Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Hackarens krig mot cyberattacker

Mixa superhackaren Lisbeth Salander med en hemlig agent och resultatet blir Kaveh Hoodeh. När den vita hackaren är klar med ett it-system har säkerheten mot cyberattacker förbättrats.

Text Tim Leffler Foto Voister 15 september 2017 säkerhet

kaveh2WEBB.jpg

Kaveh Hoodehs arbete som etisk hackare kan ibland liknas vid klassiskt detektivarbete,

– Marknaden skriker efter sådana som oss, och bara de senaste åren har företag verkligen fått upp ögonen för oss. Det är en spännande tid att jobba som etisk hackare, säger Kaveh Hoodeh, senior säkerhetskonsult på it-företaget Atea.

Kaveh Hoodeh arbetar som en så kallad etisk hackare. Det är en arbetsroll som växer i takt med att företag och organisationer vill göra det så svårt som möjligt för hackare att komma åt dem.

Det förundrar mig att samma misstag begås idag som för 15-20 år sedan.

Kaveh Hoodeh , Senior säkerhetskonsult, Atea

För ett par år sedan var det i första hand företag som själva var medvetna om vikten av en god it-säkerhet som vände sig till honom, men de senare åren får Kaveh Hoodeh uppdrag av företag och organisationer av alla storlekar.

– Alltifrån läckor från visselblåsare till nyheter om cyberarméer som drivs på nationell nivå har gjort att folk har fått upp ögonen än mer för vikten av en bra it-säkerhet, säger han.

Kreativitet och problemlösning

It-säkerhet är något som alltid har intresserat Kaveh Hoodeh, och något som han arbetat med hela sitt yrkesliv, bland annat på Lantmäteriet. Mixar man dessutom ihop it-säkerhet med vikten av logisk problemlösning och möjligheten till kreativitet har man de perfekta förutsättningarna för att arbeta som etisk hackare.

– Jag har alltid brunnit för den kreativa biten av it-säkerhet; vad som egentligen krävs för att ta sig in i ett system. Många kvällar har förflutit med omvärldsbevakning och uppsättningen av olika testmiljöer för att hitta brister i olika system, och sedan fundera på vad som krävs för att åtgärda dem. Det är precis sådant jag får syssla med som etisk hackare, säger han.

Svarta boxar

Poängen med etiska hackare är att de ska agera som hackare, så att företag ska bli varse om var de behöver arbeta mer med för att ha den bästa möjliga säkerheten på plats. 

Ibland anlitas Kaveh Hoodeh som en så kallad vit hackare. Då får han kännedom om systemet och får dessutom sitta på samma nätverk för att försöka hitta sätt att attackera systemen. Men ibland är det precis tvärtom: han anlitas i hemlighet av en företagsledare som ber honom försöka hacka deras system – that’s it.

White box, grey box, och black box

Företag har ofta tre valmöjligheter när de anställer en etisk hackare. Det första alternativet kallas white box. Då får den anställda hackaren kännedom om systemet och får dessutom nätverksaccess och sitter alltså på företagets nätverk, för att undersöka hur lätt det är att orsaka problem internet.

Det andra alternativet är en gray box. Då får antingen hackaren sitta på insidan utan kännedom om nätverket eller systemen, eller tvärtom: hackaren sitter utanför nätverket, men har viss information om nätverken och systemen på insidan.

Det sista alternativet kallas för black box. Detta är det svåraste alternativet. Hackaren får inte veta ett endaste dugg om varken nätverken eller systemen och måste sitta utanför nätverket och försöka ta sig in. Den enda som vet om att en attack planeras är företagets vd och möjligen den som är it-ansvarig. Men inte ens de får reda på när och hur den etiska hackaren kommer försöka ta sig in.

– Det är som ett klassiskt detektivarbete. Jag måste surfa runt och läsa på om företaget, ta reda på hur deras nätverk är uppbyggt, och luska ut var de kan vara som känsligast. Jag kan försöka locka medarbetare att lämna ifrån sig lösenord och uppgifter genom att få dem att klicka på länkar i mejl jag skickar dem, säger han. 

Genom att till exempel titta vad företag använder sig av för program och appar, kan man undersöka om de har de senaste uppdateringarna. Har de inte det, kan de bli en väg in.

– Sådana här brister i program finns sparade i stora så kallade CVE-databaser, som står för Common Vulnerabilities and Exposures. Där kan man se om vissa versioner av en specifik programvara har säkerhetshål som inte åtgärdats. De kan bero på rent konfigurationstekniska misstag.

Väl inne i systemet måste Kaveh Hoodeh hitta sätt att bli kvar där utan att bli utkastad.

Gammalt misstag fortfarande äldst

Trots att världen de senaste åren har sett många typer av nya sorters attacker där man exempelvis beordrar IoT-enheter att utföra belastningsattacker, är det fortfarande de mer klassiska hackingmetoderna, där man riktar in sig till den enskilda användaren, som ställer till med den största oredan hos företag.

Det handlar både om att knäcka anställdas dåliga lösenord och att skicka ut mail med smittade länkar.

– Det som förundrar mig mest när det kommer till internetsäkerhet är att det fortfarande är samma misstag som begås som begicks för 15-20 år sedan; samma typer av fishing-mail lurar folk att klicka på länkar som smittar ner deras dator. Hackare utnyttjar den mänskliga faktorn och spelar på vår nyfikenhet. Det kan vara lite frustrerande, säger Kaveh Hoodeh.

kavehWEBB2.jpg

Kaveh Hoodeh, senior säkerhetskonsult, Atea

Finns det någon räddning från hackarna?

– Helt klart står vi inför en tid när hackare hittar mer och mer sätt att attackera oss, och hackarbranchen har blivit mer lukrativ med tanke på att man exempelvis kan ta utföra utpressningar och ta betalt i bitcoins och på så sätt vara betydligt svårare att spåra. Men till syvende och sist är det som det alltid har varit: en kamp mot klockan.

– Ju bättre vi blir på att göra det svårt för hackare att sig in i ditt system, desto längre tid tar det. Och som med alltid annat är tid lika med pengar. Fortsätter man bara att behandla säkerhet som en viktig del av sin infrastruktur finns det alltid goda möjligheter att man klarar sig. Det är inte alltid det behövs nya prylar eller system; det som framförallt behövs är att man är vaksam på sitt användarbeteende.

Kaveh Hoodehs bästa tips

Det räcker inte att sätta upp en brandvägg och tro att allt är löst, utan man måste ständigt hålla sig à jour med hur hacking-vindarna blåser. Ett tips som Kaveh Hoodeh tycker alla bör prova är vad som kallas för multifaktorsautentisering.

Fortfarande sker de flesta attacker på grund av svaga lösenord. Men med multifaktorsautentisering måste användaren, utöver sitt vanliga lösenord, även logga in med hjälp av en kod som skickats till en via sms, eller med hjälp av sitt bank-id, eller en app som genererar en engångskod varje gång man söker logga in.

 

Rekommenderad läsning

röd stuga på skärgårdsberg.jpg
video

Sveriges nya revisorer

11 dec 2018 säkerhet

De nya dataskyddsombuden ska stå på medborgarens sida. En av utmaningarna för kommunernas dataskyddsombud är förstå att det är en revisorsroll man har och att inte skapa processer som man själv ska granska. Det menar Christer Granqvist, dataskyddsombud för Ludvika och Smedjebacken.

snip ledesma.JPG
video

Gävleborg säkrar upp backup-miljön

22 sep 2016 säkerhet

Region Gävleborg ska ha klart sin nya backupmiljö till årsskiftet. Bytet ska leda till en ökad trygghet både hos de som utvecklar systemen, de som jobbar med dem och de som systemen berör.

öron på hund mot gul bakgrund.jpg
video

Lyssna in skyddet

27 feb 2020 säkerhet

Utvecklingen inom it-säkerhet går snabbt och att omge sig av kompetenta personer och lyssna på experter är två centrala delar för all verksamhet Det menar Pierre Pilstål, CIO, Plockmatic Group.

två parn står mot lila bakgrund och tittar i vars en telefon.jpg

GDPR lyft för appar

11 nov 2019 säkerhet

Införandet av GDPR har haft en positiv effekt på appars tillgång till privat data och på så sätt har den personliga integriteten stärkts. Samtidigt återstår en del arbete med appar som fortfarande har åtkomst till fler funktioner än vad deras integritetspolicy beskriver.

kinesiska flaggan.jpg

Huawei tryggar avtal

12 nov 2019 säkerhet

Huaweis vara eller icke vara i Europa och USA i samband med 5G-utbyggnad diskuteras frekvent. Det kinesiska företaget öppnar nu för att i avtal garantera att det inte finns några säkerhetsluckor i bolagets utrustning. 

mattstock-hultafors.jpg
video

Hultafors mäter framgång

7 jan 2020 digit

Allt började 1883 med att en ung ingenjör uppfann tumstocken. Idag är Hultafors group en världsomspännande koncern med en rad välkända varumärken och med den senaste expansionen i USA behövs en it-avdelning som arbetar agilt och nära verksamheten.

olika taxibilar står parkerade utanför hämtzon.jpg
video

Hejdå taxichaufför

9 dec 2019 digit

Om fem år finns robotiserade taxibilar i våra storstäder och bilar som kan parkera själva. För att självkörande bilar ska kunna hantera alla situationer krävs fortfarande många år för att testa tekniken. Det menar Jonas Ekmark, Zenuity.  

svetsare med rör bredvid sig.jpg

Industrin säkras

14 nov 2019 säkerhet

När industrin blir beroende av smarta tekniska lösningar vill det till att säkerheten inte sätts på undantag. Därför lanserar säkerhetsföretaget Trend Micro två nya lösningar som riktar sig mot industrin.