Hackarens krig mot cyberattacker
Kaveh Hoodehs arbete som etisk hackare kan ibland liknas vid klassiskt detektivarbete,
Mixa superhackaren Lisbeth Salander med en hemlig agent och resultatet blir Kaveh Hoodeh. När den vita hackaren är klar med ett it-system har säkerheten mot cyberattacker förbättrats.
– Marknaden skriker efter sådana som oss, och bara de senaste åren har företag verkligen fått upp ögonen för oss. Det är en spännande tid att jobba som etisk hackare, säger Kaveh Hoodeh, senior säkerhetskonsult på it-företaget Atea.
Kaveh Hoodeh arbetar som en så kallad etisk hackare. Det är en arbetsroll som växer i takt med att företag och organisationer vill göra det så svårt som möjligt för hackare att komma åt dem.
Det förundrar mig att samma misstag begås idag som för 15-20 år sedan.
Kaveh Hoodeh, Senior säkerhetskonsult, Atea
För ett par år sedan var det i första hand företag som själva var medvetna om vikten av en god it-säkerhet som vände sig till honom, men de senare åren får Kaveh Hoodeh uppdrag av företag och organisationer av alla storlekar.
– Alltifrån läckor från visselblåsare till nyheter om cyberarméer som drivs på nationell nivå har gjort att folk har fått upp ögonen än mer för vikten av en bra it-säkerhet, säger han.
Kreativitet och problemlösning
It-säkerhet är något som alltid har intresserat Kaveh Hoodeh, och något som han arbetat med hela sitt yrkesliv, bland annat på Lantmäteriet. Mixar man dessutom ihop it-säkerhet med vikten av logisk problemlösning och möjligheten till kreativitet har man de perfekta förutsättningarna för att arbeta som etisk hackare.
– Jag har alltid brunnit för den kreativa biten av it-säkerhet; vad som egentligen krävs för att ta sig in i ett system. Många kvällar har förflutit med omvärldsbevakning och uppsättningen av olika testmiljöer för att hitta brister i olika system, och sedan fundera på vad som krävs för att åtgärda dem. Det är precis sådant jag får syssla med som etisk hackare, säger han.
Svarta boxar
Poängen med etiska hackare är att de ska agera som hackare, så att företag ska bli varse om var de behöver arbeta mer med för att ha den bästa möjliga säkerheten på plats.
Ibland anlitas Kaveh Hoodeh som en så kallad vit hackare. Då får han kännedom om systemet och får dessutom sitta på samma nätverk för att försöka hitta sätt att attackera systemen. Men ibland är det precis tvärtom: han anlitas i hemlighet av en företagsledare som ber honom försöka hacka deras system – that’s it.
White box, grey box, och black box
Företag har ofta tre valmöjligheter när de anställer en etisk hackare. Det första alternativet kallas white box. Då får den anställda hackaren kännedom om systemet och får dessutom nätverksaccess och sitter alltså på företagets nätverk, för att undersöka hur lätt det är att orsaka problem internet.
Det andra alternativet är en gray box. Då får antingen hackaren sitta på insidan utan kännedom om nätverket eller systemen, eller tvärtom: hackaren sitter utanför nätverket, men har viss information om nätverken och systemen på insidan.
Det sista alternativet kallas för black box. Detta är det svåraste alternativet. Hackaren får inte veta ett endaste dugg om varken nätverken eller systemen och måste sitta utanför nätverket och försöka ta sig in. Den enda som vet om att en attack planeras är företagets vd och möjligen den som är it-ansvarig. Men inte ens de får reda på när och hur den etiska hackaren kommer försöka ta sig in.
– Det är som ett klassiskt detektivarbete. Jag måste surfa runt och läsa på om företaget, ta reda på hur deras nätverk är uppbyggt, och luska ut var de kan vara som känsligast. Jag kan försöka locka medarbetare att lämna ifrån sig lösenord och uppgifter genom att få dem att klicka på länkar i mejl jag skickar dem, säger han.
Genom att till exempel titta vad företag använder sig av för program och appar, kan man undersöka om de har de senaste uppdateringarna. Har de inte det, kan de bli en väg in.
– Sådana här brister i program finns sparade i stora så kallade CVE-databaser, som står för Common Vulnerabilities and Exposures. Där kan man se om vissa versioner av en specifik programvara har säkerhetshål som inte åtgärdats. De kan bero på rent konfigurationstekniska misstag.
Väl inne i systemet måste Kaveh Hoodeh hitta sätt att bli kvar där utan att bli utkastad.
Gammalt misstag fortfarande äldst
Trots att världen de senaste åren har sett många typer av nya sorters attacker där man exempelvis beordrar IoT-enheter att utföra belastningsattacker, är det fortfarande de mer klassiska hackingmetoderna, där man riktar in sig till den enskilda användaren, som ställer till med den största oredan hos företag.
Det handlar både om att knäcka anställdas dåliga lösenord och att skicka ut mail med smittade länkar.
– Det som förundrar mig mest när det kommer till internetsäkerhet är att det fortfarande är samma misstag som begås som begicks för 15-20 år sedan; samma typer av fishing-mail lurar folk att klicka på länkar som smittar ner deras dator. Hackare utnyttjar den mänskliga faktorn och spelar på vår nyfikenhet. Det kan vara lite frustrerande, säger Kaveh Hoodeh.
Kaveh Hoodeh, senior säkerhetskonsult, Atea
Finns det någon räddning från hackarna?
– Helt klart står vi inför en tid när hackare hittar mer och mer sätt att attackera oss, och hackarbranchen har blivit mer lukrativ med tanke på att man exempelvis kan ta utföra utpressningar och ta betalt i bitcoins och på så sätt vara betydligt svårare att spåra. Men till syvende och sist är det som det alltid har varit: en kamp mot klockan.
– Ju bättre vi blir på att göra det svårt för hackare att sig in i ditt system, desto längre tid tar det. Och som med alltid annat är tid lika med pengar. Fortsätter man bara att behandla säkerhet som en viktig del av sin infrastruktur finns det alltid goda möjligheter att man klarar sig. Det är inte alltid det behövs nya prylar eller system; det som framförallt behövs är att man är vaksam på sitt användarbeteende.
Kaveh Hoodehs bästa tips
Det räcker inte att sätta upp en brandvägg och tro att allt är löst, utan man måste ständigt hålla sig à jour med hur hacking-vindarna blåser. Ett tips som Kaveh Hoodeh tycker alla bör prova är vad som kallas för multifaktorsautentisering.
Fortfarande sker de flesta attacker på grund av svaga lösenord. Men med multifaktorsautentisering måste användaren, utöver sitt vanliga lösenord, även logga in med hjälp av en kod som skickats till en via sms, eller med hjälp av sitt bank-id, eller en app som genererar en engångskod varje gång man söker logga in.
Läs mer om ämnet: