Hoovi viiva raudvärava juures kustutab üks üleni mustas ning ehteis kätega hipsterlik habemik sigareti. Suundume läbi hoovi maja tagumisse tiiba, kus on vaid kaks korterit.

Kentsakas lift (põrand seisab paigal, kuid seinad liiguvad) viib ülakorrusele ja avaneb otse luksuslikku elupaika. Mees ütleb, et valis seda hoolikalt: mida nurgatagusem ja vaiksem koht tema serveritele, seda parem.

Korteris on köök, magamistoad, pesuruum – nagu igas kodus. Aga ka värelevad monitorid seintel ja IT-spetsid töölaudade taga nokitsemas.

See on üle ilma tuntud häkkeri Ralph Echemendia valdus. Kuubal sündinud ameeriklane, keda tuntakse „eetilise häkkerina“ (The Ethical Hacker), jagab e-residendina juba alates kevadest aega Tallinna ja Los Angelese vahel. Ta on nõustanud NASAt, Google’it ja Microsofti ning Hollywoodi muusika- ja filmitööstureid. Hoolitsenud ka Edward Snowdenist rääkiva filmi käsikirja tõetruuduse eest ning esinenud suurtel konverentsilavadel.

Nüüd ehitab Echemendia Eestis salapärast mobiiliäppi Seguru, mis peaks avama meie silmad nutimaailmas ning päästma meid inimliku lolluse hävitavate tagajärgede eest.

Kuidas sa Eesti leidsid?

Tulin ühel päeval siia lihtsalt vanalinna vaatama. Olen suur keskaegse ja renessansiarhitektuuri fänn. Armusin sellesse paika jäägitult. Naudin kõike, sealhulgas inimesi, IT arengutaset, maksundust. Siin on mu firma Seguru peakontor.

Mis on Seguru?

Seguru on mobiiliäpp, mis teeb meid päriselt oma nutiseadmete ja digitaalse identiteedi peremeheks.

Kõik tahavad tänapäeval hirmsasti turvata riike ja ettevõtteid. Aga kes mõtleks inimestele? Uurisin inimestelt siin- ja sealpool ­ookeani, mida nad teavad oma nutitelefonist. Kellega see ise suhtleb? Kui palju veedab aega sotsiaalmeedias? Kui suured on e-kirjade manused? Inimesed ei tea nendest asjadest sageli midagi.

Nii asusin juba Los Angeleses äpi prototüüpi tegema.

Mida me äpiga teada saame?

Me ei tule selle pealegi, milliste serveritega meie telefonid suhtlevad. Näiteks mingite Venemaal või Hiinas asuvate turundusserveritega.

Näiteks vaatasin, et mu telefon suhtleb Lõuna-Ameerika serveritega, ehkki ma enda teada ühtegi Lõuna-Ameerika teenust ei kasuta.

Samuti tundus veider, et Facebook küsis mu telefonilt kell 3 öösel minu asukohta. Milleks? Ma ju magan! Ei hakka ju kell 3 kusagile check-in’i tegema.

Seguruga saab kõik selle kontrolli alla võtta. Vajadusel blokeerida ühe või teise riigi servereid. Või anda käsu, et kui ise magad, siis telefon kellegagi ei suhtle.

Muidugi tuleb seda kõike teha targalt. Ei saa lihtsalt nii, et blokime Venemaa ära, aga siis sõidame näiteks Peterburi, kus Apple tahaks meile oma Peterburi või Moskva serverite kaudu saata teateid, kuid ei saa.

Me teame oma telefoni „salaelust“ vist üsna vähe

Kas teadsite, et näiteks Facebook ja Twitter vahetavad kogu aeg infot meie seadmetega, isegi kui me parajasti neid teenuseid ei kasuta? Meie telefon võib vabalt suhelda mõnes küsitavas asukohas paikneva reklaamiserveriga, mis üritab meie telefoni kaaperdada. Ilma Seguruta poleks meil mingit võimalust seda teada.

Väljapressija-pahavara (ransome­ware) on saamas tõsiseks ja ulatuslikuks probleemiks nutitelefonide maailmas, lisaks seal juba levinud andmepüügi-rünnakutele (phishing) ja muule.

Kuidas Seguru meid veel aitab?

ANALÜÜS TASKUST: Seguru äpp näitas esmaspäeva hommikul Echemendiale, et tema telefon asub Eestis ja suhtleb parasjagu mitme Euroopa linnaga. Edasi selgitab Seguru välja, miks.

Ameerikas toimus hiljuti Equifaxi andmeleke. Ameerika suurimal krediidiinfo ettevõttel on kõikide ameeriklaste andmed, kes on kunagi omanud krediitkaarti, sealhulgas minu andmed. Nad teavad meie kohta isegi ema neiupõlvenime ja koerte nimesid. Selgus, et 130 miljoni inimese andmed lekkisid sellest firmast kusagile.

Oletame, et oled näiteks Fells Fargo või Bank of America klient. Äpp on võimeline noppima uudistest üles sind ohustava info ning sulle ütlema: „Toimus Equifaxi leke, vaheta kohe ära oma paroolid Fells Fargos või Bank of Americas.“

Äpp näitab sedagi, kui inimene kulutab liiga palju aega sotsiaalmeediale. Kuidas oleks, kui saaksid teada, et näiteks viimase kolme päeva jooksul oled olnud näiteks 22 tundi Facebookis, Twitteris ja Instagramis? Imestaksid väga! Mõtleksid, mida kõike targemat olnuks selle ajaga teha.

Aasta lõpus kavatseme välja tulla ka lapsevanematele mõeldud Seguruga. Paned äpi oma lapse telefoni ja see hakkab saatma sinu telefonile hoiatusi. Kui su laps vaatab sisu, mida sa ei taha, et ta vaataks, siis Seguru ütleb talle: „Ei, seda ma sulle ei luba.“ Ja sina saad teate selle kohta. Lähed ja räägid oma lapsega.

Kuidas asi tehniliselt toimib?

Me krüptime kogu telefoni suhtlemise eri serveritega, visualiseerime selle ning ütleme, natuke võib-olla isegi meelelahutuslikus võtmes, mida see kõik sulle tähendab. Harivalt, põnevalt, mänguliselt.

Inimesed küsivad kogu aeg: mida teha, et internetis oleks turvalisem? Polegi midagi erilist teha. Et end füüsilises maailmas turvalisemalt tunda, võid selgeks õppida näiteks karate või judo. Aga kui kümme inimest sulle korraga kallale tulevad, ole sa või Bruce Lee, ikka saad tappa.

Just nii võib sinuga juhtuda internetis, kui sul on nutitelefon. Aga sa ei saa võtta digitaalse karate tunde. Seguru võitleb sinu eest.

Miks inimesed seda kõike kipuvad alahindama?

Räägitakse virtuaalsest reaalsusest ja reaalsest reaalsusest. Justkui need oleksid teineteise vastandid. Tegelikult me juba elame virtuaalreaalsuses. Sinu telefon ongi sinu maailm. Kui selle sinult ära võtaksin, oleksid abitu ega mäletaks enam midagi. Mine ükskõik kuhu – panka, politseisse, allkirjasta lepinguid –, kõik on digitaalne!

Eriti Eestis. Siin naerdakse, kui nähakse, kuidas ameeriklased – nii kõrgelt arenenud kui see riik ka poleks – kirjutavad endiselt üksteisele tšekke ehk „ma olen sulle võlgu“-pabereid. Ja kuidas seal võib lihtne internetiülekanne maksta 30–45 dollarit.

KLÕBISEVAD KÄED: maailmakuulsa staarhäkkeri aksesuaareFoto: Priit Simson

Antiviirused on eilne päev?

Üleeilne. Mõtle: kas on olemas veel mõni toode tavalise inimese jaoks, mis tema seadmeid internetis kaitseks, peale antiviiruse? Mitte ühtegi! Aga antiviirus on juba 25 aastat vana. Kuidas saab olla toode, mis on 25 aastat vana, ainus asi, mis tänapäeval arvutikasutajaid kaitseb – ja mis pealegi enam ei tööta? Absurd.

Keegi ei kirjuta tänapäeval viiruseid. Kirjutatakse väljapressija- ja andmepüügi-pahavara. Iga häkker teab, et parim rünnak on sotsiaalne sahkerdamine. Ei ole vaja midagi tehniliselt keerulist. Piisab, kui inimene lihtsalt ära lollitada, õnge tõmmata. Inimlollus pole ennustatav ning sellel puuduvad piirid. Seetõttu ei saa kedagi ka täielikult kaitsta. Ainuüksi see, et inimene mõistab, mida tema telefon teeb, aitab juba kõvasti.

Mida sa saaksid minu telefoniga praegu kurja tahtmise korral ette võtta?

Võiksin panna kaamera ja mikrofoni tööle. Näha kõik kontakte ja fotosid.

Häkkimine ise võtaks mõne sekundi. Igale häkkimisele eelneb infokogumise faas. Tuleb paika panna vektor – millist teed minna, et eesmärgini jõuda. Kas kasutada e-posti, veebilinki või mõnda sinu kasutatavat rakendust.

Ma pean mingi lollusega hakkama saama?

Sa ei saa võtta digitaalse karate tunde, et ent internetis kaitsta. Seguru võitleb sinu eest.

Mitte ilmtingimata. Kui saad kirja näiteks peaministrilt, kes palub sul vaadata teadet ühe kirjale lisatud lingi all – isegi manust pole vaja –, siis sa ju avad selle lingi, eks? Sellist kirja on mul väga lihtne koostada.

Neid riske pole võimalik vältida – keegi on meist alati nupukam. Kuid Seguruga on võimalik neile jälile saada. Sest kui olen häkkerina su telefoni kätte saanud, siis sinu telefon „helistab“ minu arvutile. Ja arvuti küsib: „Olen sees, mida ma peaksin tegema?“

Vanad Nokia-mehed peavad peenikest naeru: me ütlesime, et nutitelefonid on saatanast. Kas nemad on immuunsed?

Keegi pole immuunne. Et olla digitaalohtudest puutumatu, peaks inimene elama väljaspool digitaalmaailma, mis aga pole reaalne.

Eesti on vägev e-riik. Kas see teeb meid ka rohkem haavatavaks?

Eesti on nii digitaalne, et on pigem vähem haavatav kui enamik teisi maailma riike. Erinevalt näiteks USAst on Eesti loonud vajalikud dubleerivad IT-süsteemid (andmesaatkonnad) väljapoole riiki, juhuks kui siin peaks midagi juhtuma.

Suurim risk on ikka ja alati inimene. Ehita kui tahes keeruline ja turvatud IT-süsteem, alati saab ära lollitada inimese. Me lihtsalt toetume niivõrd tugevalt tehnikale ning usume, mida ekraan meile ütleb.

Näiteks kunagi kasutasin ma stripparit, et pääseda väga hästi turvatud andmekeskusesse. Seal olid biomeetrilised läbipääsud, relvastatud valve ja kõik muu. Ma teesklesin, et olen saatjaks stripparile, kes on tellitud üllatusena majja ühele inimesele tema abikaasa poolt. Ja kujuta ette, läbi läks! Turvamehed mitte lihtsalt lasksid meid sisse, vaid vaatasid veel sõud ka pealt. Mina aga täitsin vaikselt oma eesmärgid.

Eestlastega on natuke lihtsam: teil on juba Nõukogude ajast insenerlik mõtteviis ning skepsis. Enamikus teistes riikides kasutavad inimesed tehnikat täiesti hooletult.

KOHE NÄHA, ET VANAD SÕBRAD: Eesti e-riigi asjadest vaimustuses Echemendia kohtus hiljuti Portugalis peaminister Jüri Ratasega.Foto: Erakogu

Septembris teatas Eesti valitsus ID-kaardi turvariskist. Peaministri pressikonverents, kõvad häirekellad, sertifikaadid lukku. Ülereageering?

Reaktsioon oli adekvaatne ja näitas, et Eesti hoolib oma e-riigist. Ka minu ID-kaart suleti. Alati on parem karta kui kahetseda. Tähtis on see, et risk jäigi teoreetiliseks ja see ei realiseerunud. Eesti näitas erilist paindlikkust.

Iga süsteemi saab lahti muukida. Küsimus on lihtsalt selles, kui palju selleks kulub aega ja raha.

Lihtsalt uudishimust keegi ID-kaarti häkkima ei hakka. Küll võib olla tõenäoline poliitiliselt motiveeritud rünnak näiteks Venemaa suunalt. Varem olid sealt tulevad rünnakud puhtalt kriminaalsed.

Aga tegelikult oleks Eesti puhul märksa lihtsam osta ära näiteks mõni kaitsepolitsei ametnik, kui hakata ID-kaarti muukima.

Eesti e-valimistesse usud?

Need on ühed maailma kõige turvalisemad. Üleüldse on Eesti IT-süsteemide usaldusväärsus väga suur.

Mis veel häkkerite töömail akuutset?

Endiselt häkitakse pankadesse ja õngitsetakse sealt väiksemate või suuremate summade haaval võõrast raha. Uuem asi on poliitilised rünnakud, näiteks USA demokraatliku partei serveritesse tungimine.

Aga enam ei käi nii palju rünnakuid telefonide või e-posti kaudu. Järjest enam manipuleeritakse inimestega: rikutakse veebilehekülgi, lollitatakse Facebooki, avaldatakse libauudiseid.

Lisaks sellele levib tööstusspionaaž. Hiina enam ei varjagi, et neil tegeletakse sellega riiklikul tasemel, saamaks intellektuaalset omandit, mis võimaldaks teha paremaid tooteid.

Enamasti me ei tea, kes on rünnakute taga?

Ei teagi. Sest süüdlase tabamine nõuab palju rohkem kui lihtsalt IP-aadressi. Paljud rünnakud tulevad Hiinast või Venemaalt pelgalt seetõttu, et neid tahetakse sellistena näidata. Venelastel on muidugi ka huvitav suhtumine: kõik võivad mida iganes häkkida, kuni ei häkita Venemaa süsteeme.

KÄSI HOLYWOODIS SEES: Echemendia koos vilepuhujast Edward Snowdenist rääkiva filmi „Snowden“ peategelase Joseph Gordon-Levittiga. Häkker nõustas filmitootjaid oma ala nüansside osas.

Kas Putinil on oma häkkerite armee?

Armeed pole vajagi. Väikesest meeskonnast piisab. Ma pole kindel, kas neid peaks kutsuma häkkeriteks või on nad lihtsalt turundajad. Putin pole rumal. Ta oskab inimestega manipuleerida ja infot oskuslikult enda huvides kasutada.

Nii et ärgem kleepigem oma nutiseadmete kaameraid teibiga kinni, vaid…

Arvutil võib kleepida. Telefoni teeb see kasutuskõlbmatuks.

Füüsilises maailmas on orkaanid ja maavärinad. Olen mõlemat kogenud. Kui elad Californias ja maa hakkab värisema, ei tea kunagi, kaua see kestab ja kui suureks paisub. Lihtsalt loodad, et maja pähe ei kuku.

Aga orkaanide puhul me teame, millal need saabuvad, kaua kestavad ja kuhu suunduvad. Katad oma maja aknad laudadega, ostad õige kindlustuse ning sõidad Disneylandi, kuniks asi möödas.

Looduskatastroofe me ära hoida ei saa. Ei füüsilises maailmas ega internetis. Praegu on küberturvalisus nagu maavärin, aga me teeme selle rohkem orkaaniks.