Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Hackarens krig mot cyberattacker

Mixa superhackaren Lisbeth Salander med en hemlig agent och resultatet blir Kaveh Hoodeh. När den vita hackaren är klar med ett it-system har säkerheten mot cyberattacker förbättrats.

Text Tim Leffler Foto Tim Leffler 15 september 2017 säkerhet

kaveh2WEBB.jpg

Kaveh Hoodehs arbete som etisk hackare kan ibland liknas vid klassiskt detektivarbete,

– Marknaden skriker efter sådana som oss, och bara de senaste åren har företag verkligen fått upp ögonen för oss. Det är en spännande tid att jobba som etisk hackare, säger Kaveh Hoodeh, senior säkerhetskonsult på it-företaget Atea.

Kaveh Hoodeh arbetar som en så kallad etisk hackare. Det är en arbetsroll som växer i takt med att företag och organisationer vill göra det så svårt som möjligt för hackare att komma åt dem.

Det förundrar mig att samma misstag begås idag som för 15-20 år sedan.

Kaveh Hoodeh , Senior säkerhetskonsult, Atea

För ett par år sedan var det i första hand företag som själva var medvetna om vikten av en god it-säkerhet som vände sig till honom, men de senare åren får Kaveh Hoodeh uppdrag av företag och organisationer av alla storlekar.

– Alltifrån läckor från visselblåsare till nyheter om cyberarméer som drivs på nationell nivå har gjort att folk har fått upp ögonen än mer för vikten av en bra it-säkerhet, säger han.

Kreativitet och problemlösning

It-säkerhet är något som alltid har intresserat Kaveh Hoodeh, och något som han arbetat med hela sitt yrkesliv, bland annat på Lantmäteriet. Mixar man dessutom ihop it-säkerhet med vikten av logisk problemlösning och möjligheten till kreativitet har man de perfekta förutsättningarna för att arbeta som etisk hackare.

– Jag har alltid brunnit för den kreativa biten av it-säkerhet; vad som egentligen krävs för att ta sig in i ett system. Många kvällar har förflutit med omvärldsbevakning och uppsättningen av olika testmiljöer för att hitta brister i olika system, och sedan fundera på vad som krävs för att åtgärda dem. Det är precis sådant jag får syssla med som etisk hackare, säger han.

Svarta boxar

Poängen med etiska hackare är att de ska agera som hackare, så att företag ska bli varse om var de behöver arbeta mer med för att ha den bästa möjliga säkerheten på plats. 

Ibland anlitas Kaveh Hoodeh som en så kallad vit hackare. Då får han kännedom om systemet och får dessutom sitta på samma nätverk för att försöka hitta sätt att attackera systemen. Men ibland är det precis tvärtom: han anlitas i hemlighet av en företagsledare som ber honom försöka hacka deras system – that’s it.

White box, grey box, och black box

Företag har ofta tre valmöjligheter när de anställer en etisk hackare. Det första alternativet kallas white box. Då får den anställda hackaren kännedom om systemet och får dessutom nätverksaccess och sitter alltså på företagets nätverk, för att undersöka hur lätt det är att orsaka problem internet.

Det andra alternativet är en gray box. Då får antingen hackaren sitta på insidan utan kännedom om nätverket eller systemen, eller tvärtom: hackaren sitter utanför nätverket, men har viss information om nätverken och systemen på insidan.

Det sista alternativet kallas för black box. Detta är det svåraste alternativet. Hackaren får inte veta ett endaste dugg om varken nätverken eller systemen och måste sitta utanför nätverket och försöka ta sig in. Den enda som vet om att en attack planeras är företagets vd och möjligen den som är it-ansvarig. Men inte ens de får reda på när och hur den etiska hackaren kommer försöka ta sig in.

– Det är som ett klassiskt detektivarbete. Jag måste surfa runt och läsa på om företaget, ta reda på hur deras nätverk är uppbyggt, och luska ut var de kan vara som känsligast. Jag kan försöka locka medarbetare att lämna ifrån sig lösenord och uppgifter genom att få dem att klicka på länkar i mejl jag skickar dem, säger han. 

Genom att till exempel titta vad företag använder sig av för program och appar, kan man undersöka om de har de senaste uppdateringarna. Har de inte det, kan de bli en väg in.

– Sådana här brister i program finns sparade i stora så kallade CVE-databaser, som står för Common Vulnerabilities and Exposures. Där kan man se om vissa versioner av en specifik programvara har säkerhetshål som inte åtgärdats. De kan bero på rent konfigurationstekniska misstag.

Väl inne i systemet måste Kaveh Hoodeh hitta sätt att bli kvar där utan att bli utkastad.

Gammalt misstag fortfarande äldst

Trots att världen de senaste åren har sett många typer av nya sorters attacker där man exempelvis beordrar IoT-enheter att utföra belastningsattacker, är det fortfarande de mer klassiska hackingmetoderna, där man riktar in sig till den enskilda användaren, som ställer till med den största oredan hos företag.

Det handlar både om att knäcka anställdas dåliga lösenord och att skicka ut mail med smittade länkar.

– Det som förundrar mig mest när det kommer till internetsäkerhet är att det fortfarande är samma misstag som begås som begicks för 15-20 år sedan; samma typer av fishing-mail lurar folk att klicka på länkar som smittar ner deras dator. Hackare utnyttjar den mänskliga faktorn och spelar på vår nyfikenhet. Det kan vara lite frustrerande, säger Kaveh Hoodeh.

kavehWEBB2.jpg

Kaveh Hoodeh, senior säkerhetskonsult, Atea

Finns det någon räddning från hackarna?

– Helt klart står vi inför en tid när hackare hittar mer och mer sätt att attackera oss, och hackarbranchen har blivit mer lukrativ med tanke på att man exempelvis kan ta utföra utpressningar och ta betalt i bitcoins och på så sätt vara betydligt svårare att spåra. Men till syvende och sist är det som det alltid har varit: en kamp mot klockan.

– Ju bättre vi blir på att göra det svårt för hackare att sig in i ditt system, desto längre tid tar det. Och som med alltid annat är tid lika med pengar. Fortsätter man bara att behandla säkerhet som en viktig del av sin infrastruktur finns det alltid goda möjligheter att man klarar sig. Det är inte alltid det behövs nya prylar eller system; det som framförallt behövs är att man är vaksam på sitt användarbeteende.

Kaveh Hoodehs bästa tips

Det räcker inte att sätta upp en brandvägg och tro att allt är löst, utan man måste ständigt hålla sig à jour med hur hacking-vindarna blåser. Ett tips som Kaveh Hoodeh tycker alla bör prova är vad som kallas för multifaktorsautentisering.

Fortfarande sker de flesta attacker på grund av svaga lösenord. Men med multifaktorsautentisering måste användaren, utöver sitt vanliga lösenord, även logga in med hjälp av en kod som skickats till en via sms, eller med hjälp av sitt bank-id, eller en app som genererar en engångskod varje gång man söker logga in.

 

Rekommenderad läsning

Robotar avlastar Lantmäteriet

20 sep 2017 digit

gävle 1 puffbild 960640.jpg gävle 1 puffbild 960640.jpg gävle 1 puffbild 960640.jpg video

Lantmäteriet fortsätter att testa ny teknik och digitala lösningar. Efter Minecraft och blockkedjor introduceras nu mjukvarurobotar som ska göra det enklare jobbet och de anställda få tid till annat.

JP Morgan säkert med Nexus

6 okt 2017 säkerhet

1024px-A1_Houston_Office_Oil_Traders_on_Monday_2.jpg 1024px-A1_Houston_Office_Oil_Traders_on_Monday_2.jpg 1024px-A1_Houston_Office_Oil_Traders_on_Monday_2.jpg video

Nexus har varit med och utvecklat BankID som i dag används av miljoner svenskar. Idag jobbar företaget med avancerade säkerhetslösningar som möter kraven för bland annat GDPR.

Unikt åtal efter DDoS-attack

11 okt 2017 säkerhet

bild åtal2 960640.jpg bild åtal2 960640.jpg bild åtal2 960640.jpg

Det är första gången det sker ett åtalal efter DDoS-attacker mot svenska banker. Den misstänkte gärningsmannen, som var 16 år vid attackerna, åtalas nu för grovt dataintrång.

Så klarar du GDPR-krav i flera länder

11 okt 2017 säkerhet

blöjaWEBB.jpg blöjaWEBB.jpg blöjaWEBB.jpg video

Fitesa tillverkar fiberväv till bland annat blöjor och har verksamheter i flera länder i Europa. Idag är utmaningen att få med alla på GDPR-tåget. 

Joacim Damgard om Microsofts utveckling

24 okt 2016 ledarskap

snip damgard.JPG snip damgard.JPG snip damgard.JPG video

Den 1 juni tillträdde Joacim Damgard som vd för Microsoft Sverige. Säkerhet, IoT och kundernas efterfrågan på molnlösningar driver efterfrågan. Och så avslöjar Joacim sin personliga favorit i MS-familjen.

”Din mormor kan vara en hackare”

12 sep 2017 säkerhet

mormorhackingWEBB.jpg mormorhackingWEBB.jpg mormorhackingWEBB.jpg video

Ransomware och andra malware gör att säkerhet alltid är i fokus. Eric Howard, Cisco och Chung-wai Lee, Cisco Sverige, ger tips hur du skyddar dig och snabbast kommer tillbaka efter en attack.

Foab säkrar via molnet

18 okt 2017 digit

vattenverkWEBB.jpg vattenverkWEBB.jpg vattenverkWEBB.jpg video

Säkerhetsföretaget Foab har kunder med känslig infrastruktur som vattenverk och annan kommunal verksamhet. Nu står bolaget inför utmaningen att integrera säkerhetssystem i privata moln.

Modio har koll på IoT-säkerhet

13 okt 2017 säkerhet

smart hem 960640.jpg smart hem 960640.jpg smart hem 960640.jpg video

Gartner spår att drygt 20 miljarder enheter kommer att vara uppkopplade 2020. Det ställer helt nya krav på säkerhet i smarta hem och arbetsplatser, vilket är företaget Modios kärnverksamhet.

 

Chippet som ersätter biljetten

6 okt 2017 digit

train 960640.jpg train 960640.jpg train 960640.jpg video

Hittills har chip inskjutna i handen haft få nyttor men nu vaknar allt fler bolag. SJ kan läsa av biljetten i chippet och både SL och UL  tittar på samma möjlighet. OBS Filmen kan vara lite jobbig för känsliga tittare.