8 minute read
IT-sikkerhed: I mørket er alle katte grå
from Bizz Up Efterår 2021
by Bizz Up
I mørket er alle katte grå
Advertisement
Hackeren og Tricktyven på ’cyber raid’ i erhvervslivet
Tekst: Ida Ulrich Bregnhøj / Foto: Privat
Vi har nok alle sammen mødt dem i én eller anden form. Den hjælpsomme mail om en forsendelse, du lige skal klikke på et link for at modtage. Pigen i undergrundsbanen, som spørger om vej, mens makkeren tømmer dine lommer. Eller den akneplettede kælderninja, som på syv minutter penetrerer det digitale fort på din hjemmecomputer (tak til det geniale password Kæledyrs_NaVn_Og-dit-husnumm3r), hvorefter bogstaverne i dit dokument ét for ét falder ned, og lander i en bunke i bunden af skærmen. Grineren.
Vi har efterhånden lært, at sund fornuft eller en rask firewall kan holde de værste bedragere og drillepinde fra at få adgang til vores data. Men hvad med de fysiske hackere – kender vi dem? Ham der smutter ind ad bagdøren hos tech-giganten sammen med rygerne og et klonet adgangskort, eller hende der kommer igennem receptionens sikkerhedskontrol, fordi ”nogen” har sluppet en hund løs i foyeren? Det lyder måske som en lidt for smart Egon Olsen-situation, hvor man lige skal bruge et billede af Kongefamilien for at komme ind til Franz Jägeren – men det er faktisk eksempler på virkelige angreb hos store virksomheder, designet til at afsløre svagheder i organisationernes sikkerhedsprotokoller.
Stresstest med en hær i ryggen
Hos Defensive, danskejet konsulentvirksomhed inden for highend security, beskæftiger man sig med alt fra IT-sikkerhed til brand protection og dybdegående baggrundstjek. Defensive er konsulenter, IT-nørder, tidligere politifolk, PET-agenter og hackere, som bliver hyret til at stressteste systemer og procedurer hos danske og udenlandske virksomheder, med det formål at finde hullerne i osten. Og så tager de på tur med deres underholdende og informative show ”Hackeren og Tricktyven”, som med en blanding af trylleri og manipulation klæder tilskuerne på til at styrke det svageste led i enhver sikkerhedsprotokol: Mennesket.
De ubudne gæster hacker mennesker, ikke systemer
Allan Bo Jensen, Co-founder hos Defensive, fortæller at det netop er mennesker, som både er ”first line of defense”, men også det svageste led i en sikkerhedsprotokol. Måske har man procedurerne på plads, men de er somme tider ikke mere nuancerede, end at de kan manipuleres eller overbelastes. ”Når vores Red Team
laver et live hack, som vi kalder det, gælder alle kneb. De bruger droner, løse dyr, telefonstorm eller falske identiteter for at narre eller distrahere målet – for det er sådan, et virkeligt angreb kan foregå. Ofte opdager de slet ikke, hvad der er sket, eller mangler en procedure for
uforudsigelige hændelser," forklarer han.
For en udenforstående er eksemplerne på designede angreb nærmest søgte, for der går fuld ”Hollywoodfilm” i den, når Defensives team får en opgave med et live hack. Allan Bo Jensen forklarer, at en stresstest kan være en simpel opgave, som at nå et bestemt kontor uden at blive set eller stoppet. Som dengang de slap en stor hund løs i receptionen, og smuttede forbi sikkerhedsvagterne i den forvirring, der opstod. Eller dengang de udgav sig for at være fra virksomhedens rengøringsfirma, som ville tjekke kvaliteten af deres eget arbejde.
”Faktisk kan et hurtigt kig på hjemme-
siden tit afsløre en vej ind,”, fortæller han. ”Man kan skrive rundt, indtil man
finder et autosvar på en fraværende medarbejder, og bruge den viden til at manipulere dem, man møder på gangen. I eksemplet med det falske rengøringsfirma fik vores live hacker faktisk lidt skældud over, at han ikke var kommet noget før. Han undskyldte mange gange, og fik et adgangskort, så han kunne tjekke hele bygningen grundigt for ”sjusket
rengøring,” smiler Allan sigende.
Cybercrime hos de mindre virksomheder
Når det kommer til de mindre virksomheder, er udfordringen ifølge Allan Bo Jensen lige så udbredt – men hér er man typisk udsat på en anden måde pga. færre ressourcer. Måske er man kun 2-3 ansatte, budgettet til IT-sikkerheden er begrænset, eller området bliver nedprioriteret.
”Det sker jo ikke for os, vel? Og vi har alligevel ikke noget, nogen kan bruge!”
Men konsekvensberegningen mangler, mener Allan Bo Jensen. For et svagt sikkerhedssystem hos en mindre virksomhed kan være netop det, en hackergruppe har brug for, for at få adgang til et større mål. ”Det kan være omfattende
at forcere et kompliceret sikkerhedssystem, og så er det måske nemmere at gå efter underleverandøren, som har en forkølet firewall og et svagt password til
computeren,” forklarer han.
Bag showet "Hackeren og Tricktyven" finder vi Allan Bo Jensen, Jesper Lundorf og Sunny Cagara. Men faktisk gemmer der sig en tidligere PET-agent, en digital efterforsker og en tryllekunstner med speciale i tricktyveri bag de tre ellers så uskyldige ansigter. Sammen har de skabt konceptet "Hackeren og Tricktyven", som med et glimt i øjet (og en hel del kreativ manipulation), underviser i, hvor nemt det er at skaffe informationer om et andet menneske – digitalt eller gennem almindelig samtale.
”Som sagt starter vi ofte et angreb med at gå efter mennesket, fordi det er nem-
mere,” uddyber Allan Bo Jensen. ”Og det
kan altså gøres med langt mere simple midler, end de stort opstillede angreb hos virksomhederne. Et angreb kan starte langt før, hjemme hos en ansat, som er engageret i den lokale fodboldklub. Han modtager en mail fra klubben, og klikker på linket – hvorfor skulle han ikke det? Men så er hackeren inde, og kan begynde at lede efter informationer om den virksomhed, hvor han arbejder. Vi ser også eksempler på, at man kan modtage en sms i en eksisterende tråd, som ser ud til at komme fra dit ældre familiemedlem. Hvem siger nej til at hjælpe mormor med det NemID?! Alle efterlader en masse digitale spor, og det er nemt at finde på de sociale medier,
hvis man som hacker klikker lidt rundt.”
"Hackeren og Tricktyven" er derfor ét af de midler, som Defensive bruger for at uddanne medarbejdere og ledelse i, hvor meget den menneskelige faktor betyder.
”Er mennesket ikke klædt på til at spotte svaghederne, så er sikkerheden ligegyl-
dig,” slutter han. » Defensive er en 360-graders konsulentvirksomhed med speciale i digitale og fysiske sikkerhedsløsninger. » De beskæftiger sig med alt fra IT-sikkerhed til brand protection og dybdegående baggrundstjek, og hyres også til at gennemføre angreb, designet til at afsløre sikkerhedsbrister i eksisterende systemer. » Hackeren & tricktyven er et informativt og underholdende show, gennemført af tre specialister indenfor sikkerhed. » Sammen præsenterer de en lærerig, sjov, uddannende og skræmmende rejse rundt i sikkerhedens forunderlige univers.
Jesper Lundorf
Tidligere PET Agent
Jesper er FN´s sikkerhedschef og tidligere PET og livvagt for kronprinsen. Inden for PET arbejdede han b.la. i en special afdeling med efterforskning af IT-relaterede forbrydelser på Internettet. Jesper er initiativtager for store dele at den danske IT sikkerhed.
Allan Bo Jensen
aka Hackeren
Allan er Security Evangelist og har arbejdet indenfor IT Sikkerhed i mere end 20 år. Han har en uddannelse som Etisk Hacker, og har arbejdet som pentester og har lavet diverse test hos nationale og internationale virksomheder.
Sunny Cagara aka Tricktyven
Sunny er tryllekunstner, specialist i tricktyveri og rådgiver for politiet i forbindelse med tricktyverier og forebyggendeuddannelse. Sunny er Danmarks førende specialist i tricktyveri og mange af mediernes “Go To” person.
HACKEREN TRICKTYVEN .DK
Jokes
Hvad hedder den fattigste konge i verden?
Kong kurs.
Hvad gør Spiderman når han har drukket sin kaffe?
Han æder koppen.
Ved du hvorfor man aldrig kan stole på en køkkenmontør? – Nej det ved jeg ikke. – Det er fordi de låger og låger og skuffer og skuffer.
Hos lægen. For at følge de nye GDPR-regler, må vi ikke længere kalde jeres personnummer eller navn. - Så, vil personen med hæmorider komme med, og personen med gonoré gøre sig klar til konsultation.
- "Jeg har fået nyt høreapparat. Nu kan jeg igen høre alt." - "Det var da fedt....hvad kostede det?" - "Kvart over ni." En nyligt uddannet ingeniør skal langt om længe til sit første jobinterview. Inde til jobsamtalen går det godt og til sidst bliver ingeniøreren af chefen spurgt om hvad han vil forvente i løn: “Hmm ca 50.000 om måneden” svarer ingeniøren selvsikkert. Chefen svarer: “Godt og hvad vil du så sige til hvis vi hver måned lægger 20% oveni det som pensionsordning, og i øvrigt har vi også 2 måneders betalt ferie til vores medarbejdere hvert år – hvordan lyder det?”. Ingeniøreren er mundlam og siger: “Det lyder for godt til at være sandt – tager du pis på mig?”. Chefen siger: “ja da, men det var dig der tog pis på mig først.”
Ved i hvorfor det kom til at hedde USB?
Fordi USA allerede var taget.
Den ene fange til den anden. - Hvad sidder du inde for? -Bygningsfejl! - Bygningsfejl? Det kommer man da ikke i fængsel for? - Jo, for lange fingre, og for korte ben. Hvorfor lå brevene på bordet?
Fordi de kuverter!