IT-sikkerhed: I mørket er alle katte grå

Next Article

WalkAway – en ny vej til at gå dig stærkere

I mørket er alle katte grå

Hackeren og Tricktyven på ’cyber raid’ i erhvervslivet

Tekst: Ida Ulrich Bregnhøj / Foto: Privat

Vi har nok alle sammen mødt dem i én eller anden form. Den hjælpsomme mail om en forsendelse, du lige skal klikke på et link for at modtage. Pigen i undergrundsbanen, som spørger om vej, mens makkeren tømmer dine lommer. Eller den akneplettede kælderninja, som på syv minutter penetrerer det digitale fort på din hjemmecomputer (tak til det geniale password Kæledyrs_NaVn_Og-dit-husnumm3r), hvorefter bogstaverne i dit dokument ét for ét falder ned, og lander i en bunke i bunden af skærmen. Grineren.

Vi har efterhånden lært, at sund fornuft eller en rask firewall kan holde de værste bedragere og drillepinde fra at få adgang til vores data. Men hvad med de fysiske hackere – kender vi dem? Ham der smutter ind ad bagdøren hos tech-giganten sammen med rygerne og et klonet adgangskort, eller hende der kommer igennem receptionens sikkerhedskontrol, fordi ”nogen” har sluppet en hund løs i foyeren? Det lyder måske som en lidt for smart Egon Olsen-situation, hvor man lige skal bruge et billede af Kongefamilien for at komme ind til Franz Jägeren – men det er faktisk eksempler på virkelige angreb hos store virksomheder, designet til at afsløre svagheder i organisationernes sikkerhedsprotokoller.

"Vi har efterhånden lært, at sund fornuft eller en rask firewall kan holde de værste bedragere og drillepinde fra at få adgang til vores data. Men hvad med de fysiske hackere – kender vi dem?"

Stresstest med en hær i ryggen

Hos Defensive, danskejet konsulentvirksomhed inden for highend security, beskæftiger man sig med alt fra IT-sikkerhed til brand protection og dybdegående baggrundstjek. Defensive er konsulenter, IT-nørder, tidligere politifolk, PET-agenter og hackere, som bliver hyret til at stressteste systemer og procedurer hos danske og udenlandske virksomheder, med det formål at finde hullerne i osten. Og så tager de på tur med deres underholdende og informative show ”Hackeren og Tricktyven”, som med en blanding af trylleri og manipulation klæder tilskuerne på til at styrke det svageste led i enhver sikkerhedsprotokol: Mennesket.

"Når vores team laver et live hack gælder alle kneb. De bruger droner, løse dyr, telefonstorm eller falske identiteter for at narre eller distrahere målet – for det er sådan, et virkeligt angreb kan foregå"

De ubudne gæster hacker mennesker, ikke systemer

Allan Bo Jensen, Co-founder hos Defensive, fortæller at det netop er mennesker, som både er ”first line of defense”, men også det svageste led i en sikkerhedsprotokol. Måske har man procedurerne på plads, men de er somme tider ikke mere nuancerede, end at de kan manipuleres eller overbelastes. ”Når vores Red Team

laver et live hack, som vi kalder det, gælder alle kneb. De bruger droner, løse dyr, telefonstorm eller falske identiteter for at narre eller distrahere målet – for det er sådan, et virkeligt angreb kan foregå. Ofte opdager de slet ikke, hvad der er sket, eller mangler en procedure for

uforudsigelige hændelser," forklarer han.

For en udenforstående er eksemplerne på designede angreb nærmest søgte, for der går fuld ”Hollywoodfilm” i den, når Defensives team får en opgave med et live hack. Allan Bo Jensen forklarer, at en stresstest kan være en simpel opgave, som at nå et bestemt kontor uden at blive set eller stoppet. Som dengang de slap en stor hund løs i receptionen, og smuttede forbi sikkerhedsvagterne i den forvirring, der opstod. Eller dengang de udgav sig for at være fra virksomhedens rengøringsfirma, som ville tjekke kvaliteten af deres eget arbejde.

”Faktisk kan et hurtigt kig på hjemme-

siden tit afsløre en vej ind,”, fortæller han. ”Man kan skrive rundt, indtil man

finder et autosvar på en fraværende medarbejder, og bruge den viden til at manipulere dem, man møder på gangen. I eksemplet med det falske rengøringsfirma fik vores live hacker faktisk lidt skældud over, at han ikke var kommet noget før. Han undskyldte mange gange, og fik et adgangskort, så han kunne tjekke hele bygningen grundigt for ”sjusket

rengøring,” smiler Allan sigende.

Cybercrime hos de mindre virksomheder

Når det kommer til de mindre virksomheder, er udfordringen ifølge Allan Bo Jensen lige så udbredt – men hér er man typisk udsat på en anden måde pga. færre ressourcer. Måske er man kun 2-3 ansatte, budgettet til IT-sikkerheden er begrænset, eller området bliver nedprioriteret.

”Det sker jo ikke for os, vel? Og vi har alligevel ikke noget, nogen kan bruge!”

"Faktisk kan et hurtigt kig på hjemmesiden tit afsløre en vej ind. Man kan skrive rundt, indtil man finder et autosvar på en fraværende medarbejder, og bruge den viden til at manipulere dem, man møder på gangen"

Men konsekvensberegningen mangler, mener Allan Bo Jensen. For et svagt sikkerhedssystem hos en mindre virksomhed kan være netop det, en hackergruppe har brug for, for at få adgang til et større mål. ”Det kan være omfattende

at forcere et kompliceret sikkerhedssystem, og så er det måske nemmere at gå efter underleverandøren, som har en forkølet firewall og et svagt password til

computeren,” forklarer han.

Hackeren og Tricktyven – manipulation med en pointe

Bag showet "Hackeren og Tricktyven" finder vi Allan Bo Jensen, Jesper Lundorf og Sunny Cagara. Men faktisk gemmer der sig en tidligere PET-agent, en digital efterforsker og en tryllekunstner med speciale i tricktyveri bag de tre ellers så uskyldige ansigter. Sammen har de skabt konceptet "Hackeren og Tricktyven", som med et glimt i øjet (og en hel del kreativ manipulation), underviser i, hvor nemt det er at skaffe informationer om et andet menneske – digitalt eller gennem almindelig samtale.

"Et svagt sikkerhedssystem hos en mindre virksomhed kan være det, en hackergruppe har brug for, for at få adgang til et større mål"

”Som sagt starter vi ofte et angreb med at gå efter mennesket, fordi det er nem-

mere,” uddyber Allan Bo Jensen. ”Og det

kan altså gøres med langt mere simple midler, end de stort opstillede angreb hos virksomhederne. Et angreb kan starte langt før, hjemme hos en ansat, som er engageret i den lokale fodboldklub. Han modtager en mail fra klubben, og klikker på linket – hvorfor skulle han ikke det? Men så er hackeren inde, og kan begynde at lede efter informationer om den virksomhed, hvor han arbejder. Vi ser også eksempler på, at man kan modtage en sms i en eksisterende tråd, som ser ud til at komme fra dit ældre familiemedlem. Hvem siger nej til at hjælpe mormor med det NemID?! Alle efterlader en masse digitale spor, og det er nemt at finde på de sociale medier,

hvis man som hacker klikker lidt rundt.”

"Hackeren og Tricktyven" er derfor ét af de midler, som Defensive bruger for at uddanne medarbejdere og ledelse i, hvor meget den menneskelige faktor betyder.

”Er mennesket ikke klædt på til at spotte svaghederne, så er sikkerheden ligegyl-

dig,” slutter han. » Defensive er en 360-graders konsulentvirksomhed med speciale i digitale og fysiske sikkerhedsløsninger. » De beskæftiger sig med alt fra IT-sikkerhed til brand protection og dybdegående baggrundstjek, og hyres også til at gennemføre angreb, designet til at afsløre sikkerhedsbrister i eksisterende systemer. » Hackeren & tricktyven er et informativt og underholdende show, gennemført af tre specialister indenfor sikkerhed. » Sammen præsenterer de en lærerig, sjov, uddannende og skræmmende rejse rundt i sikkerhedens forunderlige univers.

Jesper Lundorf

Tidligere PET Agent

Jesper er FN´s sikkerhedschef og tidligere PET og livvagt for kronprinsen. Inden for PET arbejdede han b.la. i en special afdeling med efterforskning af IT-relaterede forbrydelser på Internettet. Jesper er initiativtager for store dele at den danske IT sikkerhed.

Allan Bo Jensen

aka Hackeren

Allan er Security Evangelist og har arbejdet indenfor IT Sikkerhed i mere end 20 år. Han har en uddannelse som Etisk Hacker, og har arbejdet som pentester og har lavet diverse test hos nationale og internationale virksomheder.

Sunny Cagara aka Tricktyven

Sunny er tryllekunstner, specialist i tricktyveri og rådgiver for politiet i forbindelse med tricktyverier og forebyggendeuddannelse. Sunny er Danmarks førende specialist i tricktyveri og mange af mediernes “Go To” person.

HACKEREN TRICKTYVEN .DK

Jokes

Hvad hedder den fattigste konge i verden?

Kong kurs.

Hvad gør Spiderman når han har drukket sin kaffe?

Han æder koppen.

Ved du hvorfor man aldrig kan stole på en køkkenmontør? – Nej det ved jeg ikke. – Det er fordi de låger og låger og skuffer og skuffer.

Hos lægen. For at følge de nye GDPR-regler, må vi ikke længere kalde jeres personnummer eller navn. - Så, vil personen med hæmorider komme med, og personen med gonoré gøre sig klar til konsultation.

- "Jeg har fået nyt høreapparat. Nu kan jeg igen høre alt." - "Det var da fedt....hvad kostede det?" - "Kvart over ni." En nyligt uddannet ingeniør skal langt om længe til sit første jobinterview. Inde til jobsamtalen går det godt og til sidst bliver ingeniøreren af chefen spurgt om hvad han vil forvente i løn: “Hmm ca 50.000 om måneden” svarer ingeniøren selvsikkert. Chefen svarer: “Godt og hvad vil du så sige til hvis vi hver måned lægger 20% oveni det som pensionsordning, og i øvrigt har vi også 2 måneders betalt ferie til vores medarbejdere hvert år – hvordan lyder det?”. Ingeniøreren er mundlam og siger: “Det lyder for godt til at være sandt – tager du pis på mig?”. Chefen siger: “ja da, men det var dig der tog pis på mig først.”

Ved i hvorfor det kom til at hedde USB?

Fordi USA allerede var taget.

Den ene fange til den anden. - Hvad sidder du inde for? -Bygningsfejl! - Bygningsfejl? Det kommer man da ikke i fængsel for? - Jo, for lange fingre, og for korte ben. Hvorfor lå brevene på bordet?

Fordi de kuverter!