Fra hacker til sikkerhetsekspert

Fra hacker til sikkerhetsekspert

Hackerkulturen oppstod på 1980-tallet som et motkulturelt og kreativt miljø for unge IT-interessert. I dag er hackerne en del av en milliardindustri for IT-sikkerhet.

  • Sikkerhet
Motta nyhetsbrev fra Effektiv IT

Vi traff Luke McOmie på Paranoia-konferansen for å lære mer om hvordan han jobber som sikkerhetskonsulent for internasjonale selskaper.

- Jeg startet med hacking som 12-åring. Etter å ha havnet i trøbbel for å ha brutt meg inn i skolens nettverk traff jeg en person som hjalp meg med å forstå at i stedet for å skape trøbbel kan kunnskapene mine brukes til skape en bedre verden. Jeg forstod også tidlig at kunnskapene mine var høyt verdsatt på arbeidsmarkedet, innleder McOmie til Effektiv IT.

Fra små grupper til store organisasjoner

Hackerkulturen har gått fra å eksistere i små grupper til å bli en anerkjent del av sikkerhetsarbeidet i store internasjonale selskap og hos statlige aktører.

[factbox id="1"]

- Når jeg begynte med hacking var vi organisert i veldig små grupper. I dag ser man stadig større grupperinger og organisasjoner som er aktive. I begynnelsen var hackermiljøet preget av en "katt og mus" lek med politi og etterretning. Dagens situasjon er preget av statlige aktører som leier inn denne type kompetanse for å lede team som jobber med sikkerhet. Hacking har gått fra å være en hobby til å bli en milliardindustri, sier McOmie.

- Jeg blir alltid tilbudt jobber på konferanser som Defcon, Paranoia, Black Hat og andre. Jeg anbefaler alle som er opptatt av IT-sikkerhet å dra på slike konferanser for å vise frem hva de kan. Dette utvikler både egen karriere og bransjen i sin helhet, sier han.

Oppdrag for store selskap

McOmie har jobbet med analyser av sikkerhet hos flere Fortune 500 bedrifter. Med såkalte “red teams” leter han og kollegaer etter svakheter i IT-systemer, fysiske sikringstiltak og de ansattes atferd.

- Vi utfører sikkerhetsanalyser, “real world risk assessment”, som simulerer et ekte angrep. Det er kun toppledelsen som er klar over angrepet og de ansatte i selskapet, som ingeniører og sikkerhetsansvarlige, informeres ikke om at vi tester sikkerheten. Vi bruker en rekke teknikker, fra hacking til sosial manipulasjon, for å få tilgang på selskapets kontorer og IT-systemer, forklarer han.

- Etter at vi har gjennomført angrepet presenterer vi arbeidsmetodene våre, sikkerhetshull, og mulige tiltak for å øke sikkerheten. En av oss gjennomfører angrepet mens den andre dokumenterer med video hvordan vi gjør det. På denne måten kan vi demonstrere for ledelsen hvor lett det er å komme gjennom sikkerhetstiltakene, sier han.

Bygger sikkerhetskultur

[factbox id="2"]

Det hjelper ikke med undervisning og skremmende plakater, sier McOmie. For å øke sikkerheten må man bygge en sikkerhetskultur basert på faktiske forhold i bedriften.

- Vi holder foredrag om sikkerhetskultur basert på bedriftens unike behov. Den beste måten å vise viktigheten av sikkerhetstiltak på er gjennom demonstrasjoner av hvordan vi bryter oss inn, sier han.

- Vi bruker workshops for å presentere hvordan vi kompromitterer selskapets sikkerhetsløsninger. For å illustrere hvordan vi arbeider stiller en av våre kvinnelige kollegaer opp lettkledd for å sosialt manipulere ut informasjon om passord, sikkerhetsrutiner, aktive prosjekter og annen sensitiv informasjon. Når dette presenteres for de ansatte i etterkant blir det lettere å forstå helheten i en sikkerhetskultur. På denne måten begynner de ansatte å tenke på sin egen rolle i selskapets sikkerhetsstrategi, sier han.

- På den annen side holder det at en person, gjør en sikkerhetsfeil, en gang for at vi skal komme oss gjennom sikkerhetstiltakene. Om du ser på de virkelig store angrepene er det ofte menneskelig svikt som gjør det mulig, fortsetter han.

Balanse mellom sikkerhet og brukervennlighet

Ansatte i store bedrifter klager ofte på at stadig strengere sikkerhetstiltak som gjør jobben deres vanskeligere. For å ivareta brukervennlighet må hensyn til sikkerhet være grunnleggende fra planleggingsfasen av ny programvare, mener McOmie.

- Nøkkelen er utviklingen av programvaren. Ny programvare, systemer og teknologi krever et gjennomgående fokus på sikkerhet. Om man tar hensyn til sikkerheten allerede i planleggingsfasen er det lettere å sørge for brukervennlighet. På denne måten kan man sørge for høy brukervennlighet samtidig som hensynet til sikkerhet ivaretas. Utviklere må også tenke på livssyklusen til programvaren slik at det ikke lages fremtidige sikkerhetshull som vi kan utnytte, sier han.

Trusselbildet endrer seg

Snowden-affæren viste oss at bedrifter må vurdere sikkerhetstrusler både fra konkurrerende bedrifter og statlige aktører. McOmie mener den største trusselen kommer fra konkurrerende aktører.

- Vi ser økende tilfeller av industriell spionasje, spesielt i USA. Bedrifter ønsker å innhente informasjon om konkurrerende selskaper, markedsandeler, og annen sensitiv informasjon. Vi bryr oss ikke så mye om NSA, fordi vi vet at om de ønsker tilgang, så får de det. NSA benytter seg sjeldent av teknikkene vi bruker, sier han.

- NSA henter informasjon direkte fra nettleverandører og tjenestetilbydere. Overvåkning av aktiviteten til sluttbrukere betyr bare mer metadata for NSA. For bedrifter handler det om nivået på sikkerhetstiltakene og relevante tiltak for å beskytte seg mot konkurrerende bedrifter, sier han.

Infiltrasjon gjennom ansettelser

Angrep på statlig nivå viser at det ofte handler om å infiltrere bedrifter gjennom ansettelser.

- Kina er kjent for å ansatte egne folk fra forsvaret inn i ulike bedrifter i utlandet. Kineserne plasserer agenter i vestlige bedrifter for å ekstrahere informasjon. Dette er et gammelt triks innen sosial manipulasjon, sier han.

- En ansatt vil få tilgang på nøkler, dokumenter, og IT-systemer. En måte å redusere risiko fra ansatte er å overvåke deres arbeidsprosesser. Vi trenger også bedre sanntidsovervåkning av IT-systemer. Vi ender ofte opp med å jakte på angriperen etter at angrepet er utført. Det vi trenger er et større fokus på hvordan man stopper et angrep mens det utføres, sier han.

Viktig med sikkerhetssegmentering

McOmie mener at 100 prosent sikkerhet er umulig å oppnå og selskaper heller bør fokusere på riktig sikkerhetssegmentering av nettverkene. Om noen virkelig vil inn i systemet ditt, vil de alltid komme seg inn. Det er bare et spørsmål om tid, sier McOmie.

- Et viktig moment er derfor å isolere områder med høy verdi. Effektive sikkerhetstiltak må være basert på de ulike sikkerhetsbehovene i selskapets infrastruktur. Det handler om å bygge systemer som sikrer forretningskritiske områder, og legge mindre vekt på andre områder, avslutter sikkerhetseksperten.

Til toppen