Læs i original udgivelse i BizzUp Magasinet – nr. 15, 2021
Vi har nok alle sammen mødt dem, på én eller anden måde. Den uskyldige mail om en forsendelse, du skal klikke på et link for at modtage. Fyren i undergrundsbanen, som spørger om vej, mens makkeren tømmer dine lommer. Eller den akneplettede kælderninja, som på 7 minutter penetrerer det digitale fort på din hjemmecomputer (tak til det geniale password Kæledyrs_NaVn_Og-dit-husnumm3r), hvorefter bogstaverne i dit dokument ét for ét falder ned, og lander i en bunke i bunden af skærmen. Grineren.
Vi har efterhånden lært, at sund fornuft eller en rask firewall kan holde de værste snydere og drillepinde fra at få adgang til vores data. Men hvad med de fysiske hackere – kender vi dem? Ham der smutter ind ad bagdøren hos tech-giganten sammen med rygerne og et klonet adgangskort, eller hende der kommer igennem bygningens sikkerhedskontrol, fordi ”nogen” har sluppet en hund løs i foyeren? Det lyder måske som en lidt for søgt Egon Olsen-situation, hvor man skal bruge et billede af Kongefamilien for at komme ind til Franz Jägeren – men det er faktisk eksempler på virkelige angreb hos store virksomheder, designet til at afsløre svagheder i organisationernes sikkerhedsprotokoller.
Organiseret stresstest med en hær i ryggen
Hos Defensive, danskejet konsulentvirksomhed inden for highend security, beskæftiger man sig med alt fra IT-sikkerhed til brand protection og dybdegående baggrundstjek. Defensive er konsulenter, IT-nørder, tidligere politifolk, PET-agenter og hackere, som bliver hyret til at stressteste systemer og procedurer hos danske og udenlandske virksomheder, med det formål at finde hullerne i osten. Og så tager de på tur med deres underholdende og informative show ”Hackeren og Tricktyven”, som med en blanding af trylleri og manipulation klæder tilskuerne på til at styrke det svageste led i enhver sikkerhedsprotokol: mennesket.
Svindlere hacker mennesker, ikke systemer
Allan Bo Jensen, Co-founder hos Defensive, fortæller at det er mennesker, som både er ”first line of defense”, men også det svageste led i en sikkerhedsprotokol. Selvom man har procedurerne på plads, er de somme tider ikke mere nuancerede, end at de kan manipuleres eller overbelastes. ”Når vores Red Team laver et live hack, gælder alle kneb. De bruger droner, løse dyr, telefonstorm eller falske identiteter for at narre eller distrahere målet – for det er sådan, et virkeligt angreb kan foregå. Ofte opdager man slet ikke, hvad der er sket, eller mangler en procedure for de uforudsigelige hændelser”, forklarer han.
Der går fuld ”Hollywoodfilm” i den, når Defensives team får en opgave med et live hack. Allan Bo Jensen forklarer, at en stresstest kan være en simpel opgave, som at nå et bestemt kontor uden at blive set eller stoppet. Som dengang de slap en stor hund løs i receptionen hos en stor virksomhed, og smuttede forbi sikkerhedsvagterne i den forvirring, der opstod. Eller dengang de udgav sig for at være fra virksomhedens eget rengøringsfirma, som ville tjekke kvaliteten af deres medarbejderes arbejde.
”Faktisk kan et kig på hjemmesiden tit afsløre en vej ind”, fortæller han. ”Man kan skrive rundt, indtil man finder et autosvar, og bruge sin viden om, at den pågældende medarbejder er fraværende, over for folk, man møder på gangen. I eksemplet med det falske rengøringsfirma fik vores live hacker faktisk skældud over, at han ikke var kommet noget før. Han undskyldte mange gange, og fik et adgangskort, så han kunne tjekke hele bygningen grundigt for ”sjusket rengøring”, smiler Allan med et ildevarslende glimt i øjet.
Cybercrime hos de mindre samarbejdspartnere
Når det kommer til de mindre virksomheder, er udfordringen ifølge Allan Bo Jensen lige så stor – men hér er man typisk udsat på en anden måde pga. færre ressourcer. Måske er man kun 1-2 ansatte, budgettet til IT-sikkerheden er begrænset, eller området bliver nedprioriteret. ”Det sker jo ikke for os, vel? Og vi har alligevel ikke noget, nogen kan bruge!”
Men konsekvensberegningen mangler, siger Allan Bo Jensen. Et svagt sikkerhedssystem hos en mindre virksomhed kan nemlig være netop det, en hackergruppe har brug for, for at få adgang til en større samarbejdspartner. ”Det kan være omfattende at forcere et kompliceret sikkerhedssystem, og hackere vælger også somme tider at hoppe over, hvor gærdet er lavest. Det kan være meget nemmere at gå efter underleverandøren, som har en forkølet firewall og et svagt password til computeren, og få adgang til det virkelige mål den vej igennem”, forklarer han.
Hackeren og Tricktyven – lærerig manipulation
Bag showet Hackeren og Tricktyven finder vi Allan Bo Jensen, Jesper Lundorf og Sunny Cagara. Men faktisk gemmer der sig en tidligere PET-agent, en digital efterforsker og en tryllekunstner med speciale i tricktyveri bag de tre tilsyneladende uskyldige ansigter. Sammen har de skabt showet Hackeren og Tricktyven, som med et glimt i øjet (og en hel del manipulation), underviser i, hvor nemt det er at skaffe informationer om et menneske – digitalt eller gennem samtale.
”Som sagt starter man tit et angreb med at gå efter mennesket, fordi det er nemmere”, uddyber Allan Bo Jensen. ”Og det kan gøres med langt mere enkle midler, end de stort opstillede angreb hos virksomhederne. Et angreb kan starte hjemme hos en ansat, som er engageret i den lokale idrætsklub. Han modtager en mail fra klubben, og klikker på linket – hvorfor skulle han ikke det? Men så er hackeren inde, og kan begynde at lede efter informationer om den virksomhed, hvor vedkommende arbejder. Vi ser også eksempler på, at man kan modtage en sms, som ser ud til at komme fra dit ældre familiemedlem – endda sommet tider i en eksisterende samtale. Hvem siger nej til at hjælpe farmor med det NemID?! Alle efterlader digitale spor, og det er nemt at finde på de sociale medier, hvis man som hacker klikker lidt rundt”.
Hackeren og Tricktyven er derfor ét af de midler, som Defensive bruger for at uddanne medarbejdere og ledelse i, hvor meget den menneskelige faktor betyder. ”Er mennesket ikke klædt på til at spotte svaghederne, så er sikkerheden i sidste ende ligegyldig”, slutter han.