It-sikkerhed: Tør du åbne Pandoras æske?

Vi har talt med it-sikkerhedsspecialist og white hat hacker Daniel Milo Farkner om udbredte sikkerhedshuller, hackerkonferencer og exceptionel paranoia.

Var du en af dem, som opdagede, at oktober var såkaldt national cybersikkerhedsmåned i Danmark?

Samme måned som det var forsidestof på Børsen, at mange af de store forsikringsselskaber kun i ringe grad dækker tab ved cyberangreb, som det der ramte Demant i september. Et angreb der endte med at koste høreapparatvirksomheden over en halv mia. kroner.

Cyberangreb er ikke for sarte sjæle.

Skrækeksemplerne til trods, halter sikkerheden fortsat i mange danske virksomheder og organisationer ifølge it-sikkerhedsspecialist Daniel Milo Farkner. Han er uddannet i Datalogi og Ethical Hacking & Computer Security fra henholdsvis Aarhus Universitet og Abertay University og kender erhvervslivets udfordringer, senest som den ene halvdel af it-sikkerhedsfirmaet Kvasir med base på Navitas.

En af dem er slet og ret at komme i gang.

”Virksomhederne har indimellem brug for et spark for at komme i gang med at teste sikkerheden. Mange frygter, at det er Pandoras æske. Hvis det skal gå galt, var det så ikke rarere, at de ikke vidste det? Så snart de har fået det testet, skal de til at gøre noget ved det. Ikke alle er lige friske på det.”

’Ignorance is bliss’ som karakteren Cypher siger i ’The Matrix’.

Det handler om andet end firewall
Det behøver dog ikke være kompliceret. Ofte handler det om helt lavpraktiske forhold.

”Vi er fuldstændig ligeglade, hvor fed en firewall du har, hvis du har et ulåst serverrum,” siger han.

Det kan også være, at virksomhedens hjemmeside er gennemsikret. Til gengæld er mellemlaget af services, som hjemmesiden kalder, ikke testet. Helhedsbilledet halter.

”Det er desværre det, vi oftest ser. Virksomhederne har fået tunnelvision på én lille del af deres setup og ser ikke det samlede trusselsbillede.”

Andre udbredte problemer er uopdaterede servere, manglende opmærksomhed omkring phishing og smalt fokus på den ydre digitale sikkerhed.

”Folk har det med at fokusere på det ydre forsvar, fordi de ikke forventer, at nogen kommer ind. Men realiteten er, at der altid er en vej ind i systemet. Derfor er det nødvendigt at indtænke sikkerhed i intranettet og det interne forsvar, så systemet ikke står helt åbent. Om så truslen kommer i forhold til tidligere ansatte eller en wi-fi, der ikke er konfigureret korrekt.”

Problemstillingen gælder både små og store virksomheder. Mange har ikke egne sikkerhedsfolk, og hvis de har, er de ofte travle og har ikke mulighed for at afprøve og verificere de værktøjer, der er sat op til at beskytte virksomheden.

En analyse viste tidligere på året, at global mangel på it-sikkerhedseksperter udgør et voksende problem.

Exceptionel paranoia
Daniel Milo Farkner har gennem flere år arbejdet med praktisk sikkerhed og hjulpet virksomheder med at udbedre svagheder i deres setup. Det afføder spørgsmålet, hvordan han selv undgår at blive hacket?

”Think evil, do good og exceptionel paranoia.”

Når han arbejder med kundedata og skriver rapporter, står kundens navn eller systemnavne fx aldrig på skærmen, men skjules af et censur-plugin, der laver sorte bokse overalt. Også på udprintet.

Intet bliver sendt over ukryptede e-mails. I stedet får kunden et link til en krypteret server sammen med en kode, der splittes op og sendes ad to omgange over to forskellige kanaler med en levetid på 14 dage.

Når samarbejdet afsluttes, lagres al information på en krypteret disk, der udleveres til kunden. Sikkerhedsniveaet kan sagtens nedjusteres, men det skal være op til kunden at bestemme.

”For os er tillid en essentiel del af leverancen, og vores paranoia skal altid ligge to skridt over kundens.”

På forkant med de onde
Skal man holde ondsindede hackere stangen, må man holde sig ajour med, hvordan de arbejder. Det er ikke en ubetydelig opgave, da kreativiteten på skyggesiden ingen grænser kender. Hackere skal kun finde én vej ind i systemet, hvorimod sikkerhedseksperterne skal kunne finde dem alle.

- Hvordan holder du dig opdateret med, hvordan de sorte hatte arbejder?

”Jeg afsætter 3-4 måneder om året til uddannelse.”

- Det var meget.

”Det er nødvendigt. Det inkluderer netværk, konferencer, certificeringer og kurser.”

Det gælder for eksempel konferencer som Securi-Tay, BSides, 44 Con og ikke mindst Def Con, som flere uden for sikkerhedsbranchen måske også vil genkende navnet på.

Den berømte og berygtede konference finder hvert år sted i Las Vegas og tager kun imod kontanter.

”We don’t want to be a target of any State or Federal fishing expeditions,” som de skriver i deres FAQ.

Def Con samler over 20.000 hackere, sikkerhedsprofessionelle, efterforskere og tekniknørder, der deler den nyeste viden. Også kriminelle.

”Jeg vil kalde det 50-50 til den konference,” lyder det med et grin.

- Har du mødt nogen sjove mennesker?

”Der er nogle helt fantastiske mennesker. Det er ikke så meget, at det er sikkerhed, de laver. Når du møder mennesker, der brænder så meget for nogle ting, der ofte er fuldstændig obskure og ligegyldige, er det bare helt fantastisk at høre deres beretninger og få indsigt i deres arbejde. Det er ikke fordi, du rigtigt kan mærke, at der enten er mange fra erhvervslivet eller det kriminelle miljø. Det er bare et samfund af folk, der er virkelig interesserede i de kreative løsninger,” fortæller Daniel Milo Farkner og tilføjer:

”Sikkerhedsfeltet vokser med en sådan hast, at vi kun har en chance, når vi står sammen og deler redskaber, processer og viden. Sikkerhed er en fælles målsætning.”

Tekst: CBJ

Dato:
13. december 2019

Del dette