Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Hackarens krig mot cyberattacker

Mixa superhackaren Lisbeth Salander med en hemlig agent och resultatet blir Kaveh Hoodeh. När den vita hackaren är klar med ett it-system har säkerheten mot cyberattacker förbättrats.

Text Tim Leffler Foto Voister 15 september 2017 säkerhet

kaveh2WEBB.jpg

Kaveh Hoodehs arbete som etisk hackare kan ibland liknas vid klassiskt detektivarbete,

– Marknaden skriker efter sådana som oss, och bara de senaste åren har företag verkligen fått upp ögonen för oss. Det är en spännande tid att jobba som etisk hackare, säger Kaveh Hoodeh, senior säkerhetskonsult på it-företaget Atea.

Kaveh Hoodeh arbetar som en så kallad etisk hackare. Det är en arbetsroll som växer i takt med att företag och organisationer vill göra det så svårt som möjligt för hackare att komma åt dem.

Det förundrar mig att samma misstag begås idag som för 15-20 år sedan.

Kaveh Hoodeh , Senior säkerhetskonsult, Atea

För ett par år sedan var det i första hand företag som själva var medvetna om vikten av en god it-säkerhet som vände sig till honom, men de senare åren får Kaveh Hoodeh uppdrag av företag och organisationer av alla storlekar.

– Alltifrån läckor från visselblåsare till nyheter om cyberarméer som drivs på nationell nivå har gjort att folk har fått upp ögonen än mer för vikten av en bra it-säkerhet, säger han.

Kreativitet och problemlösning

It-säkerhet är något som alltid har intresserat Kaveh Hoodeh, och något som han arbetat med hela sitt yrkesliv, bland annat på Lantmäteriet. Mixar man dessutom ihop it-säkerhet med vikten av logisk problemlösning och möjligheten till kreativitet har man de perfekta förutsättningarna för att arbeta som etisk hackare.

– Jag har alltid brunnit för den kreativa biten av it-säkerhet; vad som egentligen krävs för att ta sig in i ett system. Många kvällar har förflutit med omvärldsbevakning och uppsättningen av olika testmiljöer för att hitta brister i olika system, och sedan fundera på vad som krävs för att åtgärda dem. Det är precis sådant jag får syssla med som etisk hackare, säger han.

Svarta boxar

Poängen med etiska hackare är att de ska agera som hackare, så att företag ska bli varse om var de behöver arbeta mer med för att ha den bästa möjliga säkerheten på plats. 

Ibland anlitas Kaveh Hoodeh som en så kallad vit hackare. Då får han kännedom om systemet och får dessutom sitta på samma nätverk för att försöka hitta sätt att attackera systemen. Men ibland är det precis tvärtom: han anlitas i hemlighet av en företagsledare som ber honom försöka hacka deras system – that’s it.

White box, grey box, och black box

Företag har ofta tre valmöjligheter när de anställer en etisk hackare. Det första alternativet kallas white box. Då får den anställda hackaren kännedom om systemet och får dessutom nätverksaccess och sitter alltså på företagets nätverk, för att undersöka hur lätt det är att orsaka problem internet.

Det andra alternativet är en gray box. Då får antingen hackaren sitta på insidan utan kännedom om nätverket eller systemen, eller tvärtom: hackaren sitter utanför nätverket, men har viss information om nätverken och systemen på insidan.

Det sista alternativet kallas för black box. Detta är det svåraste alternativet. Hackaren får inte veta ett endaste dugg om varken nätverken eller systemen och måste sitta utanför nätverket och försöka ta sig in. Den enda som vet om att en attack planeras är företagets vd och möjligen den som är it-ansvarig. Men inte ens de får reda på när och hur den etiska hackaren kommer försöka ta sig in.

– Det är som ett klassiskt detektivarbete. Jag måste surfa runt och läsa på om företaget, ta reda på hur deras nätverk är uppbyggt, och luska ut var de kan vara som känsligast. Jag kan försöka locka medarbetare att lämna ifrån sig lösenord och uppgifter genom att få dem att klicka på länkar i mejl jag skickar dem, säger han. 

Genom att till exempel titta vad företag använder sig av för program och appar, kan man undersöka om de har de senaste uppdateringarna. Har de inte det, kan de bli en väg in.

– Sådana här brister i program finns sparade i stora så kallade CVE-databaser, som står för Common Vulnerabilities and Exposures. Där kan man se om vissa versioner av en specifik programvara har säkerhetshål som inte åtgärdats. De kan bero på rent konfigurationstekniska misstag.

Väl inne i systemet måste Kaveh Hoodeh hitta sätt att bli kvar där utan att bli utkastad.

Gammalt misstag fortfarande äldst

Trots att världen de senaste åren har sett många typer av nya sorters attacker där man exempelvis beordrar IoT-enheter att utföra belastningsattacker, är det fortfarande de mer klassiska hackingmetoderna, där man riktar in sig till den enskilda användaren, som ställer till med den största oredan hos företag.

Det handlar både om att knäcka anställdas dåliga lösenord och att skicka ut mail med smittade länkar.

– Det som förundrar mig mest när det kommer till internetsäkerhet är att det fortfarande är samma misstag som begås som begicks för 15-20 år sedan; samma typer av fishing-mail lurar folk att klicka på länkar som smittar ner deras dator. Hackare utnyttjar den mänskliga faktorn och spelar på vår nyfikenhet. Det kan vara lite frustrerande, säger Kaveh Hoodeh.

kavehWEBB2.jpg

Kaveh Hoodeh, senior säkerhetskonsult, Atea

Finns det någon räddning från hackarna?

– Helt klart står vi inför en tid när hackare hittar mer och mer sätt att attackera oss, och hackarbranchen har blivit mer lukrativ med tanke på att man exempelvis kan ta utföra utpressningar och ta betalt i bitcoins och på så sätt vara betydligt svårare att spåra. Men till syvende och sist är det som det alltid har varit: en kamp mot klockan.

– Ju bättre vi blir på att göra det svårt för hackare att sig in i ditt system, desto längre tid tar det. Och som med alltid annat är tid lika med pengar. Fortsätter man bara att behandla säkerhet som en viktig del av sin infrastruktur finns det alltid goda möjligheter att man klarar sig. Det är inte alltid det behövs nya prylar eller system; det som framförallt behövs är att man är vaksam på sitt användarbeteende.

Kaveh Hoodehs bästa tips

Det räcker inte att sätta upp en brandvägg och tro att allt är löst, utan man måste ständigt hålla sig à jour med hur hacking-vindarna blåser. Ett tips som Kaveh Hoodeh tycker alla bör prova är vad som kallas för multifaktorsautentisering.

Fortfarande sker de flesta attacker på grund av svaga lösenord. Men med multifaktorsautentisering måste användaren, utöver sitt vanliga lösenord, även logga in med hjälp av en kod som skickats till en via sms, eller med hjälp av sitt bank-id, eller en app som genererar en engångskod varje gång man söker logga in.

 

Rekommenderad läsning

snip ledesma.JPG video

Gävleborg säkrar upp backup-miljön

22 sep 2016 säkerhet

Region Gävleborg ska ha klart sin nya backupmiljö till årsskiftet. Bytet ska leda till en ökad trygghet både hos de som utvecklar systemen, de som jobbar med dem och de som systemen berör.

röd stuga på skärgårdsberg.jpg video

Sveriges nya revisorer

11 dec 2018 säkerhet

De nya dataskyddsombuden ska stå på medborgarens sida. En av utmaningarna för kommunernas dataskyddsombud är förstå att det är en revisorsroll man har och att inte skapa processer som man själv ska granska. Det menar Christer Granqvist, dataskyddsombud för Ludvika och Smedjebacken.

polis-iot-960640.jpg

Polisen varnar för IoT

26 okt 2018 säkerhet

Enbart i Sverige uppskattas kostnaderna för bedrägerier ligga på 320 miljarder kronor per år och förra året rapporterades det 80 000 CNP-bedrägerier. Stora hot är även phishing och voice-phishing. Samtidigt menar allt fler att IoT kan bli den första digitala mördaren. 

vr-nacksmarta-960640.jpg

VR mot nacksmärta

6 nov 2018 it i vården

Region Norrbotten använder sig av virtual reality som ny behandlingsmetod för patienter med långvarig nacksmärta. Med hjälp av tekniken hoppas regionen att patienterna ska känna sig mer motiverade och utföra rörelserna optimalt.

båtar i havet vid marstrand.jpg video

När väst blir bäst

13 dec 2018 ledarskap

Från stor småstad till liten storstad. Enligt Västsvenska Handelskammaren kommer Göteborgsregionen att växa kraftigt, inte minst tack vare sin position inom industrin. Men för det ska bli verklighet krävs en lyhördhet inför framtidens  möjligheter inom teknik och digitalisering.

äldre dam håller en yngre kvinna i handen och tittar i kameran.jpg video

Varbergs mjuka servrar

12 nov 2018 digit

Med system som arbetar 25 procent snabbare har Varbergs flytt av 185 servrar till en hyperkonvergerad miljö inneburit stora vinster. It-personalen kan istället arbeta proaktivt, och nu pågår arbetet för att avgöra vad som ska köras i molnet och vad som ska finnas lokalt. 

sex gula lyftkranar med en blå himmel i bakgrunden.jpg video

Stenas tre ben

10 jan 2019 digit

Träning, medvetenhet och användning. Det är Stena IT:s ledord när de ska ge samtliga medarbetare inom Stena-koncernen möjligheten att utvecklas digitalt. Där är Stena Fastigheter ett av solskensexemplen som de andra organisationerna kan dra lärdomar av.

personal-springer-pa-sjukhus.jpg

SKL litar på molnet

14 nov 2018 säkerhet

SKL står redo att svara på frågor från kommuner och landsting efter eSams rättsliga uttalande i måndags. Sedan affären med Transportstyrelsen har organisationen arbetat med frågan om säkerhetsrisker vid outsourcing av molntjänster i nära samarbete med bland annat MSB.

ett grönt fält med berg i bakgrunden med en kossa i förgrunden som tittar in i kameran2.jpg

Så blir syd smart

14 jan 2019 digit

2020 ska 95 procent av Sveriges befolkning ha tillgång till fiber. I Skåne och Blekinge samarbetar regionerna för att nå målen, bland annat via projektet Det smarta samhället och demar senaste tekniken i en butiksgalleria i Kristianstad.