10 spørgsmål til whitehat-hackeren

17. juni 2022 | Sikkerhed | 5 min.
Er du nysgerrig på, hvad en hacker har at sige om sikkerheden i dansk erhvervsliv? Læs hackeren Morten Eskildsens svar på 10 spørgsmål om aktuelle tendenser inden for IT-kriminalitet.

 

1. Hvem eller hvad afgør, hvor grænsen går, når man kalder sig whitehat-hacker contra it-kriminel?

Den er svær og ikke lige til. Men som udgangspunkt handler det om hensigten, hvilket dog ikke altid er nok i f.eks. en retssag. Hvis jeg har fundet en sårbarhed i et system, jamen så er jeg måske ondsindet, men idet jeg anmelder det og advarer systemejeren om det, så er jeg jo godsindet. Men hvad så, hvis jeg har til hensigt at anmelde det, men blot endnu ikke har fået det gjort? Eller hvis jeg har været nødt til at udnytte sårbarheden for reelt at se, om der er et problem?

Det er en flydende grænse og afhænger af personen, der kigger. Personligt er det min påstand, at man har meget svært ved at være whitehat uden at være lidt greyhat også. Jeg kigger dog især på folks hensigt og motivation.

 

2. Hvad tænker du motivationen/motivationerne er hos de forskellige hacker-grupper?

Det er et meget bredt spørgsmål. Det spænder jo fra alt til aktivister og sure teenagere, som bare vil se verden brænde til politisk vinding, økonomisk gevinst og statsfinansierede hacker-grupper, som støtter op om det pågældende lands økonomi.

 

3. Du har fortalt, at du også har undervist på Aarhus Universitet i at ”tænke som en hacker”. Kan du prøve at forklare det? Hvordan skal de studerende tænke/hvordan mener du, at en hacker tænker?

Hacking handler om, at dem, som har designet og udviklet systemerne, har haft flere antagelser omkring, hvordan tingene er, hvor det for hackeren gælder om at bryde disse antagelser. Eksempelvis kan det være, at man har haft en antagelse om, at når brugeren sender en overførsel, så er beløbet et positivt tal. Men måske man som hacker kan sende et negativt tal eller endda en tekst-streng?

Så dybest set skal de studerende blive gode til at identificere sådanne antagelser, fordi der tit findes sårbarheder i det. Og så handler det om som hacker at være nysgerrig. Man skal prikke lidt til tingene og undre sig, hvordan mon dette fungerer?

 

4. Hvad tænker du, at vi kan forvente, der kommer til at ske over de næste par år inden for cyber-trusler?

Det kommer kun til at blive værre. Der er akut mangel på folk inden for cybersikkerhed, der er en høj grad af opslidte folk, fordi tempoet er så højt og belastningen på den enkelte er stor. Derfor står man med en stor udfordring med at beskytte virksomhederne. Især fordi virksomhederne bestemt ikke bliver mindre afhængige af digitale værktøjer.

 

5. Hvilke nye hacker-muligheder og -trusler giver udrulningen af 5G?

Den gængse industri har i mange år (fejlagtigt) prøvet at beskytte sig ved store firewalls rundt om virksomhedens netværk, så ingen kunne tilgå enhederne internt. Det er ikke nok, da det interne også skal sikres, men ikke desto mindre der, hvor man har investeret massivt. Det brydes, når nu vi pludselig får alle mulige enheder online med 5G – de er ikke gemt bag ved store firewalls, men kan typisk tilgås direkte udefra. Kombineret med at mange nok er IoT-enheder med begrænset fokus på sikkerhed, så skal det nok blive en fest – bare ikke for virksomhederne.

 

6. Hvor ser du de mest potentielle sikkerhedstrusler lige nu?

Rigtig mange virksomheder begynder jo at omlægge til delvist at bruge cloud’en. Det er i udgangspunktet rigtig fint, for så er der mindre lokalt infrastruktur, som står og rådner. Til gengæld skal man være skarp, når man opsætter services i skyen. Der er rigtig mange muligheder, og i standard-konfigurationen er alt langt fra sikkert. Så det skal man i min verden være ekstra opmærksom på som virksomhed – også fordi det er ukendt land for de fleste.

 

7. Hvilke konkrete typer af trusler/metoder til at narre brugeren skal medarbejderen være opmærksom på for tiden?

Vi er blevet tudet ørerne fulde af, at phishing er skrevet via Google Translate, dårlig grammatik, utroværdige budskaber, vedhæftede filer etc. Derfor vil man skulle være langt mere opmærksom på, når en veltalende dansker pludselig kontakter virksomheden og prøver at opnå adgang. Det er især, når vi ser på kombinationen af mail, sms, opkald og andre veje, som pludselig kan blive kombineret.

 

8. Kan du beskrive en metode for at få adgang til en virksomheds data gennem private enheder på en families private netværk?

En enhed kan typisk tilgå, hvad der er på det lokale netværk. Samtidig udstilles rigtig mange ting fra computeren via det lokale netværk. Så dybest set:

Kompromittér en privat enhed på netværket => scan netværket => find arbejdscomputeren => angrib den => høst data på den + vent på medarbejder aktivt bruger den med VPN => adgang ind i virksomhedens netværk.

 

9. Hvad skal vi gøre for at forebygge den stigende sikkerhedstrussel?

Bygge bedre, sikrere systemer. Det kræver også, at vi generelt har et langt større fokus på sikkerhed helt i designfasen af produkter – noget som typisk ellers sker til sidst eller slet ikke. Sekundært, så kan awareness være med til at mindske (aldrig fjerne) mængden af trusler, som skal blokeres af vores sikkerhedssystemer.

 

10. Er du enig i, at det starter med mennesker, og at vi bør uddanne medarbejderne, så de træffer fornuftige beslutninger og valg, hvad angår it-sikkerhed?

Som set ovenfor, tror jeg aldrig awareness bliver nok i sig selv. Hackerne skal nok komme ind i virksomheder, selv hvor der ingen medarbejdere er involveret. Til gengæld vil meget af det mindre målrettede kunne stoppes, ved at man uddanner sine medarbejdere. Derfor er der god værdi i at uddanne dem.

 

E-bog: 7 metoder til at bryde ind i din virksomhed

E-bog: 7 metoder til at bryde ind i din virksomhed

Vil du læse mere om hackeren Morten Eskildsen?

 

Sammen med Morten Eskildsen lukkes vi ind i cyberkriminalitetens verden. I vores e-bog finder du bl.a. syv sårbarheder, som Morten vil lede efter, hvis hans hacker-radar tuner sig ind på jeres virksomhed.

Gode råd og artikler om sikkerhed

See alle artikler og nyheder

Skal vi finde den rigtige løsning til din virksomhed?

Kundeservice ikon

Vores eksperter er klar til at hjælpe dig i gang med den rigtige løsning.

Bestil et opkald