Eetiline häkker Ralph Echemendia: läbipaistvus on kahe teraga mõõk. Küberturvalisus

Ralph Echemendia.

Eestit tuntakse maailmas e-residentsuse riigina. Alates e-residentsuse programmi käivitamisest 2014. aasta lõpus on üle 60 000 e-residendi loonud Eestisse ligi 7500 ettevõtet, kus töötab üle 1300 inimese. E-resident on ka USA-st pärit Ralph Echemendia, rahvusvaheliselt tunnustatud küberturvalisuse ekspert, keda teatakse eeskätt tema alter ego The Ethical Hacker järgi.

Ralph on koolitanud küberturvalisuse teemal muu hulgas selliseid organisatsioone ja ettevõtteid nagu NASA, Google, Microsoft, Oracle, IBM, Intel, AMEX ja Boeing. Lisaks on Ralph töötanud auhindu võitnud režissööridega Hollywoodis ning olnud tehniline juhendaja selliste filmide juures nagu “Snowden” ja “Savages”. Kohtusime Ralphiga ja rääkisime küberturvalisusest, infoajastu väljakutsetest ning innovatsiooni sünnist.

Kuidas jõudsite arvutiteni ja hakkasite neid kasutama tegevuseks, milleks nad mõeldud pole?

Sügavam huvi arvutite vastu kasvas välja hobist, mis algas amatöörraadio (ehk HAM-raadio) tundmaõppimisest. Mind paelus, kuidas on võimalik, et saan rääkida inimesega, kes asub teisel pool maailma. Asusin uurima sageduste kohta. Ühel hetkel sattus mulle Miamis kätte infoleht, mis kandis nime 2600. Seal õpetati looma seadeldist nimega blue box. Näiteks tuli osta kindlat tüüpi kristall, mis genereerib vajaliku hulga megahertse. Hakkasin mõistma, et telefonisüsteemid töötavad helisignaalide abil. Peagi saime teha sõpradega tasuta kõnesid.

Kuidas omandatud teadmisi rakendama hakkasite?

Olin toona 14. Esimeseks tehnoloogiliseks vahendiks, mida kasutasin mittesihtotstarbeliselt, oli HAM-raadio. Elasin lennujaama lähedal ja tabasin end mõttelt, kas mul oleks võimalik rääkida pilootidega. Proovisin! Peagi nägin ringi sõitmas USA föderaalse kommunikatsioonikomisjoni autot. Prooviti tabada signaali. Loomulikult oli minu tegevus täiesti illegaalne. Ma ei proovinud seda enam kunagi.

Teisalt mäletan ohtralt lõbusaid olukordi. Näiteks võtsin üle Burger Kingile ja McDonalds’ile kuuluvad drive-in-kioskid. Uurisin välja õige sageduse ning kui inimesed tellima hakkasid, õnnestus mul nendega rääkida. See oli lõbus! Kahjuks sai üks juhatajatest lõpuks aru, millist antenniga autot kioski lähedusest otsida. Aja möödudes hakkasin avastama telefonide ja arvutite võimalusi. Mul on sõber, kellega tehnoloogilises mõttes üles kasvasin. Tema vend oli elektriinsener, kes töötas arvutitega. Nii see kõik algas. Õppisin tegema arvutitega trikke, mida olin varem teinud raadioga. Ühtlasi polnud tol ajal arvutite turvalisuse tase kõrge. Kuivõrd paroole polnud, oli end väga lihtne teiste arvutitesse ühendada.

Tundub, et tol ajal oli küberruumis palju süütust. Seevastu tänast küberruumi analüüsides on mainitud süütus kadunud. Kuidas ja millal see juhtus?

Muutus on seotud nihkega motiivides. Küberruumi algusaegadel oli sellega tutvumise peamiseks ajendiks uudishimu. Inimesed tundsid huvi selle vastu, mis juhtub, kui üks või teine asi töösse rakendada. Teadasaamiseks prooviti ja katsetati. Seejuures puudus motiiv oma tegevuse tulemusena rikastuda. Teiseks motiiviks uudishimu kõrvale kerkis soov kätte maksta. Näiteks tahtis noormees pärast mahajätmist häkkida võimalikult paljudesse tüdrukuga seotud asjadesse. Ometi hakkasid Interneti laialdase kasutuselevõtuga toimuma kiired muutused. Alates 1990ndate keskpaigast hakkasid üha selgemalt välja paistma rahalised motiivid. Tekkis illegaalne küberkuritegevuslik maailm, mis oli tiivustatud finantshuvidest. Ühtlasi sündis sellel perioodil küberturvalisuse tööstus.

Milline on häkkeri argipäev?

Häkkeri argipäevas pole kohta rutiinil, sest ülesanded ja tegevused on ajas kiiresti muutuvad. Minu jaoks seisnebki üks häkkimise paljudest võludest selles, et ükski päev ei sarnane eelmisega. Häkker ei tegutse kunagi täiesti tuttavas keskkonnas. Ülesanded ja probleemipüstitused on alati erinevad. Lisaks muutub situatsioon iga minuti või tunniga.

Häkker on justkui avastaja, kes otsib pidevalt uusi võimalusi, kuidas luua stiimuleid, mis kutsuvad esile vastuse.

Seejuures tuleb vastuseid järjepidevalt hinnata ja edasi nuputada, milliseid stiimuleid ühele või teisele vastusele saata.

Kui suur osa stiimulite avastamise protsessist toimub 2019. aastal tehnilises maailmas võrreldes inimmaailmaga?

Stiimulite avastamise protsess käib aktiivselt mõlemal suunal. Ometi tundub, et panused jagatakse kaalukaussidel ümber. Kui varem toimus valdav enamus stiimulite avastamisest tehnilises maailmas, siis täna näeme seda palju rohkem aset leidmas inimmaailmas. Vaadake näiteks, kui ohtralt manipuleeritakse maailmas andmetega või edastatakse väärinformatsiooni. Tehnika on selle tendentsiga seotud vähesel määral. Ülejäänu on väga inimkeskselt läbi mõeldud.

Mida see endaga kaasa toob?

Hea näide on see, et tänapäeval juhivad küberkampaaniaid psühholoogid, keda suured meeskonnad enda ridadesse palkavad. Minevikus nõudis oma patsientidelt andmete kogumine ja tõsiseltvõetavate järelduste tegemine psühholoogilt mitmeid tunde kohtumisi ning erinevat tüüpi tegevusi. Seevastu täna on andmed absoluutselt kõikjal meie ümber ning kergesti hangitavad. Sellest tulenevalt on inimesi psühholoogiliselt palju lihtsam hinnata ja rünnata kui enne arvutite ja andmete massilist levikut.

Ralph Echemendia.

Kumb on Teie jaoks põnevam protsess, kas ise häkkida või rünnakut tuvastada?

Häkkeri ülesanne on vältida vahelejäämist. Tuleb olla justkui kummitus. Tõsi – eetilise häkkerina pean lõpuks jagama infot, milliseid samme tuleb minu tabamiseks astuda. See tagasiside on sisendiks küberturvalisuse kasvule.

Rünnaku tuvastaja roll pole võrreldes häkkeri omaga sama põnev, sest puudub tõenäosus vahele jääda. Suur osa lõbust ja adrenaliinist jääb olemata.

Jah, eetilise häkkerina pole ohtu, et mind päriselt vangi pannakse. Ometi on mõte sellest, et keegi võib mind teolt tabada, väljakutseid esitav. Rünnaku tuvastaja ülesandeks on läbi käia tegevuste nimekiri ja tõmmata maha read, mis ei aita häkkeri tabamisele kaasa. Ta otsib märke konkreetsetest tegevustest. Juhul kui ühte või teist märki ei tuvastata, jõutakse järeldusele, et see ei saa olla häkkimise viisiks. Väidan, et tõeline küberturvalisuse ekspert peab omama kogemust mõlemal pool rindejoont. Isik, kes proovib rünnakut tuvastada, aga pole ise kunagi häkkinud, ei suuda tõenäoliselt detailideni mõista erinevaid mooduseid, mida saab rünnakuks kasutada.

Kui palju on Teile mõju avaldanud küberpunk-kirjandus? Näiteks William Gibsoni tööd.

Tohutult. Kõige mõjukamateks teosteks pean kirjatükke “Hacker Ethic” ja “Hacker Manifesto”, mis kujundasid minu mõtlemist häkkimisest ning laiemalt kübermaailmast. Ma ei uskunud noorena, et häkkimisest võiks saada minu elukutse. Nägin seda üksnes hobina. Iga noore elus on aeg, mil püütakse mõtestada enda rolli. Minagi soovisin aru saada, kuhu päriselt kuulun. Alati on olemas populaarsed lapsed, kuid tundsin, et ei kuulu nende sekka. Tänu arvutimaailmale avastasin ühtäkki koha, kuhu sobin suurepäraselt. Selles maailmas või ruumis polnud ühtegi nägu. Selles puudus igasugune füüsilisus. See eksisteeris masinates. Tänu küberpunk-kirjandusele jõudsin rahuni ja äratundmisele, kuhu kuulun.

Kõrvutame hetkeks maailma, mida William Gibson ette kujutas, tänase reaalsusega. Kas asjad on paremini või halvemini?

Olen teinud koostööd mitmete kirjanike, lavastajate ja režissööridega. Ühe põnevamatest vestlustest pidasin režissööriga, kes asutas projekti “Science and Entertainment Exchange”. Tegemist on USA Riikliku Teaduste Akadeemia programmiga. Ta ütles: “Ralph, mõned usuvad, et elu jäljendab kunsti, kuid teised, et kunst jäljendab elu. Tõde on, et elu imiteerib kunsti ja mitte vastupidi.” Mõtlemapanev, kas pole? Paljud teemad eksisteerivad tänases teaduses üksnes põhjusel, et kunstnikud, kirjanikud või teised loomeinimesed lõid need oma raamatutes, filmides, koomiksites või teistes meediumides. Seega mõtleme neile objektidele või teemadele üksnes nende loomingu tulemusena. See on paeluv!

Seega eksisteerib küberruum üksnes seetõttu, et mõni inimene unistas sellest 1980ndatel kirjutusmasina taga?

Sisuliselt küll. Näiteks on meil mobiiltelefonid, sest 1960ndatel kasutasid “Star Treki” tegelased seadmeid, mis meenutavad tänapäevaseid mobiiltelefone. Sarju ja saateid vaatasid ning raamatuid lugesid lapsed, kelle kujutlusvõime aktiveerus. Nad said inspiratsiooni. Selle tulemusena kasvas välja hulk silmapaistvaid teadlasi. Nad ei mõelnud esemeid välja. Need olid loodud kunsti abil ja teadus püüdis neid reaalseks muuta.

Täna on suur hulk inimesi jätkuvalt vaimustuses teleporteri ideest. Miks me selle kallal töötame? Sest keegi kirjutas sellisest seadmest ulmeromaanis. Keegi kujutas seda oma vaimusilmas ette. Seejuures pole taolised inimesed sageli teadlased. Tõsi, on ka erandeid. Kõige võimsama jälje jätavadki endast sageli maha inimesed, kes on samaaegselt nii unistajad kui ka teadlased.

Olen tutvunud Eesti ajalooga. Mida rohkem loen taasiseseisvunud Eesti esimese presidendi Lennart Meri kohta, seda enam ta mind võlub. Ta oli režissöör ja kirjanik, keda köitis filmindus ning kirjakunsti maailm.

Ometi sai temast suurepärane riigipea, kes suutis hoolimata oma unistaja loomusest veenvalt rääkida “reaalse” maailma erinevatest valdkondadest.

Mulle tundub, et Lennart Meri vaatas pidevalt tulevikku, kuid oskas teekonda kaugemate eesmärkide püüdmiseks ehitada selliselt, et inimestel säilis alati kindlustunne. Ta oli riigipeana loomult unistaja, kes kandis endas võimet oma mõtteid “reaalses” elus rakendada. Nende omaduste esinemine ühes inimeses on hämmastav. Ühelt pool mõistab selline isik loomingulist protsessi ja teisalt mehhanisme, mis aitavad mõtte reaalsuseks muuta. Taolistel inimestel on ühiskonna arenemisel kanda suur vastutus.

Seega ei maksa visandada või verbaliseerida asju, mille saamist reaalsuseks ei soovita? Võib ju mõni kaaskodanik õhku paisatud mõtte inspiratsioonina üles korjata.

Täpselt nii. Minu hea sõber on Bob Marley poeg Damian Marley. Meie tutvuse alguses viibisime koos stuudios. Taipasin, et muusikamaailm on liikunud digitaalsuse suunas. Stuudios ei olnud enam linte, vaid muusika liikus arvuti kaudu kõvakettale. Küsisin: “Damian, mis juhtub, kui kõvakettal ilmneb rike?” Ta vastas: “Ole sõnade jõuga ettevaatlik, Ralph!” Uurisin, mida ta silmas peab. Damian ütles, et üks asi on mõelda ja teine oma mõtted sõnadesse vormida. Sellest hetkest, kui mõtted on verbaliseeritud ja välja öeldud, hakkavad need elama oma elu. Sõnastatud mõtetest saab reaalsus. “Ralph, palun ära ütle selliseid asju stuudios, sest hetkest, mil inimene oma mõtted verbaliseerib, saab neist mõtetest päris elu,” ütles Damian. Seega on tõsi, et inimene, kes midagi ette kujutab, visandab või verbaliseerib, omab vastutust.

Ralph Echemendia. I Foto: Borna Filic/PIXSELL

Kuidas ehitada üles organisatsioon või koguni riik, mis on küberturvalisuse mõttes vastupidav?

Kasutan küberturvalisusest rääkides sageli vastupidavuse mõistet. Mul oli Eestis põnev vestlus ühe naisterahvaga. Ta küsis: “Kas tead, kust vastupidavus pärineb?” Vastasin ei. “See pärineb vihkamisest,” ütles ta. Selline avaldus oli üllatav. Vestlesime pikalt ja võtsin mainitud seisukoha omaks. Inimene, organisatsioon, süsteem või riik muutub vastupidavaks selle suhtes, mida vihkab. Vihkamisega kaasnev emotsioon on sedavõrd negatiivne, et me ei taha seda uuesti kogeda. Seega hakkame otsima võimalusi, kuidas muutuda vastupidavamaks, et vihkamisega kaasnev emotsioon ei korduks. Uurime, kuidas end vihatava asja eest kaitsta. Vestlus tolle naisterahvaga ärgitas mind mõtlema, et vastupidavuse mõiste on seotud terminiga “vihkamine”. Kohaneme ja püüame toime tulla olukordadega, mis elu ette veeretab.

Inimestena oleme üksnes reageerivad. See viib meid tänase küberturvalisuse suure probleemini.

Kasutan küberturvalisusest rääkides tihti mõistet “ohutu”. Minu jaoks on “vastupidavus” ja “turvalisus” ohutuse komponendid. Kipume mõistet “turvalisus” kasutama väga kergekäeliselt. Paraku ei ole “turvalisus” olemuselt positiivse tähendusvarjundiga sõna. Seevastu “ohutu” on. Tahame kõik end tunda ohutult nii igapäevases elus kui ka küberruumis. Olukorras, kus mõistet “turvalisus” kasutatakse liiga sageli, soovivad inimesed hakata end sellest lahti siduma. Tajutakse, et võimu teostatakse inimese üle halval moel. Küberturvalisuse jaoks on tegemist olulise probleemiga. Tähtis on muuta narratiivi inimeste peades, kui räägime turvalisusest. Rõhutan, et küberturvalisus on olemuslikult ohutuse küsimus.

Millised on tänapäeva olulisemad küberturvalisuse väljakutsed?

Arendajad ja programmeerijad peavad mõistma, et sarnaselt näiteks elektri- või raudteeinseneridega tuleb vigadest pidevalt õppida. Ohutus on füüsilises maailmas prioriteet. Vastasel juhul suureneks oht, et rongiga juhtub õnnetus ja see sõidab rööbastelt maha, tagajärg on katastroofiline. Probleem, millega seisame silmitsi digitaalses ruumis, seisneb selles, et tegevuse tagajärjed pole sageli nähtavad. Pole näha verd või pisaraid. Välja arvatud juhul, kui asi puudutab meid isiklikult. Selle tõttu oleme küberruumist justkui lahti ühendatud, kuna see pole füüsiline ja sellest tulenevalt “päris”.

Kuidas sai Teist Eesti e-resident?

Olen alati arvanud, et e-residentsus on suurepärane idee. Hindan kõrgelt seda, et kõik e-residentsusega seonduv on minu jaoks läbipaistev ja kontrollitav.

Rääkides Eesti ettevõtluskeskkonnast laiemalt, on Eestis läbipaistvus ja kontrollitavus võrreldes teiste riikidega, kus viibinud olen, hoopis kõrgemal tasemel. E-residentsuse programm huvitab mind ka Eesti start-up-ökosüsteemi toetamise seisukohast. Lisaks on e-residentsuse programm maailmas teedrajav.

Enne kui otsustasin esitada taotluse saada e-residendiks, tegin siiski põhjaliku eeltöö. Erinevate materjalidega tutvumine kasvatas usaldust ja huvi veelgi. Mõte sellest, et e-residendina on võimalik asutada ettevõte Eestis, kasutada Eesti e-teenuseid ja juhtida ettevõtet asukohast sõltumatult, on võrratu. Maksud, lepingud ja muud taolised ettevõtja jaoks igapäevased kaaslased on elektroonselt hallatavad ja mugavalt teostatavad kõikjal maailmas. Eesti on ehitanud riigi, mis ei ole seotud tema füüsiliste piiridega. See on suurepärane. Ma pole midagi sellist kunagi varem näinud.

Milline on Teie suhe Eestiga ja mida on e-residentsuse programm Teile juurde andnud?

E-residentsuse programm avas minu jaoks ukse Eestisse. Olete e-residentsuse programmi näol loonud midagi sellist, mida pole ühelgi teisel riigil maailmas. See on Eesti visiitkaart rahvusvahelisel areenil.

Eesti inimesed peaksid olema väga uhked võimaluste üle, mida e-residentsuse programm on loonud paljudele inimestele üle maailma.

Samuti loob see võimalusi Eesti inimestele ja kohalikele ettevõtetele. Armusin Tallinna kohe. Tänaseks olen Eestis vahelduva eduga elanud juba üle kahe aasta ning külastanud suurt osa Eestist. Olen teie imelise riigi ja selle elanike kohta palju õppinud!

Millised on küberturvalisuse seisukohast need olulised tegevused, millega Eesti peab tänase küberturvalisuse taseme säilitamiseks või tõstmiseks tegelema?

Oluline on meeles pidada, et läbipaistvus on kahe teraga mõõk. Ühelt poolt toob läbipaistvus endaga kaasa kindluse ja mugavuse. Teisalt on andmeid meie erinevate tegevuste kohta palju ning kõikjal.

Üks aspekt, mida tuleb läbipaistvuse puhul pidevalt rõhutada, on see, et kui oskame läbipaistvust targasti rakendada, vähendab see andmete väärkasutamise väärtust. Väärtus eksisteerib üksnes juhul, kui mängus on midagi salajast. Kui puudub saladuse element, puudub ka väärtus. Infokild pole väärtuslik, kui kõigil on sellele ligipääs. Seega on läbipaistvus tegelikult väärtuse loomise küsimus. Mõeldes Eesti valitsusele, ei ole ma kunagi tundnud, et Eesti valitsus on midagi muud kui teenuseid korraldav organisatsioon. Tunnen, et valitsuse eesmärk on osutada inimestele teenust. See on vastand näiteks Venemaale või Ameerika Ühendriikidele, kus valitsustel on peale rahva teenimise ülesande ka väga kindel oma agenda.

Hea näide on Edward Snowdeni juhtum. Kui valitsus teab minu liikumistest või teenuste kasutamisest, kutsutakse seda Ameerika Ühendriikides Big Brother’iks ehk Suureks Vennaks. Kuigi Eestis on ID-kaart, millel on tohutult kasutusvõimalusi, ei ole ma kunagi kuulnud, et Eesti valitsust seostataks sõnapaariga Suur Vend. Ka minul pole Eesti e-residendina kunagi tekkinud Eesti puhul Suure Venna tunnet. Pigem imetlen seda, kuidas Eesti pakub tehnoloogia kaudu oma inimestele teenuseid.

Endise riigiametnikuna pean ütlema, et see on ilmselt parim kompliment, mida kunagi saanud olen.

Võta heaks. Täpselt selliselt ma Eesti e-riigist mõtlen ja arvan. Olen palju reisinud ning kogenud, kuidas käivad asjad mujal maailmas. Eestis on tunne hoopis teine. Teie e-riik on tasemel!

Kui ohtlikuks võime tänasel infoajastul tehnoloogiat pidada?

Enamasti on probleemide taga inimene, mitte tehnoloogia. Piltlikult öeldes on tehnoloogia justkui haamer, mida saame kasutada kas ehitamiseks või lammutamiseks. Tehnoloogia on lihtsalt tööriist. Kuna see on majanduslikult tulus tööriist – tulen tagasi motiivide juurde –, küsin, kes on tõeline kurjategija. Kas küberjulgeoleku või küberkuritegevuse kogukond? Küberjulgeoleku kogukond on olemuselt mõneti sama kriminaalne, muutes küberturvalisuse mitme miljardi dollari suuruseks kuluks, mille inimeste ja tarbijatena kinni maksame. Erinevalt küberkurjategijate kogukonnast ei pea nad kellelegi andmete väärtust müüma. Nad saavad andmed lihtsalt kätte. Samal ajal tuleb pidevalt müüa mõtet, et küberturvalisuse tagamine on oluline ja inimesed ei mõista selle tähtsust seni, kuni saavad ise häkitud.

Filmi “Snowden” režissöör Oliver Stone tundis huvi küberturvalisuse kohta. Võtsin ta kaasa Defconile, mis on häkkeritele suunatud kokkutulek Las Vegases. Oliver esitas küsimusi paarikümnele ruumis viibivale inimesele. Teiste seas viibis ruumis härrasmees, kellelt Stone uuris: “Kas vastab tõele, et USA Riiklik Julgeolekuagentuur saab meie telefone pealt kuulata?”. Mees vastas: “Näete, seal on metallist prügikast. Lähemalt uurides märkate, et kõigi siinviibijate telefonid on selles.” Stone jätkas: “Seega saabki USA Riiklik Julgeolekuagentuur meie telefonivestlusi pealt kuulata?” Härrasmees vastas: “Jah. Mina olin üks neist, kes kirjutas tarkvara, mis seda teha võimaldab. Töötan USA Riikliku Julgeolekuagentuuri heaks.” Stone tardus. Ta päris, kuidas on võimalik, et inimene, kes on kokkutulekul öelnud, et soovib edendada detsentraliseerimist, on loonud programmi, mis laseb kõnesid pealt kuulata. Stone uuris, kelle poolel härrasmees õigupoolest on. Mees vastas: “Teil on seda ilmselt raske mõista. Kogukonnas, kust mina välja kasvanud olen, puuduvad rangete piiridega pooled. Oleme üksnes inimesed ja pendeldame pidevalt erinevate poolte vahel. Minu põhimõte on, et ma ei lase juhtuda halbadel asjadel heade inimestega. See on minu isiklik eetiline valik. Ma ei ole mitte kellegi poolel, vaid üksnes inimkonna eest väljas.”

Mõni kuu hiljem tulid avalikkuse ette Snowdeni paljastused. Märgin, et härrasmees, kellega Stone rääkis, ei olnud Edward Snowden. Ometi on see ilmekas näide sellest, kuidas keegi teeb otsuse, mis muudab kogu tema elu. Snowden nägi, et midagi on valesti, ja otsustas sellest maailmale rääkida. Kas see juhtum on endaga kaasa toonud suuri muutusi? Tõenäoliselt mitte. Ometi aitab teadlikkus sellistest juhtumitest inimkonnal tehnoloogiaga loodetavasti paremini suhestuda.

Kui räägime tehnoloogiast, räägime sageli õigest ja valest. Vestlesin kord enda tehnoloogiahuvilise sõbraga. Jõudsime arusaamale, et see on inimeste lühinägelik ülbus, mis paneb meid hindama eelmist, praegust või järgmist etappi paremaks või halvemaks. Reaalsuses paremat või halvemat sellisel kujul ei eksisteeri. Me lihtsalt areneme. Areneme edasi sõltumata tehtud otsustest. Kõik langetatud otsused juhivad evolutsiooni. Sama kehtib tehnoloogia puhul. Ei ole võimalik rääkida üheselt headest või halbadest otsustest, kuid langetatud valikud kujundavad inimkonda.

Andres Kütt

Andres Kütt

Andres Kütt on pikaajalise kogemusega IT-arhitekt, ta omab diplomit Massachusettsi Tehnoloogiainstiuudist (MIT). Loe artikleid (2)