UKK

Mikä on Next Gen Hack Challenge?

Next Gen Hack Challenge on suomalaisten yritysten, viranomaisten ja tietoturva-alalla toimivien järjestöjen valtakunnallinen vaikuttajaverkosto, joka kokoaa yhteen kyberturvallisuuteen erikoistuneet asiantuntijat tarjotakseen tietoturvatestaamisesta ja hakkeroinnista kiinnostuneille nuorille laadukkaita ja monipuolisia haasteita turvallisessa ympäristössä.

Verkosto organisoi ja toteuttaa vuosittaisen hakkerointikilpailun osoitteessa challenge.fi samalla muodostaen vaikuttajayhteisön, jonka tavoitteena on edistää tietoutta alasta ja varmistaa alan houkuttelevuus tulevaisuuden tekijöitä ajatellen. Vuonna 2020 käynnistynyt toiminta on alusta asti houkutellut mukaansa uusia järjestäjiä ja tukijoita.

Hakkerointihaasteen historiaa

2021: Ensimmäinen hakkerointihaastekampanja julkaistiin.

2022: Haasteeseen osallistuneista valikoitiin virallinen edustusjoukkue. Tämä mahdollisti Suomen osallistumisen ensimmäistä kertaa ENISA:n järjestämään European Cyber Security Challengeen sijoittuen 12. sijalle.

2023: Hakkerointihaaste vaihtoi nimeä idean pysyessä samana. Vuonna 2023 haasteeseen osallistuneista valittiin Suomea edustava joukkue, joka otti osaa Norjassa järjestettävään ECSC:hen.

Mikä on CTF?

CTF (Capture The Flag, suomeksi lipunryöstö) on yleinen hakkerointihaastekilpailujen toimintaperiaate. CTF on yleensä kilpailun muodossa toteutettu haaste tai joukko haasteita, jossa tarkoituksena on esimerkiksi etsiä koodista haavoittuvuus tai purkaa jokin osa tiedoston salausta, jonka avulla ohjelmasta kaivetaan "flag" eli vastaus, jonka pelaaja palauttaa saaden haasteen suorittamisesta sovitun pistemäärän.

Tekemällä useita haasteita pelaaja saa enemmän pisteitä. CTF on yleensä paras ja turvallisin tapa tutustua hakkerointiin, sillä ne ovat monipuolisia tarjoten eri vaikeustasoja aloittelijoista ammattilaisiin. CTF-kilpailut myös testaavat monipuolisesti erilaisia ongelmanratkaisutaitoja, joiden kautta osallistuja voi saada paremman kuvan omasta taitotasosta sekä niistä osa-alueista, joissa oma osaaminen vaatii kehittymistä.

Monet kyberalan asiantuntijat osallistuvat erilaisiin CTF-kilpailuihin työnsä ohessa, ja CTF-kilpailuja voidaan myös hyödyntää rekrytoinnin yhteydessä.

Saako kuka tahansa osallistua Next Gen Hack Challengeen?

Kuka tahansa saa osallistua haastekilpailuun, mutta palkitseminen (mukaan lukien ENISA:n maajoukkuepaikat European Cyber Security Challengeen) on tarkoitettu ainoastaan 15–25-vuotiaille. Lisäksi Suomen edustusjoukkuepaikka edellyttää suomen kansalaisuutta.

Miten ylipäätään pääsen hakkeroinnissa alkuun?

Hakkerointia voit opetella tutustumalla erilaisiin välineisiin ja ottamalla osaa erilaisiin haastekilpailuihin. Uteliaisuus, kärsivällisyys ja virheistä oppii -tyyppinen periaate auttaa tavoitteisiin pääsemisessä; yksi hakkeroinnin parhaista puolista on se, ettei siinä koskaan voi täysin tulla valmiiksi.

Hyviä alustoja hakkerointitaitojen harjoittelemiseen tarjoavat esimerkiksi HacktheBox tai TryHackMe, joissa on mahdollista valita haasteet oman taitotason mukaan.

Sain jo kaikki haasteet tehtyä. Mitä seuraavaksi?

Mahtavaa! Seuraavaksi voisit tsekata Next Gen Hackin Discord-serverin #crowdsourcelinks -kanavan, jolle olemme listanneet kiinnostavimmat ja haastavimmat Capture The Flag -kilpailut. Kannattaa käydä tutustumassa!

Kaverini eivät ole kiinnostuneita CTF:stä tai ylipäätään kyberistä. Missä voisin tavata muita aiheesta kiinnostuneita?

Suosittelemme vahvasti tutustumaan tietotekniikasta ja kyberistä kiinnostuneisiin yhteisöihin, kuten esim. Next Gen Hack, Women4Cyber Finland, Testausserveri tai HelSec Discordissa. Yhteisöihin ovat tervetulleita kaikki alasta ja alaan liittyvistä asioista kiinnostuneet!

Discord-kanaville pääset

• Next Gen Hack Discord: https://discord.gg/U3xc46VS
• Testausserverin Discord: https://discord.testausserveri.fi/
• HelSecin Discord: https://discord.gg/NBvCAm8

Suomessa on myös vahvoja alueellisia tietoturva-alan yhteisöjä ovat eri kaupunkeihin keskittyneet CitySec -yhteisöt.

Mukaan CitySeccien keskusteluun pääset CitySec Mattermostin kautta: https://citysec.disobey.fi/login

Mistä voin saada lisätietoa kilpailun etenemisestä?

Next Gen Hackin virallisina viestintäkanavina toimivat Instagram sekä Discord.

Minusta tuntuu, että kyberi on se mun juttu. Miten alalle voi päästä?

Hieno juttu! Suosittelemme, että tutustut rauhassa itseäsi kiinnostaviin paikkoihin ja niihin liittyviin pätevyys/koulutusvaatimuksiin. Yhtä samaa polkua kyber- ja tietoturva-alalle ei ole olemassa. Hakkeroinnista on varmasti hyötyä, mikäli teknisemmät roolit kiinnostavat sinua 😊 Ja vaikka tietotekninen osaaminen ja kiinnostus onkin plussaa, alalle tarvitaan paljon muutakin osaamisen muotoa nyt ja tulevaisuudessa!

Mikäli jokin asia pohdituttaa, kysy rohkeasti alan ammattilaisilta esim. edellä mainittujen yhteisöjen kanavilla!

Miksi viranomaiset ja yritykset kannustavat nuoria hakkeroimaan?

Kyberturvallisuuden merkitys on kasvanut kaikkialla maailmassa, ja sen merkitys heijastuu niin yritysten, julkisten toimijoiden kuin yksittäisten kansalaisten arjessa. Next Gen Hack -verkostossa tunnistamme kyberin merkityksen Suomen tulevaisuudelle ja pyrimme vastaamaan siihen kannustamalla nuoria jo varhaisessa vaiheessa kiinnostumaan ja innostumaan tietoturva-alasta. Yhteistyöllämme haluamme viestiä, että Suomessa on yllä sektoreiden ylittävä yhteistyön kulttuuri sekä vahva yhteisöllisyyden henki.

Hakeutuminen kyberalalle kannattaa monesta syystä eikä vähiten siksi, että tehtäväkenttä on hyvin laaja. Hyvän käsityksen eri tehtävien kirjosta voi saada Next Gen Hack -kanavalta Discordissa, jossa osallistujat pääsevät tutustumaan järjestäjätahojen edustajiin haasteen aikana.

Onko hakkerointi laillista?

Hakkeroinnin laillisuus riippuu käytettävistä menetelmistä, toiminnan tarkoitusperistä ja kohteesta. Lähtökohtana on, että verkossa digitaalisessa muodossa olevaa tietoa tai palvelua (esim. verkkosivusto) kohtaan kohdistuvat samat periaatteet kuin verkon ulkopuolella.

Esimerkiksi toisen henkilön käyttäjätilille tunkeutuminen ilman lupaa on tietomurto, joka on Suomen rikoslain mukaan rangaistava teko. Sillä, miten toisen henkilön käyttäjätunnuksen on saanut tietoonsa, ei ole tunnusmerkistön kannalta merkitystä. Myös haittaohjelmien tai hakkeroinnissa käytettävien työkalujen hankkiminen ja levittäminen voi työkalusta ja sen käyttötarkoituksesta riippuen olla laitonta. Erilaisia kyberrikosnimikkeitä löytyy rikoslaista kaikkiaan yli 26 kappaletta. Hakkeroinnista kiinnostuneiden kannattaa tutustua verkkoympäristöön liittyvään lainsäädäntöön, välttyäkseen mahdollisilta yllätyksiltä.

Pääset lukemaan kyberrikoksista lisää Suomen Poliisin sivuilla täältä https://poliisi.fi/kyberrikokset

Haavoittuvuudet vs. ajattelutapa

Verkkoympäristössä on paljon eri tyyppisiä haavoittuvuuksia, jotka ovat kenen tahansa löydettävissä ja siten hyödynnettävissä.

Tietoturvan testaaminen omalla luvalla pitää sisällään riskejä, jotka voivat pahimmassa tapauksessa johtaa rikosvastuuseen. Haavoittuvuuksien tunnistamisen kohdalla keskeisintä on tunnistaa oma vastuu ilmoittaa löydetystä haavoittuvuudesta, sekä muistaa, että haavoittuvuuden hyväksi käyttäminen voi johtaa rikosvastuuseen. Se, että jokin asia on mahdollista ei tee siitä laillista tai poista omaa rikosvastuuta. Eettinen, kestävien ja laillisten tietoturvakäytäntöjen omaksuminen omassa arjessa on keskeinen osa kasvua kohti tulevaisuuden kyberammattilaisen uraa.

Yleisesti paras keino varmistaa, että oma toiminta on laillista, on

• harjoitella turvallisissa, toimintaan varten luoduissa ja tarkoitetuissa verkkoympäristöissä
• perehtyä ohjelmointiin ja muihin työvälineisiin
• hyödyntää CTF-kilpailuja tai ilmoittautua mukaan yrityksen haavoittuvuuspalkinto-ohjelmaan (Bug Bounty)

Vinkkejä

Tietoturvaa parantavista löydöksistä ollaan yleensä kiinnostuneita, ja niistä voi jopa saada rahallisen palkkion. Fiksuimmat organisaatiot hyödyntävätkin omassa toiminnassaan haavoittuvuuden metsästämisessä palkitsemisohjelmia.

Tässä vielä muutama vinkki:

• Jos olet epävarma toiminnan laillisuudesta, jätä se tekemättä.
• Jos kyseessä on haavoittuvuus varmista, että tiedon haltija/omistaja/Kyberturvallisuuskeskus saa asiasta tiedon
• Älä julkista haavoittuvuutta ilman lupaa; alan yleisenä, niin kutsuttuna vastuullisen ilmoittamisen periaatteena (Responsible Disclosure) on vastuuttaa palveluntuottaja itse ilmoittamaan haavoittuvuudesta.

Ilmoita haavoittuvuudesta Kyberturvallisuuskeskukselle.

Voit tehdä ilmoituksen haavoittuvuudesta tai tietoturvapoikkeamasta Kyberturvallisuuskeskukselle sähköisesti osoitteessa https://www.kyberturvallisuuskeskus.fi/fi/ilmoita

Ilmoituksen voi tehdä myös nimettömänä.

Osoitteesta on myös saatavilla tukea ja lisätietoa erilaisten tietoturvapoikkeamien käsittelystä.

Epäilen kohdanneeni verkossa rikollista toimintaa, mitä teen?

Mikäli epäilet joutuneesi rikoksen uhriksi, kannattaa asiasta tehdä viipymättä rikosilmoitus poliisille. Rikosilmoituksen voit tehdä sähköisesti poliisin sähköisessä asiointipalvelussa https://asiointi.poliisi.fi/yksityis/rikos.

Mikäli havaitset verkossa epäilyttävää toimintaa tai epäilet törmänneesi laittomaan aineistoon tai sisältöön, voi epäilyistä helposti ilmoittaa poliisille Nettivinkki-palvelussa osoitteessa https://poliisi.fi/nettivinkki. Nettivinkkiä voi käyttää kiireettömistä asioista ilmoittamiseen. Nettivinkkiin kannattaa kuvailla mahdollisimman yksityiskohtaisesti millaiseen sisältöön tai toimintaan on törmännyt ja missä. Vinkin voi halutessaan jättää nimettömänä. Poliisi käsittelee nettivinkit ja ryhtyy tarvittaessa jatkotoimenpiteisiin, jos asiassa on aihetta epäillä rikosta.

Tukea lailliselle polulle siirtymiseen

Huolettaako kaverin toiminta verkossa? Tai tuntuuko, että oma hakkerointi on saattanut kääntyä laittomalle puolelle, ja kaipaat tukea rikollisesta toiminnasta irtaantumiseen?

Keskusrikospoliisin Cybercrime Exit -hanke on poliisin ennalta estävää erityistoimintaa, jolla ennalta estetään nuorten tietoverkkorikollisuutta, lisätään tietoisuutta laillisen ja laittoman verkkotoiminnan tunnistamisesta, sekä tuetaan rikollisesta elämäntavasta irtaantuvia nuoria osana poliisin Exit -toimintaa. Toiminta on kohdistettu 12-25-vuotiaille nuorille.

Exit-toimintaan voi hakeutua nuori itse, tai siihen voidaan ohjata ammattilaisten toimesta. Toiminta on vapaaehtoista ja luottamuksellista. Toiminnan lähtökohtana on vahvistaa rikoksetonta elämäntapaa tukemalla laillisen ja laittoman toiminnan rajojen tunnistamisessa, kartoittamalla osaamista tukevia työ- ja opiskelumahdollisuuksia, sekä mahdollista muuta elämäntilanteen tukea, sekä ohjaamalla laillista toimintakulttuuria tukevaan verkostotoimintaan.

Cybercrime Exit -hankkeeseen voi matalalla kynnyksellä ottaa yhteyttä sähköpostitse osoitteeseen cybercrime.exit.krp@poliisi.fi.