jouni.rosenlof@jrcomplex.fi

Curriculum Vitae

"Complex World Needs Simple Solutions"

Jouni Rosenlöf – Curriculum vitae

Over past twenty years I have been working with complex security and ICT infrastructure projects. My skills and experience cover deep technical expertise and understanding of large scale technical environments. Since 2003 I have been working as an entrepreneur in my company JRComplex Oy.

My work in JRComplex is based on customer success. It means promise that I can achieve goals with high quality. I can offer highly flexible services and understand individual customer needs. As an end result customer gets high quality solutions. Many of my customer contracts have lasted several years.

In information security I have focused on penetration testing. I have made couple hundred penetration testing projects against all kinds of targets. I have discovered several Zero Day exploits and hacked numerous production systems. In one of my projects I hacked large financial corporation production systems in admin level.

I have done many forensics projects where I have analyzed security breaches. I have done many security hardening projects, IDS/IPS, IPSec, SSL, ssh 2fa, I have hacked mobile applications, etc. I have also been head trainer for information security educational programs. I have also worked as a GDPR responsible data protection officer.

In infrastructure consulting, I’m known as a problem solver and architect. I can design best practice solutions, deploy production systems, do performance tuning and fix all kinds of technical problems. I have deployed numerous critical high availability clusters and solutions.

As an example of my expertise, in my 2018 – 2020 project I made transformation from old virtual host based monolithic infrastructure to new K8s DevOps container infrastructure. I was also responsible person for transferring production into new data center and service provider. As a CIO I had invite tenders for service providers, created selection requirements, interviewed final candidates and finally selected winner. I negotiated all service and SLA agreements.

As s technical specialist I personally designed the whole new architecture, created multiple K8s clusters, also K8s high availability versions and automated all installations with Terraform and Ansible. I created DevOps pipeline between GitHub and K8s and I was choosing and testing container building service. When cluster deployment process was finished, I created all K8s monitoring systems with Prometheus and build application deployment yamls. You can find more details about that project from here.

I’m very focused and committed to objectives. I work well under pressure, take responsibility and enjoy challenges. I’m self-guided and self-imposed, I have wide experience from projects where I have had responsibility to start from zero to full scale critical high availability production infrastructure. I can lead projects or work as a member of specialists team. I have excellent negotiation skills, over the decades I have personally negotiated and sold all my projects.

I have worked with: state administration, defense administration, healthcare-, financial-, broadcasting-, industrial sector and with all kinds of high tech companies.

You can more references from here.

You can find demo projects from here.

You can find my Android hacks from here.

My LinkedIn profile from here.

CV

2003 – JRComplex Oy, entrepreneur

2019 – 2020 CIO, Valuecode Oy

2018 – 2020 Data protection officer, Valuecode Oy

2000 – 2003 AtBusiness Communications, security specialist

1998 – 2000 KPMG Oyj, security specialist

1996 – 1997 Vaasa Electronics, software developer

Education

1999 M.sc. Information technology, University of Vaasa

Certifications

1999 CISA (Certified System Auditor)

2000 CISSP (Certified information system Security Professional)

Language skills Finnish, English

Services

JRComplex offer penetration testing, security auditing, DevOps, Kubernetes and ICT infrastructure services. 

Information Security services

In information security I’m focused on penetration testing, which I have done over 22 years. My strong hacker background has also been used in many forensics projects where I have analysed security breaches. I have also done several information security education courses.

Infrastructure services

In infrastructure technology I’m focused on open source and Linux based solutions. I have done several full scale production system design and deployments, system administration, Infrastructure as code design and deployments, DevOps design and deployments and many more. All of them from zero to fully operational production.

As an example, I designed high availability private cloud cluster solution for 200 employee organization. I started from installing new hardware and configuring fibre channel storage to fully operational critical cloud solution. I also did legacy systems migration to new infrastructure. 

 

Jouni Rosenlöf – Curriculum vitae

22 vuoden ajan olen työskennellyt vaativien tietoturvaprojektien ja ict-infrastruktuurien parissa. Laaja-alainen osaamiseni on yhdistelmä kokonaisuuksien hallintaa ja syvällistä teknistä osaamista. Vuodesta 2003 saakka olen toiminut yrittäjänä perustamassani yrityksessä JRComplex Oy:ssä.

JRComplex Oy:n toiminta perustuu asiakastyytyväisyyteen. Asiakastyytyväisyys tarkoittaa lupausta, että saavutan tavoitteet, toteutan ja toimitan sovitut asiat parhaalla mahdollisella laatutasolla. Olen työskennellyt niin Valtionhallinnon kuin lukuisien suurien ja pienien yritysten kanssa. Pystyn tarjoamaan palvelua joustavasti ja toteuttamaan projektit huomioiden asiakkaan yksilölliset tarpeet. Lopputuloksena asiakas saa laadukkaasti toteutettuja ja tehokkuutta tuovia ratkaisuja, uutta osaamista sekä uusia toimintatapoja. Monet asiakassuhteeni ovat kestäneet vuosia ja jopa vuosikymmeniä.

Tietoturvassa olen erikoistunut haavoittuvuustestaukseen. Olen tehnyt noin pari sataa haavoittuvuustestausta urani aikana lukuisiin erilaisiin  kohteisiin. Olen murtautunut lähes kaikkien toimialojen järjestelmiin ja löytänyt useita ns. Zero Day exploitteja kaupallisista ratkaisuista. Vahvaa tietomurto-osaamistani on usein hyödynnetty myös silloin kun on täytynyt selvittää jo tapahtuneita tietomurtoja.

Avoimen lähdekoodin järjestelmien konsultoinnissa minut tunnetaan ongelmanratkaisijana, olen usein tullut paikalle kun kriittiset tuotantojärjestelmät tulee saada nopeasti ja varmasti toimintakuntoon. Olen ollut vaativissa tilanteissa missä järjestelmät on pitänyt saada toimintaan tai seuraavana päivänä olisi jouduttu lomauttamaan satoja ihmisiä. Tämänkaltaisten tilanteiden ratkaiseminen vaatii aina luovuutta, paineensietokykyä ja laaja-alaista kokemusta.

Vuosina 2018 – 2020 olen työskennellyt Kubernetes infrastruktuurien parissa ja toteuttanut Valuecode Oy:n siirtymän perinteisestä  arkkitehtuurista täysin automatisoituun DevOps Kubernetes infrastruktuuriin.

Olen määrätietoinen ja tavoitteisiin sitoutuva. Työskentelen hyvin paineen alla, otan vastuuta ja nautin haasteiden selvittämisestä. Minulla on erinomaiset neuvottelutaidot ja pystyn hyvin johtamaan projektia,  asiantuntijoita tai työskentelemään osana tiimiä. Referenssejä toteuttamistani lukuisista projekteista löydät yritykseni sivulta.

CV

2003 – JRComplex Oy, toimitusjohtaja

2019 – 2020 Valuecode Oy CIO

2018 – 2020 Valuecode Oy Tietosuojavastaava

2000 – 2003 AtBusiness Communications, Tietoturva- asiantuntija

1998 – 2000 KPMG Oy, Tietoturva-asiantuntija

1996 – 1997 Vaasa Electronics, Systeemisuunnittelija

Koulutus

1999 Vaasan Yliopisto, Kauppatieteiden maisterin tutkinto  tietotekniikan koulutusohjelma

Sertfikaatit

1999 CISA (Certified System Auditor)

2000 CISSP (Certified information system Security Professional)

Kielitaito

suomi, erinomainen englanti, kohtuullinen ruotsi ja espanjan perusteet

Palvelut

Yritykseni palvelut koostuvat avoimen koodin ja infraratkaisujen konsultoinnista sekä haavoittuvuustestauksesta. Tietoturvallisuudessa olen erikoistunut haavoittuvuustestaukseen, missä olen Suomen ehdottomia huippuja. Todisteena tästä ovat lukuista onnistuneet asiakasprojektit, missä olen onnistunut murtautumaan asiakkaiden järjestelmiin. Kaikkiaan olen omakätisesti toteuttanut arviolta pari sataa haavoittuvuustestaus hanketta.

Infraratkaisuissa olen erikoistunut DevOps, Kubernetes ja container teknologioihin. Olen viimeiset kolme vuotta työskennellyt hyvin tiiviisti infraratkaisujen parissa ja toteuttanut Valuecode Oy:n DevOps siirtymän perinteisestä arkkitehtuurista täysin automatisoituun kubernetes ja DevOps infraan.

Vahvaa tietomurto-osaamistani olen hyödyntänyt forensiikka tutkimuksissa, missä olen selvittänyt jo tapahtuneita tietomurtoja, sekä lukuisissa tietoturvakoulutuksissa joita olen pitänyt.

Olen toiminut lukuisia kertoja kokonaisvastuullisena järjestelmätoimittajana, missä olen vastannut suurien kokonaisuuksien suunnittelusta ja toteutuksesta alusta loppuun saakka, esimerkkinä vaikka pilviratkaisu kahden sadan hengen organisaatiolle. Projektin lopussa asiakkaan koko operatiivinen toiminta oli siirretty toteuttamaani Private Cloud- pilveen. Tässäkin tapauksessa yhteistyö jatkui useita vuosia.

Erikoisosaaminen aihealueittain

20 vuoden aikana olen ollut monissa projekteissa mukana ja syvällistä osaamista on kertynyt laajasti. Alla vielä listattuna osaamiseni ja millaisia toteutuksia olen tehnyt.

Infraratkaisut

Olen työskennellyt vuosia tietohallintopäällikkönä ja mm. vastannut palveluntuottajien kilpailuttamisesta määrittelemieni kriteerien mukaan.

Olen neuvotellut palveluntuottajan SLA- ja palvelusopimukset.

Olen suunnitellut ja toteuttanut konesalisiirtymän kaikkine palveluineen ja tuotantojärjestelmineen uudelle paveluntuottajalle.

Olen rakentanut asiakkaan DevOps putken tarkoittaen kaikkia niitä teknisiä komponentteja millä ohjelmistot siirtyvät koodarilta tuotantoon. Olen valinnut kaikki tähän liittyvät tekniset komponentit ja suunnitellut ja toteuttanut koko Pipelinen.

Olen suunnitellut ja toteuttanut asiakkaan Kubernetes tuotantoklusterit. Toteuksen olen tehnyt täysin automatisoituna Infrastructure as code ratkaisuna hyödyntäen Terraform ja Ansible teknologioita.

Olen suunnitellut ja toteuttanut asiakkaan tuotantoratkaisujen applikaatioiden Kubernetes container Pod yaml konfiguraatiot.

Olen suunnitellut ja toteuttanut infra ratkaisujen valvonta- ja monitorointi  ratkaisut hyödyntäen Prometheus, Alermanager, Grafana ja Nagios teknologioita.

Olen räätälöinyt Kubernetes klusterit asiakkaan applikaation ympärille.

Olen suunnitellut ja toteuttanut kaikki asiakkaan Kubernetes tiedostonsiirtoratkaisut.

Olen suunnitellut ja toteuttanut Kuberneteksen tietoturvaratkaisuja.

Olen suunnitellut ja toteuttanut Kubernetes klustereiden suorituskykyparametrointia.

Olen suunnitellut ja toteuttanut Kubernetes klustereiden sisäisen arkkitehtuurin.

Olen suunnitellut ja toteuttanut Kubernetes klustereiden storage ratkaisuja hyödyntäen NFS, Ceph, Cepfs ja Rook teknologioita.

Olen suunnitellut ja toteuttanut asiakkaan Kubernetes klustereiden tietoliikenneratkaisut.

Olen suunnitellut ja toteuttanut järjestelmien hallintaratkaisut.

Olen suunnitellut ja toteuttanut ssh 2fa tietoliikenne ratkaisut.

Olen suunnitellut ja toteuttanut Kubernetes containereiden applikaatiolokien keräilyratkaisun ulkopuoliselle syslog serverille.

Olen osallistunut lukuisien infraan liittyvien ongelmatilanteiden selvittämiseen.

Olen suunnitellut ja toteuttanut VRK toimikortti client sertifikaatti ratkaisun Kubernetes container ympäristöön.

Olen suunnitellut ja toteuttanut Kubernetes klustereiden päivitysratkaisut.

Olen kouluttanut Linuxin korkean käytettävyyden kluster teknologioita ja tietoturvaa.

Olen konsultoinut lukuisia järjestelmähankkeita.

Olen ylläpitänyt lukuisia Linux järjestelmiä.

Olen tehnyt tietoturvakovennuksia lukuisiin Linux järjestelmiin.

Olen asentanut korkean käytettävyyden klusteri- ja pilviratkaisun Fujitsulle, Puolustushallinnon rakennuslaitokselle, KWH yhtymälle ja  konsultoinut aiheesta mm. Konecranes:ia.

Olen toimittanut asiakkaille avoimen koodin VPN ja Ipsec ratkaisuja, sähköpostipalvelimia, www palvelimia, palomuureja, ssh  etäkäyttöratkaisuja jne.

Olen toimittanut Nokialle Bind9 DNS järjestelmän.

Olen asentanut linux palvelinalustoja Oracle tietokannoille Työterveys- ja  merenkulkulaitokselle.

Olen rakentanut Suomen ensimmäisen tuotanto virtualisointiratkaisun Sles alustalle.

Olen migroinut KWH yhtymällä järjestelmiä täysin eri teknologia-alustalta toiseen.

Olen toimittanut asiakkaille erilaisia kovennuksia ja riisuttuja järjestelmiä.

Olen toimittanut tietoturvallisuuden valvontaratkaisuja, keskitettyjä lokiratkaisuja, lokien valvontaratkaisuja jne.

Mobiiliratkaisut

Olen tehnyt mobiiliratkaisujen haavoittuvuustestausta, murtautunut merkittävän kokoluokan toimijan Android applikaatioon ja perehtynyt Android ohjelmistokehitykseen.

ANDROID APPLIKAATION HAAVOITTUVUUSTESTAUS

Haavoittuvuustestaus

Olen murtautunut pääkäyttäjäoikeuksilla erään suuren eläkevakuuttajan CRM järjestelmään.

Yle Areenan erään version julkistusta jouduttiin viivästyttämään löydettyäni sieltä haavoittuvuuden.

Olen murtautunut sql injektiolla erään rahoitusalan asiakkaan loppuasiakasjärjestelmään.

Olen murtautunut HR palveluntarjoajan järjestelmään.

Olen murtautunut sql injektiolla kerralla erään palveluntuottajan kaikkien asiakkaiden tietokantoihin.

Olen löytänyt ns. Zero Day exploitin eräästä CMS järjestelmästä.

Olen murtautunut ammattitutkintoja järjestävän organisaation tutkintojärjestelmään.

Olen murtautunut Helsingin Pelastuslaitoksen käyttämään ensihoitojärjestelmään.

Olen saanut haltuuni pääkäyttäjäoikeuksia YleX yhteisöpalveluun.

Olen murtautunut Sametime videoneuvotteluratkaisuun.

Olen murtautunut erään organisaation testaamaan verkkokaupparatkaisuun.

Olen tehnyt haavoittuvuustestauksen RAY:n peliautomaattiin.

TUTUSTU PALVELUUN

 

Forensiikka 

Olen selvittänyt erään julkishallinnon käyttämän mobiililaitteiden hallintajärjestelmän tietomurtotapauksen.

Olen selvittänyt erään yrityksen VOIP järjestelmään tehdyn murron, jonka seurauksena yritykselle aiheutui 30 000€ puhelinlasku.

Olen selvittänyt 2011 laajaa mediahuomiota saaneen oppilaitostietovuodon.

TUTUSTU TIETOTURVAPALVELUIHIN

Auditointiosaaminen

Olen auditoinut Ylellä uutis- ja radiotuotannon CMS järjestelmiä, yhteisöpalveluita, lastenpalveluita, vaalikoneita, tiedostojenvaihtojärjestelmän, Sharepointin, videoneuvotteluratkaisun, hakukoneita, ldap:ia, jne.

Olen auditoinut SOK:n sisäisen tarkastuksen projektissa, Valtioneuvoston kansliassa ja Valtiovarainmisteriön useissa hankkeissa.

Olen ollut mukana tietoturva-asiantuntijana valtionhallinnon Vahti hankkeissa. Olen auditoinut tietoturvariskejä kaikissa KWH yhtymän tuotantolaitoksissa.

Olen auditoinut Profix kassajärjestelmää.

AUDITOINTIPROJEKTIN ETENEMINEN

 

Ohjelmistot

Olen koodannut asiakkaalle ohjelmiston, jonka ansiosta HA klusteri voitiin säilyttää ajossa ja lukea uudet tiedot online luotaessa kuitulevyjärjestelmässä uusi LUN klusterin käyttöön (Python).

Olen koodannut asiakkaalle HA klusterikomponentin, jolla voitiin pakottaa tietty verkkoratkaisu tietylle kriittiselle ja muista palveluista tietoturvasyistä eristettävälle virtuaalikoneelle fail over- tilanteessa (Bash / Python).

Olen koodannut Fujitsulle klusterin asennus-skriptin, jolla asennus voitiin automatisoida (Bash).

Osaan lukea ja koodata assemblerilla ja murtauduinkin Helsingin Pelastuslaitoksen keississä tunnistuksen ohi kräkkäämällä applikaation suoraan exe- tasolla.

Pystyn tuottamaan koodia: Perl, Bash, Expect, Python, Go ja jossain määrin myös Kotlinia Android alustalle.

 

Erikoisuudet

Olen analysoinut tiedostojärjestelmiä hyvin matalalla tasolla mm. tuhoutuneen datan palautus hankkeissa.

Olen tehnyt Input – Output- performance analyysiä tiedostojärjestelmille.

Olen tehnyt useita lähdekoodi auditointeja, erityisesti PHP:lle.

Olen tehnyt IPS/IDS analyysiä, demonnut eräässä tietoturvakoulutuksessa SSL suojatun yhteyden man-in-the-Middle– hyökkäystä, tehnyt arp spooffausta, DNS poisoningia jne.

Olen tehnyt tietoliikenneprotokollan testausta bittitasolla, tehnyt tietoliikenteen replay- hyökkäystä, tehnyt XSS ja CSRF hyökkäyksiä, analysoinut CORS- hyökkäysten riskejä.

Olen perehtynyt syvällisesti klusteritiedostojärjestelmiin.

Kouluttaminen

Olen vastannut pääkouluttajana Tampereen Teknillisellä Yliopistolla insinöörien muuntokoulutuksesta tietoturva-alalle.

Olen esiintynyt lukuisissa tilaisuuksissa ja vastannut mm. Suse suomen HA klusteri ja KVM koulutuksista. Olen vastannut KWH Mirkan tietoturvallisuuspäivän koulutuksista.

KONSULTOINTIPALVELUT

 

Kiinnostuitko?