10 spørgsmål til whitehat-hackeren

Den er svær og ikke lige til. Men som udgangspunkt handler det om hensigten, hvilket dog ikke altid er nok i f.eks. en retssag. Hvis jeg har fundet en sårbarhed i et system, jamen så er jeg måske ondsindet, men idet jeg anmelder det og advarer systemejeren om det, så er jeg jo godsindet. Men hvad så, hvis jeg har til hensigt at anmelde det, men blot endnu ikke har fået det gjort? Eller hvis jeg har været nødt til at udnytte sårbarheden for reelt at se, om der er et problem? Det er en flydende grænse og afhænger af personen, der kigger. Personligt er det min påstand, at man har meget svært ved at være whitehat uden at være lidt greyhat også. Jeg kigger dog især på folks hensigt og motivation.

Det er et meget bredt spørgsmål. Det spænder jo fra alt til aktivister og sure teenagere, som bare vil se verden brænde til politisk vinding, økonomisk gevinst og statsfinansierede hacker-grupper, som støtter op om det pågældende lands økonomi.

Hacking handler om, at dem, som har designet og udviklet systemerne, har haft flere antagelser omkring, hvordan tingene er, hvor det for hackeren gælder om at bryde disse antagelser. Eksempelvis kan det være, at man har haft en antagelse om, at når brugeren sender en overførsel, så er beløbet et positivt tal. Men måske man som hacker kan sende et negativt tal eller endda en tekst-streng? Så dybest set skal de studerende blive gode til at identificere sådanne antagelser, fordi der tit findes sårbarheder i det. Og så handler det om som hacker at være nysgerrig. Man skal prikke lidt til tingene og undre sig, hvordan mon dette fungerer?

Det kommer kun til at blive værre. Der er akut mangel på folk inden for cybersikkerhed, der er en høj grad af opslidte folk, fordi tempoet er så højt og belastningen på den enkelte er stor. Derfor står man med en stor udfordring med at beskytte virksomhederne. Især fordi virksomhederne bestemt ikke bliver mindre afhængige af digitale værktøjer.

Den gængse industri har i mange år (fejlagtigt) prøvet at beskytte sig ved store firewalls rundt om virksomhedens netværk, så ingen kunne tilgå enhederne internt. Det er ikke nok, da det interne også skal sikres, men ikke desto mindre der, hvor man har investeret massivt. Det brydes, når nu vi pludselig får alle mulige enheder online med 5G – de er ikke gemt bag ved store firewalls, men kan typisk tilgås direkte udefra. Kombineret med at mange nok er IoT-enheder med begrænset fokus på sikkerhed, så skal det nok blive en fest – bare ikke for virksomhederne.

Rigtig mange virksomheder begynder jo at omlægge til delvist at bruge cloud’en. Det er i udgangspunktet rigtig fint, for så er der mindre lokalt infrastruktur, som står og rådner. Til gengæld skal man være skarp, når man opsætter services i skyen. Der er rigtig mange muligheder, og i standard-konfigurationen er alt langt fra sikkert. Så det skal man i min verden være ekstra opmærksom på som virksomhed – også fordi det er ukendt land for de fleste.

Vi er blevet tudet ørerne fulde af, at phishing er skrevet via Google Translate, dårlig grammatik, utroværdige budskaber, vedhæftede filer etc. Derfor vil man skulle være langt mere opmærksom på, når en veltalende dansker pludselig kontakter virksomheden og prøver at opnå adgang. Det er især, når vi ser på kombinationen af mail, sms, opkald og andre veje, som pludselig kan blive kombineret.

En enhed kan typisk tilgå, hvad der er på det lokale netværk. Samtidig udstilles rigtig mange ting fra computeren via det lokale netværk. Så dybest set: Kompromittér en privat enhed på netværket => scan netværket => find arbejdscomputeren => angrib den => høst data på den + vent på medarbejder aktivt bruger den med VPN => adgang ind i virksomhedens netværk.

Bygge bedre, sikrere systemer. Det kræver også, at vi generelt har et langt større fokus på sikkerhed helt i designfasen af produkter – noget som typisk ellers sker til sidst eller slet ikke. Sekundært, så kan awareness være med til at mindske (aldrig fjerne) mængden af trusler, som skal blokeres af vores sikkerhedssystemer.

Som set ovenfor, tror jeg aldrig awareness bliver nok i sig selv. Hackerne skal nok komme ind i virksomheder, selv hvor der ingen medarbejdere er involveret. Til gengæld vil meget af det mindre målrettede kunne stoppes, ved at man uddanner sine medarbejdere. Derfor er der god værdi i at uddanne dem.