UKK

Mikä on Generation Z Hack?

Generation Z Hack on suomalaisten yritysten, viranomaisten ja tietoturva-alalla toimivien järjestöjen valtakunnallinen vaikuttajaverkosto, joka kokoaa yhteen kyberturvallisuuteen erikoistuneet asiantuntijat tarjotakseen tietoturvatestaamisesta ja hakkeroinnista kiinnostuneille nuorille laadukkaita ja monipuolisia haasteita turvallisessa ympäristössä.

Verkosto organisoi ja toteuttaa vuosittaisen Gen Z Hack Challenge -hakkerointikilpailun osoitteessa challenge.fi samalla muodostaen vaikuttajayhteisön, jonka tavoitteena on edistää tietoutta alasta ja varmistaa alan houkuttelevuus tulevaisuuden tekijöitä ajatellen. Vuonna 2020 käynnistynyt toiminta on alusta asti houkutellut mukaansa uusia järjestäjiä ja tukijoita.

Ensimmäinen hakkerointihaastekampanja toteutettiin vuonna 2021.

Mikä on CTF?

CTF (Capture The Flag, suomeksi lipunryöstö) on yleinen hakkerointihaastekilpailujen toimintaperiaate. CTF on yleensä kilpailun muodossa toteutettu haaste tai joukko haasteita, jossa tarkoituksena on esimerkiksi etsiä koodista haavoittuvuus tai purkaa jokin osa tiedoston salausta, jonka avulla ohjelmasta kaivetaan "flag" eli vastaus, jonka pelaaja palauttaa saaden haasteen suorittamisesta sovitun pistemäärän.

Tekemällä useita haasteita pelaaja saa enemmän pisteitä. CTF on yleensä paras ja turvallisin tapa tutustua hakkerointiin, sillä ne ovat monipuolisia tarjoten eri vaikeustasoja aloittelijoista ammattilaisiin. CTF-kilpailut myös testaavat monipuolisesti erilaisia ongelmanratkaisutaitoja, joiden kautta osallistuja voi saada paremman kuvan omasta taitotasosta sekä niistä osa-alueista, joissa oma osaaminen vaatii kehittymistä.

Monet kyberalan asiantuntijat osallistuvat erilaisiin CTF-kilpailuihin työnsä ohessa, ja CTF-kilpailuja voidaan myös hyödyntää rekrytoinnin yhteydessä.

Saako kuka tahansa osallistua Gen Z Hack Challengeen?

Kuka tahansa saa osallistua kilpailuun, mutta palkitseminen (mukaan lukien ENISA:n maajoukkuepaikat European Cyber Security Challengeen) on tarkoitettu ainoastaan 15-25-vuotiaille.

Miten ylipäätään pääsen hakkeroinnissa alkuun?

Hakkerointia voit opetella tutustumalla erilaisiin välineisiin ja ottamalla osaa erilaisiin haastekilpailuihin. Uteliaisuus, kärsivällisyys ja virheistä oppii -tyyppinen periaate auttaa tavoitteisiin pääsemisessä; yksi hakkeroinnin parhaista puolista on se, ettei siinä koskaan voi täysin tulla valmiiksi.

Hyviä alustoja hakkerointitaitojen harjoittelemiseen tarjoavat esimerkiksi HacktheBox tai TryHackMe, joissa on mahdollista valita haasteet oman taitotason mukaan.

Sain jo kaikki haasteet tehtyä. Mitä seuraavaksi?

Mahtavaa! Seuraavaksi voisit tsekata Gen Z:n Discord-serverin #crowdsourcelinks -kanavan, jolle olemme listanneet kiinnostavimmat ja haastavimmat Capture The Flag -kilpailut. Kannattaa käydä tutustumassa!

Kaverini eivät ole kiinnostuneita CTF:stä tai ylipäätään kyberistä. Missä voisin tavata muita aiheesta kiinnostuneita?

Suosittelemme vahvasti tutustumaan tietotekniikasta ja kyberistä kiinnostuneisiin yhteisöihin, kuten esim. Gen Z, Testausserveri tai HelSec Discordissa. Yhteisöihin ovat tervetulleita kaikki alasta ja alaan liittyvistä asioista kiinnostuneet!

• Gen Z Discord: https://discord.gg/U3xc46VS
• Testausserverin Discord: https://discord.testausserveri.fi/
• HelSecin Discord: https://discord.gg/NBvCAm8
• Suomessa on myös vahvoja alueellisia tietoturva-alan yhteisöjä ovat eri kaupunkeihin keskittyneet CitySec -yhteisöt.

Mukaan CitySeccien keskusteluun pääset CitySec Mattermostin kautta: https://citysec.disobey.fi/login

Mistä voin saada lisätietoa kilpailun etenemisestä?

Gen Z Hackin virallisina viestintäkanavina toimivat Instagram sekä Discord.

Minusta tuntuu, että kyberi on se mun juttu. Miten alalle voi päästä?

Hieno juttu! Suosittelemme, että tutustut rauhassa itseäsi kiinnostaviin paikkoihin ja niihin liittyviin pätevyys/koulutusvaatimuksiin. Yhtä samaa polkua kyber- ja tietoturva-alalle ei ole olemassa. Hakkeroinnista on varmasti hyötyä, mikäli teknisemmät roolit kiinnostavat sinua 😊 Ja vaikka tietotekninen osaaminen ja kiinnostus onkin plussaa, alalle tarvitaan paljon muutakin osaamisen muotoa nyt ja tulevaisuudessa!

Mikäli jokin asia pohdituttaa, kysy rohkeasti alan ammattilaisilta esim. edellä mainittujen yhteisöjen kanavilla!

Miksi viranomaiset ja yritykset kannustavat nuoria hakkeroimaan?

Kyberturvallisuuden merkitys on kasvanut kaikkialla maailmassa, ja sen merkitys heijastuu niin yritysten, julkisten toimijoiden kuin yksittäisten kansalaisten arjessa. Generation Z Hack -verkostossa tunnistamme kyberin merkityksen Suomen tulevaisuudelle ja pyrimme vastaamaan siihen kannustamalla nuoria jo varhaisessa vaiheessa kiinnostumaan ja innostumaan tietoturva-alasta. Yhteistyöllämme haluamme viestiä, että Suomessa on yllä sektoreiden ylittävä yhteistyön kulttuuri sekä vahva yhteisöllisyyden henki.

Hakeutuminen kyberalalle kannattaa monesta syystä eikä vähiten siksi, että tehtäväkenttä on hyvin laaja. Hyvän käsityksen eri tehtävien kirjosta voi saada Generation Z Hack -kanavalta Discordissa, jossa osallistujat pääsevät tutustumaan järjestäjätahojen edustajiin haasteen aikana.

Onko hakkerointi laillista?

Hakkeroinnin laillisuus riippuu käytettävistä menetelmistä, toiminnan tarkoitusperistä ja kohteesta. Lähtökohtana on, että verkossa digitaalisessa muodossa olevaa tietoa tai palvelua (esim. verkkosivusto) kohtaan kohdistuvat samat periaatteet kuin verkon ulkopuolella.

Esimerkiksi toisen henkilön käyttäjätilille murtautuminen salasanan arvaamalla tai sitä hyödyntämällä on tietomurto, joka on Suomen rikoslain mukaan rangaistava teko. Erilaisia kyberrikosnimikkeitä rikoslaista löytyy kaikkiaan yli 26 kappaletta.

Pääset lukemaan kyberrikoksista lisää Suomen Poliisin sivuilla täältä https://poliisi.fi/kyberrikokset

Haavoittuvuudet vs. ajattelutapa

Verkkoympäristössä on paljon eri tyyppisiä haavoittuvuuksia, jotka ovat kenen tahansa löydettävissä ja siten hyödynnettävissä.

Tietoturvan testaaminen omalla luvalla pitää sisällään riskejä, jotka voivat pahimmassa tapauksessa johtaa rikosvastuuseen. Haavoittuvuuksien tunnistamisen kohdalla keskeisintä on tunnistaa oma ilmoitusvastuu (jotta hyväksikäyttöä/rikosta ei pääse tapahtumaan) ja muistaa nyrkkisääntönä se, että mikäli jokin asia on mahdollista tehdä, ei se tee siitä laillista tai poista omaa rikosvastuuta. Eettinen, kestävien ja laillisten tietoturvakäytäntöjen omaksuminen omassa arjessa on keskeinen osa kasvua kohti tulevaisuuden kyberammattilaisen uraa.

Yleisesti paras keino varmistaa, että oma toiminta on laillista, on

• harjoitella turvallisissa, toimintaan varten luoduissa ja tarkoitetuissa verkkoympäristöissä
• perehtyä ohjelmointiin ja muihin työvälineisiin
• hyödyntää CTF-kilpailuja tai ilmoittautua mukaan yrityksen haavoittuvuuspalkinto-ohjelmaan (Bug Bounty)

Vinkkejä

Tietoturvaa parantavista löydöksistä ollaan yleensä kiinnostuneita, ja niistä voi jopa saada rahallisen palkkion. Fiksuimmat organisaatiot hyödyntävätkin haavoittuvuuspalkinto-ohjelmia omassa toiminnassaan.

• Jos olet epävarma toiminnan laillisuudesta, jätä se tekemättä.
• Jos kyseessä on haavoittuvuus varmista, että tiedon haltija/omistaja/Kyberturvallisuuskeskus saa asiasta tiedon
• Voit ilmoittaa haavoittuvuudesta Kyberturvallisuuskeskukselle sähköpostitse osoitteeseen vulncoord@traficom.fi. Samaista osoitteesta saat tukea ja lisätietoa haavoittuvuuden käsittelyssä.
• Älä julkista haavoittuvuutta ilman lupaa; alan yleisenä, niin kutsuttuna vastuullisen ilmoittamisen periaatteena (Responsible Disclosure) on vastuuttaa palveluntuottaja itse ilmoittamaan haavoittuvuudesta.