oli tapana kuljeksia kaduilla rinkka selässä ilman virallista kotiosoitetta.
4. Albert Gonzalez
New York Daily Newsin mukaan Gonzalez, niin kutsuttu soupnazi, oli alkujaan ”tietokonenörttien levoton laumanjohtaja” miamilaisessa yläkoulussa. Hän aktivoitui ennen pitkää rikollisella Shadowcrew.com-kaupankäyntialustalla, ja häntä pidettiin yhtenä sen parhaista hakkereista ja moderaattoreista. Gonzalez pidätettiin 22-vuotiaana New Yorkissa pankkikorttipetoksesta, joka liittyi miljoonien korttitilien tietojen varastamiseen. Vankilan välttääkseen hän ryhtyi Yhdysvaltain salaisen palvelun ilmiantajaksi ja auttoi saattamaan kymmenet Shadowcrew-jäsenet edesvastuuseen.
Gonzalez jatkoi rikollisia toimiaan ollessaan salaisen palvelun palkkalistoilla. Yhdessä rikoskumppaneidensa kanssa Gonzalez varasti yli 180 miljoonan maksukorttitilin tiedot muun muassa OfficeMax-, Dave & Buster’s- ja Boston Market -yhtiöiltä. The New York Times Magazinen artikkelin mukaan Gonzalezin yhdysvaltalaiseen vähittäiskaupan toimijaan TJX:ään kohdistunut vuoden 2005 hyökkäys oli luottokorttitietojen sarjamurtona ensimmäinen laatuaan. Tämä pahamaineinen hakkeri tiimeineen rakensi tavanomaista SQL-injektiota hyödyntäen backdoor-pääsyn monien yritystoimijoiden verkkoihin ja varasti pelkästään TJX-yhtiöltä arviolta 256 miljoonaa dollaria. Vuonna 2015 liittovaltion syyttäjä kuvaili tuomionluvussa Gonzalezin uhreille aiheuttamia seuraamuksia mittaluokassaan ”ennennäkemättömiksi”.
5. Matthew Bevan ja Richard Pryce
Matthew Bevan ja Richard Pryce ovat brittiläinen hakkerikaksikko, joka murtautui useiden sotilaallisten toimijoiden verkkoihin vuonna 1996. Joukossa olivat muun muassa Yhdysvaltain ilmavoimien tukikohta Griffiss Air Force Base, Yhdysvaltain Defense Information System Agency -viranomainen ja Korean atomienergian tutkimuslaitos (KAERI). Bevania (Kuji) ja Prycea (Datastream Cowboy) on syytetty siitä, että he saivat lähes aikaan kolmannen maailmansodan dumppaamalla KEARI:n tutkimustietokantojen sisällön amerikkalaisen sotilaallisen toimijan järjestelmiin. Bevan yritti omien sanojensa mukaan todistaa ufoja koskevaa salaliittoteoriaa, ja BBC:n mukaan tapauksessa on samoja piirteitä kuin Gary McKinnonin tapauksessa. Olivat heidän aikeensa pahoja tai eivät, Bevanin and Prycen toimien seurauksena herättiin kuitenkin siihen, että myös sotilaallisten tahojen verkot ovat haavoittuvia.
6. Jeanson James Ancheta
Jeanson James Ancheta ei ollut lainkaan kiinnostunut luottokorttitietojen anastamisesta järjestelmämurroilla tai verkkojen kaatamisesta sosiaalisen oikeudenmukaisuuden nimissä. Sen sijaan hän oli kiinnostunut boteista, itsenäisesti toimivista tietokoneohjelmista, jotka voivat tarttua tietokonejärjestelmiin ja ennen pitkää ottaa niitä hallintaansa. Vuonna 2005 hän onnistui murtamaan yli 400 000 tietokoneen suojauksen ison mittakaavan bottinettien avulla. Ars Technican mukaan hän vuokrasi näitä koneita eteenpäin mainostoimistoille ja asensi myös botteja tai mainosohjelmia erinäisiin järjestelmiin maksua vastaan. Ancheta sai 57 kuukauden vankilatuomion. Kyseessä oli ensimmäinen bottiteknologian käyttämisestä langetettu tuomio.
7. Michael Calce
Helmikuussa 2000 tuolloin 15-vuotias Michael Calce eli ”Mafiaboy” onnistui saamaan yliopistotietokoneiden muodostaman verkon hallintaansa. Hän valjasti niiden yhdistetyn laskentatehon häiritäkseen Yahoota, joka oli tuolloin Internetin käytetyin hakukone. Viikon kuluessa hän rampautti myös Dellin, eBayn, CNN:n ja Amazonin järjestelmät palvelunesto- eli DDoS-hyökkäyksellä, joka esti yhtiöiden palvelinten käytön ja kaatoi verkkosivut. Calcen toimet olivat omiaan ravistamaan hereille erityisesti kyberrikollisuuden tutkijoita ja Internetin puolestapuhujia. Jos maailman suurimpiin kuuluvia verkkosivustoja – arvoltaan yli miljardi dollaria – oli näin helppo saada pois pelistä, onko mikään data verkossa todella turvassa? Ei ole liioiteltua väittää, että kyberrikollisuuslainsäädännön kehittäminen nousi hallinnon asialistalla nopeasti tärkeimpien joukkoon Calcen hakkerointien seurauksena.
8. Kevin Poulsen
17-vuotias Poulsen murtautui vuonna 1983 Pentagonin tietokoneverkko ARPANETiin salanimellä Dark Dante. Vaikka hän jäi nopeasti kiinni, valtio päätti olla syyttämättä Poulsenia, joka oli tuolloin vielä alaikäinen. Hän selvisi varoituksella.
Poulsen ei ottanut varoituksesta vaaria vaan jatkoi hakkerointia. Vuonna 1988 Poulsen murtautui liittovaltion tietokoneisiin ja kaiveli tiedostoja, joissa aiheena oli Filippiinien vallasta syrjäytetty presidentti Ferdinand Marcos. Kun viranomaiset saivat vihiä asiasta, Poulsen katosi maan alle. Pakosalla ollessaan Poulsen jatkoi aktiivisesti puuhiaan. Hän muun muassa murtautui valtionhallinnon tiedostoihin ja toi salaisia tietoja julkisuuteen. Omien verkkosivujensa mukaan hän murtautui radiokanavan kilpailuun vuonna 1990 ja varmisti paikkansa 102. soittajana, joka palkittiin upouudella Porschella, lomamatkalla ja 20 000 dollarin potilla.
Poulsen pidetettiin pian, ja häneltä evättiin pääsy tietokoneelle kolmeksi vuodeksi. Hän on sittemmin vaihtanut valkohattujen ja journalismin puolelle ja kirjoittanut kyberturvallisuudesta ja verkkoon liittyvistä sosiopoliittisista aiheista Wired-lehteen, The Daily Beastiin ja omaan Threat Level -blogiinsa. Paulson on myös lyöttäytynyt yhteen muiden hakkereiden kanssa ja tehnyt töitä erilaisissa projekteissa, jotka palvelevat sosiaalisen oikeudenmukaisuuden ja tiedonvapauden aatteita. Huomionarvoisinta lienee Adam Swartzin ja Jim Dolanin kanssa tehty työ avoimeen lähdekoodiin perustuvan SecureDrop-ohjelmiston, aiemmalta nimeltään DeadDropin, parissa. Alusta mahdollistaa journalistien ja heidän tietolähteidensä välisen turvallisen viestinnän, ja Poulsen luovutti sen lopulta lehdistönvapautta ajavalle Freedom of Press Foundation -järjestölle.
9. Jonathan James
Jonathan James murtautui monien eri yritysten järjestelmiin salanimellä cOmrade. New York Timesin mukaan James nousi todella otsikoihin murtautumalla Yhdysvaltain puolustusministeriön tietokoneisiin. James oli tuolloin vasta 15-vuotias, mikä tekee saavutuksesta erityisen vaikuttavan. PC Mag -lehden haastattelussa James myönsi saaneensa osin innoituksensa The Cuckoo’s Egg -kirjasta, jossa jahdataan tietokonehakkeria 1980-luvulla. Hän murtautui yli 3 000 valtionhallinnon työntekijän viesteihin ja sai selville käyttäjätunnuksia, salasanoja ja muita arkaluonteisia tietoja.
James pidätettiin vuonna 2000. Hänet määrättiin kuuden kuukauden kotiarestiin, ja häneltä evättiin kaikenlainen tietokoneen ajanvietekäyttö. Ehdonalaista rikottuaan hän istui kuusi kuukautta vankilassa. Jonathan Jamesista tuli nuorin kyberrikoslainsäädännön nojalla tuomittu henkilö. Vuonna 2007 tavaratalo TJX joutui tietomurron kohteeksi ja monien asiakkaiden yksityiset tiedot vaarantuivat. Viranomaiset epäilivät tapauksesta myös Jamesia todisteiden puuttumisesta huolimatta.
Vuonna 2008 James teki itsemurhan ampuma-aseella. Daily Mailin mukaan hän oli kirjoittanut itsemurhakirjeessään menettäneensä kaiken uskonsa oikeuslaitoksen toimintaan: ”Ehkä minun tämänpäiväinen tekoni ja tämä kirje lähettävät vakuuttavamman viestin yleisölle. Olen yhtä kaikki menettänyt tilanteen hallinnan, ja tämä on minulle ainoa keino saada se takaisin.”
10. ASTRA
Tämä hakkeri eroaa listan muista hakkereista siinä, että hänen
henkilöllisyytensä ei ole koskaan tullut julki. Daily
Mail -lehden mukaan jotakin ASTRAa koskevia tietoja on kuitenkin
julkistettu. Lehti kertoo, että viranomaiset vangitsivat hänet vuonna
2008 ja että hän olisi 58-vuotias kreikkalainen matemaatikko. Hän oli
tietojen mukaan murtautunut Dassault Groupin järjestelmiin lähes puolen
vuosikymmenen ajan. Tuona aikana hän oli varastanut huipputason
aseteknologiaan liittyviä ohjelmistoja ja dataa, jonka hän oli sitten
myynyt 250 henkilölle eri puolille maailmaa. Hakkerointi aiheutti
Dassault Groupille 360 miljoonan dollarin vahingot. Kukaan ei tiedä,
miksi hänen koko henkilöllisyyttään ei ole koskaan paljastettu, mutta
sana ASTRA tarkoittaa sanskritiksi asetta.
Osa näistä tunnetuista hakkereista halusi parantaa maailmaa, osa haki
todisteita ufoja koskeville teorioille. Osa oli rahan perässä ja osa
taas kuuluisuuden. Kaikilla heillä on kuitenkin ollut merkittävä rooli
Internetin ja kyberturvallisuuden kehityksessä.
