Etiske hackere bliver betalt for at hacke sig ind i virksomheders systemer og udpege deres sårbarheder

Etiske hackere bruges af mange virksomheder til, med vilje, at få hacket netværk og systemer for at finde sårbarheder og svagheder i egne IT-systemer. Denne slags hackere – også kendt som white hat hackers - kan gå ind og kompromittere netværk og undersøge sårbarheder, og kan være et effektivt redskab til at få undersøgt sikkerheden i organisationens IT-systemer. De etiske hackere bruger værktøjer indenfor lovens rammer til at udbedre sikkerheden hos virksomheder og organisationer, og kan på den måde hjælpe med at komme hackere med kriminelle eller ondsigtede hensigter i forkøbet.

Vi har talt med Tom Van de Wiele, som er etisk hacker og arbejder for firmaet F-Secure i deres ”red team”. Hans arbejde består netop i at bryde ind i virksomheder eller organisationers it-infrastruktur, for at finde eventuelle huller i deres sikkerhedssystemer, før de ”rigtige” hackere slår til.

”Vi finder altid en vej ind. Hvis ikke det lykkedes at få én eneste medarbejder til at klikke på fx en phishing-mail, så kører vi hen til kontoret, og så bryder vi fysisk ind i bygningen”.

Tom Van de Wiele, F-Secure

test

Det lykkedes altid at komme ind

Som en del af processen er det deres opgave, at ”blive fanget på fersk gerning” af virksomheden på et givent tidspunkt i løbet af testperioden. Van de Wieles team er nemlig hyret til at afprøve hele virksomhedens respons på en sikkerhedshændelse: ”Vi finder altid en vej ind. Hvis ikke det lykkedes at få én eneste medarbejder til at klikke på fx en phishing-mail, så kører vi hen til kontoret, og så bryder vi fysisk ind i bygningen”. Han understreger, at alt de foretager sig, er indenfor lovens rammer. Van de Wieles team udarbejder i samarbejde med virksomheden en model, hvor de mest sandsynlige trusler bliver fastsat på forhånd.

Van de Wiele og hans red-team laver fx penetrationstest og bryder ind via internettet eller i bygningen og stjæler det mest kritiske for virksomheden som fx handelsalgoritmer, adgang til kritiske cloudservices og SAP-databaser. De kan også, med virksomhedens samtykke, plante software som fx en bagdør, eller stjæle en fysisk værdifuld ting i bygningen. De bliver ansat til at tænke og handle akkurat ligesom de cyberkriminelle.

Hackertankegang fra barnsben

Van de Wiele har siden han var 11 været interesseret i internettet og computere. Her fiskede han reservedele op fra containere og skraldespande og gik i gang med at bygge sin egen pc. Han købte sit første computerspil for sine egne hårdt tjente penge, men spillet nægtede ham adgang. Derfor blev det hans mission at tilegne sig adgang til spillet, og det var i dét øjeblik, at Van de Wieles hackertankegang spirede. Han blev fascineret, og næsten besat af at få adgang, og dermed få kontrollen over spillet. I hans øjne er det netop besættelsen af at ”bryde ind”, som der kendetegner en god hacker: ”Vi bøjer alt, bryder alt, og prøver alt, for at se hvor langt vi kan komme ind”. Van de Wiele er selvlært etisk hacker, og han har undervejs haft mentorer, som har inspireret ham og lært ham meget. Tom Van de Wiele startede sin karriere som Linux systemadministrator for 20 år siden og er nu Principal Security Consultant.

Tillid er en trussel

Van de Wiele fortæller, at danskere generelt udviser stor tillid til hinanden, men det kan give bagslag, når det kommer til sikkerhed. Fordi tillid er ikke en sikkerhedsmodel. Med it-sikkerhed er det generelt vigtigt, at sikkerhedsprocedurerne er de samme for alle, og at alle medarbejdere ved, hvad de skal foretage sig, hvis de oplever et sikkerhedsbrud eller en mistænksom hændelse. Van de Wiele fortæller om en awareness-opgave, hvor han gik frit rundt og tog billeder af de ansatte, uden at nogen i virksomheden stillede spørgsmålstegn ved hans tilstedeværelse. ”De ansatte kiggede på mig, uden at sige noget, og de kiggede endda på mit adgangskort, hvor jeg i øvrigt hed Mickey Mouse. Efter 5 minutter var der en medarbejder, som endelig prikkede mig på skulderen. Han spurgte om jeg ikke ville tage blitzen fra kameraet, da det forstyrrede medarbejderne.” Van de Wiele oplever, at tilliden blandt danskere generelt er for stor, og det kan udgøre en stor sikkerhedstrussel for virksomheden. Derfor er kulturen i virksomheden afgørende for sikkerheden, og at medarbejderne er opmærksomme og på vagt.

Ifølge Van de Wiele falder det ikke danskere naturligt at skulle udspørge eller konfrontere andre. Holdningen er ofte, at hvis du ikke arbejder i sikkerhedsafdelingen, så er det ikke din opgave at holde øje med sikkerheden. Men Van de Wiele fortæller at: ”Teknisk set, så arbejder alle i en virksomhed med sikkerhed. Sikkerhedsproceduren burde være den samme for alle – det skal være nemt for medarbejderne at bidrage til firmaets sikkerhed, og det gælder både for dem der har været ansat i én dag eller i 20 år”.

Vigtig observation af fysisk adfærd

Van de Wieles team er også trænet i social engineering, hvor de observerer menneskers adfærd og kropssprog. På den måde kan de hurtigere spotte ubudne gæster eller uærlige medarbejdere. Det er ifølge Van de Wiele ekstrem enkelt for de it-kriminelle at komme ind fysisk i bygningen, på trods af sikkerhedsdøre og adgangskort. Van de Wiele har igennem flere år observeret, at mange danskere har adgangskort synlige hængende til fri skue i offentligheden, og disse kan klones meget nemt og på relativ kort tid. En rutineret hacker kan også udløse sensoren ved døren, som enten er baseret på temperatur eller bevægelse, ved hjælp af en trykluftsbeholder, og på den måde tilegne sig adgang.

Sikkerhed i fremtiden

Ifølge Van de Wiele, vil der også være brug for etiske hackere i fremtiden. Han mener, at det stadig er en af de mest effektive måder, hvorpå en virksomhed kan teste summen af deres samlede sikkerhedsprocedurer og foranstaltninger og dermed finde frem til, om deres sikkerhed er tilstrækkelig til at beskytte værdifulde data. 

Van de Wiele siger, at der ikke er nogle systemer, som er 100 % sikre. Det betyder, at de sikkerhedsforanstaltninger, som kan foretages, primært går ud på at gøre det mere besværligt for hackerne at trænge ind. Når det er mere besværligt, så bliver det også dyrere og ekstra tidskrævende. Men ifølge Van de Wiele vil der altid være brug for at teste og optimere sikkerhedsforanstaltningerne. Han slutter af med:  ”Vi har intet håb om at beskytte os selv mod truslerne, hvis vi ikke ved, hvad der skal beskyttes, hvilke steder vi er mest udsatte, og hvordan det bliver udnyttet”. 
 

whitehat

Her kan du finde teknisk information og formularer, som er relevant i arbejdet som registrator eller navneserveransvarlig. Her kan du finde teknisk information og formularer, som er relevant i arbejdet som registrator eller navneserveransvarlig. Her kan du finde teknisk information og formularer, som er relevant i arbejdet som registrator eller navneserveransvarlig. Her kan du finde teknisk information og formularer, som er relevant i arbejdet som registrator eller navneserveransvarlig.

Copyright 2016 All Rights Reserved.