Hackeren og Tricktyven på ’cyber raid’ i erhvervslivet.

Tekst: Ida Ulrich Bregnhøj, Kernekommunikator.dk

Foto: Privat

Vi har nok alle sammen mødt dem i én eller anden form. Den hjælpsomme mail om en forsendelse, du lige skal klikke på et link for at modtage. Pigen i undergrundsbanen, som spørger om vej, mens makkeren tømmer dine lommer. Eller den akneplettede kælderninja, som på syv minutter penetrerer det digitale fort på din hjemmecomputer (tak til det geniale password Kæledyrs_NaVn_Og-dit-husnumm3r), hvorefter bogstaverne i dit dokument ét for ét falder ned, og lander i en bunke i bunden af skærmen. Grineren.

Vi har efterhånden lært, at sund fornuft eller en rask firewall kan holde de værste bedragere og drillepinde fra at få adgang til vores data. Men hvad med de fysiske hackere – kender vi dem? Ham der smutter ind ad bagdøren hos tech-giganten sammen med rygerne og et klonet adgangskort, eller hende der kommer igennem receptionens sikkerhedskontrol, fordi ”nogen” har sluppet en hund løs i foyeren? Det lyder måske som en lidt for smart Egon Olsen-situation, hvor man lige skal bruge et billede af Kongefamilien for at komme ind til Franz Jägeren – men det er faktisk eksempler på virkelige angreb hos store virksomheder, designet til at afsløre svagheder i organisationernes sikkerhedsprotokoller.

“Vi har efterhånden lært, at sund fornuft eller en rask firewall kan holde de værste bedragere og drillepinde fra at få adgang til vores data. Men hvad med de fysiske hackere – kender vi dem?”

Stresstest med en hær i ryggen

Hos Defensive, danskejet konsulentvirksomhed inden for highend security, beskæftiger man sig med alt fra IT-sikkerhed til brand protection og dybdegående baggrundstjek. Defensive er konsulenter, IT-nørder, tidligere politifolk, PET-agenter og hackere, som bliver hyret til at stressteste systemer og procedurer hos danske og udenlandske virksomheder, med det formål at finde hullerne i osten. Og så tager de på tur med deres underholdende og informative show ”Hackeren og Tricktyven”, som med en blanding af trylleri og manipulation klæder tilskuerne på til at styrke det svageste led i enhver sikkerhedsprotokol: Mennesket.

“Når vores team laver et live hack gælder alle kneb. De bruger droner, løse dyr, telefonstorm eller falske identiteter for at narre eller distrahere målet – for det er sådan, et virkeligt angreb kan foregå”

De ubudne gæster hacker mennesker, ikke systemer

Allan Bo Jensen, Co-founder hos Defensive, fortæller at det netop er mennesker, som både er ”first line of defense”, men også det svageste led i en sikkerhedsprotokol. Måske har man procedurerne på plads, men de er somme tider ikke mere nuancerede, end at de kan manipuleres eller overbelastes. ”Når vores Red Team laver et live hack, som vi kalder det, gælder alle kneb. De bruger droner, løse dyr, telefonstorm eller falske identiteter for at narre eller distrahere målet – for det er sådan, et virkeligt angreb kan foregå. Ofte opdager de slet ikke, hvad der er sket, eller mangler en procedure for uforudsigelige hændelser,” forklarer han.

For en udenforstående er eksemplerne på designede angreb nærmest søgte, for der går fuld ”Hollywoodfilm” i den, når Defensives team får en opgave med et live hack. Allan Bo Jensen forklarer, at en stresstest kan være en simpel opgave, som at nå et bestemt kontor uden at blive set eller stoppet. Som dengang de slap en stor hund løs i receptionen, og smuttede forbi sikkerhedsvagterne i den forvirring, der opstod. Eller dengang de udgav sig for at være fra virksomhedens rengøringsfirma, som ville tjekke kvaliteten af deres eget arbejde.

”Faktisk kan et hurtigt kig på hjemmesiden tit afsløre en vej ind,”, fortæller han. ”Man kan skrive rundt, indtil man finder et autosvar på en fraværende medarbejder, og bruge den viden til at manipulere dem, man møder på gangen. I eksemplet med det falske rengøringsfirma fik vores live hacker faktisk lidt skældud over, at han ikke var kommet noget før. Han undskyldte mange gange, og fik et adgangskort, så han kunne tjekke hele bygningen grundigt for ”sjusket rengøring,” smiler Allan sigende.

Cybercrime hos de mindre virksomheder

Når det kommer til de mindre virksomheder, er udfordringen ifølge Allan Bo Jensen lige så udbredt – men hér er man typisk udsat på en anden måde pga. færre ressourcer. Måske er man kun 2-3 ansatte, budgettet til IT-sikkerheden er begrænset, eller området bliver nedprioriteret. ”Det sker jo ikke for os, vel? Og vi har alligevel ikke noget, nogen kan bruge!”

“Faktisk kan et hurtigt kig på hjemmesiden tit afsløre en vej ind. Man kan skrive rundt, indtil man finder et autosvar på en fraværende medarbejder, og bruge den viden til at manipulere dem, man møder på gangen”

Men konsekvensberegningen mangler, mener Allan Bo Jensen. For et svagt sikkerhedssystem hos en mindre virksomhed kan være netop det, en hackergruppe har brug for, for at få adgang til et større mål. ”Det kan være omfattende at forcere et kompliceret sikkerhedssystem, og så er det måske nemmere at gå efter underleverandøren, som har en forkølet firewall og et svagt password til computeren,” forklarer han.

Hackeren og Tricktyven – manipulation med en pointe

Bag showet “Hackeren og Tricktyven” finder vi Allan Bo Jensen, Jesper Lundorf og Sunny Cagara. Men faktisk gemmer der sig en tidligere PET-agent, en digital efterforsker og en tryllekunstner med speciale i tricktyveri bag de tre ellers så uskyldige ansigter. Sammen har de skabt konceptet “Hackeren og Tricktyven”, som med et glimt i øjet (og en hel del kreativ manipulation), underviser i, hvor nemt det er at skaffe informationer om et andet menneske – digitalt eller gennem almindelig samtale.

“Et svagt sikkerhedssystem hos en mindre virksomhed kan være det, en hackergruppe har brug for, for at få adgang til et større mål”

”Som sagt starter vi ofte et angreb med at gå efter mennesket, fordi det er nemmere,” uddyber Allan Bo Jensen. ”Og det kan altså gøres med langt mere simple midler, end de stort opstillede angreb hos virksomhederne. Et angreb kan starte langt før, hjemme hos en ansat, som er engageret i den lokale fodboldklub. Han modtager en mail fra klubben, og klikker på linket – hvorfor skulle han ikke det? Men så er hackeren inde, og kan begynde at lede efter informationer om den virksomhed, hvor han arbejder. Vi ser også eksempler på, at man kan modtage en sms i en eksisterende tråd, som ser ud til at komme fra dit ældre familiemedlem. Hvem siger nej til at hjælpe mormor med det NemID?! Alle efterlader en masse digitale spor, og det er nemt at finde på de sociale medier, hvis man som hacker klikker lidt rundt.”

“Hackeren og Tricktyven” er derfor ét af de midler, som Defensive bruger for at uddanne medarbejdere og ledelse i, hvor meget den menneskelige faktor betyder. ”Er mennesket ikke klædt på til at spotte svaghederne, så er sikkerheden ligegyldig,” slutter han.