Vi skal have etiske hackere med black hat mind-set

Hvis vi skal forstå motiverne bag et hackerangreb og finde ud af, hvordan hackerne kommer ind i vores stats og virksomheders it-systemer, er det afgørende, at vi selv uddanner og træner etiske hackere. Etiske hackere skal – præcis som politiet i den fysiske verden – lære at tænke som de kriminelle, så de bedre kan forstå trusselsbilledet, identificere sikkerhedstrusler i it-systemerne og sætte en stopper for de ondsindede hackeres virtuelle misgerninger.

Sådan træner de hvide hackere

Artur Saroya arbejder som systemkonsulent i Atea. Til daglig hjælper han danske virksomheder med at lave tests og sårbarhedsskanninger af deres it-systemer for at finde frem til potentielle huller i infrastrukturen, hvor der er risiko for, at hackere vil kunne komme indenfor. Og så er han certificeret etisk hacker – en professionel hvid hat hacker med diplom i computerforsvar – der i den bedste western-analogi er klar til at tage kampen op mod de onde black hats.

For at træne og opkvalificere sine hacker-kompetencer var Artur i slutningen maj i London på et seks dage langt kursus i netværks-, system- og webpenetrering. De første fem dage bestod af intensive hands-on øvelser i brug af forskellige avancerede hacker-teknikker, der giver adgang til lukkede it-systemer.

OL for White Hat Hackers – Ateas etiske hacker løb med guldmedaljen

Kursets sjette og sidste dag var højdepunktet for de 15 deltagere, der bestod af it-sikkerhedsfolk fra hele Europa. Det var dagen, hvor hacker-færdighederne for alvor skulle i spil i jagten på ”flaget” og én af de eftertragtede Coins. I hold af 3-4 personer skulle deltagerne uden andet end en IP-adresse forsøge at hacke sig ind i it-infrastrukturen hos en simuleret Enterprise-virksomhed for at stjæle og dekryptere virksomhedens personaledatabase-fil. Filen var krypteret hele fire gange, så for at dekryptere den skulle holdene finde frem til John, Sam, Kim og Laura – fire medarbejdere i virksomheden, der lå inde med hver sin dekrypteringsnøgle.

Konkurrenceelementet er det, der på verdensplan gør kurserne ekstremt populære. Det hold, der først finder og dekrypterer filen med virksomhedens persondata vinder en af de 15 forskellige slags Coins, der for ligesindede it-professionelle medfører stor anerkendelse og respekt og har nogenlunde samme værdi som en OL-guldmedalje. Arturs hackerhold, der bestod af en tysk og to britiske medsammensvorne klarede opgaven efter kun 4,5 timers intenst og fokuseret samarbejde, og Artur er nu tilbage i Atea med fornyet energi og ikke mindst skærpede hacker-skills.

SANS Institute

SEC560: Network Penetration Testing and Ethical Hacking er et 6-dages intensivt kursus udbudt af det internationalt anerkendte SANS Institute. SANS er en forsknings- og uddannelsesorganisation, der afholder kurser inden for it-sikkerhed for mere end 165.000 it-professionelle over hele verden. Blandt kursisterne er it-sikkerhedsspecialister fra bl.a. FBI, CIA og NC3.

Capture the Flag – kampen om den eftertragtede Coin

På kursets sidste dag dyster kursisterne i konkurrencen ”Capture the Flag”, hvor læring og værktøjer fra de foregående dage skal i spil i et intenst ræs om at hacke sig ind i en simuleret virksomheds it-miljø for at identificere, stjæle og dekryptere virksomhedens medarbejderdatabase. Vinderholdet modtager en af de populære Coins - et eftertragtet samlerobjekt for folk i branchen. Mønten har en kodet besked bagpå, som først kan knækkes, når man har erhvervet sig alle 15 forskellige Coins.