Læs også: Sådan jagter politiet hackere i hele Danmark
For at kunne bekæmpe hackere skal man tænke som en hacker. Håndværket er det samme.
Dog med den hårfine, men meget afgørende forskel, at den ene part overholder loven, mens den anden har travlt med at bryde den.
Det er en grænse, som mange af de it-professionelle på den gode side har bevæget sig faretruende nær.
"Jeg vil mene, at langt de fleste sikkerhedsfolk, der arbejder med hackere, selv har været i nærheden af denne grænse," lyder det diplomatiske svar fra sikkerhedsekspert Peter Kruse fra it-sikkerhedsselskabet CSIS Security Group, der til daglig står skærm til skærm med de it-kriminelle.
"Man er nødt til at forstå, hvad man er oppe mod for at kunne kæmpe mod dem. Det er et princip i krigsførelse, der går meget langt tilbage i tiden."
Kan ikke læres på skolebænken
Sikkerhedseksperten begrunder det med, at man ikke kan lære hacker-bekæmpelse på skolebænken.
"Ingen uddannelse ruster folk til denne type kriminalitetsbekæmpelse. Det er noget, man selv skal 'læse op på' eller tillære sig i den virksomhed, som man får job i," forklarer han.
"Jeg vil dog godt advare mod, at man overskrider grænsen. Hvis fælden klapper, bliver man straffet, og så kan det blive svært at få et job. Krav om sikkerhedsgodkendelser, som mange sikkerhedsfirmaer har, udelukker plettede straffeattester," siger han.
Eget hacker-værksted
Det er også derfor, at man under bindingsværket i kontorlokalerne i virksomheden CSIS, som Peter Kruse har etableret, har bygget en veludrustet hacker-central. Eller et laboratorium, som det kaldes.
Her har medarbejderne opstillet en serverpark på et separat net og udrustet maskinerne med de samme værktøjer, som er hackernes foretrukne.
"Vi har samlet hacker-værktøjerne, som vi skal lære at kende for at se, hvilke svagheder der udnyttes i angreb," siger Peter Kruse.
Læs også: Sådan jagter politiet hackere i hele Danmark
Sådan finder hacker-jægerne fejl i hackernes kode
Det handler dog også i høj grad om at finde fejl i hackernes kode.
Ved at pille programmerne fra hinanden kan man aflure, hvordan de virker.
Derved kan man eksempelvis overvåge de destinationer, som anvendes af hackerne.
Det kan eksempelvis være en command and control-server eller drop-server, der benyttes til at indfange og kontrollere inficerede computere, som tages under lup.
"Hvis der eksempelvis er en design-fejl i et hacker-værktøj, så ved vi, hvor vi skal lede efter svagheder i angrebene. Det kan eksempelvis være adgang til en mappe, hvor man kan trække informationer om en command and control-server, som vi kan bruge i bekæmpelsen. Informationer som IP-adresser, inficerede maskiner eller andre digitale fingeraftryk."
På den vis udnytter efterforskerne de fejl, som hackerne har i deres værktøjer - præcis på samme måde, som de it-kriminelle udnytter fejl i eksempelvis Windows.
Røver og soldater for nørder
Parallelt med fascinationen af at bekæmpe kriminalitet ligger der samtidig en respekt for de personer, der har valgt den lyssky levevej. For de er kompetente it-mennesker.
"Man kan ikke undgå, at få en hvis ærefrygt over for dele af hacker-miljøet, fordi de er så teknisk dygtige," fortæller Peter Kruse.
Han indrømmer da også, at it-efterforskning er et detektivarbejde, som trækker tråde til barndommens cowboy- og indianer-lege.
"Der er et adrenalin-kick forbundet med arbejdet, som kan minde om detektiv-arbejde, og ofte ligger vi foran politiets opklaring."
Denne tekniske mand mod mand kamp stiller store krav til det team, der skal bekæmpe kriminaliteten, og derfor skal bekæmperne som minimum have den samme tekniske viden som angriberne til den duel, hvor den klogeste og snedigste vinder.
Fra hvid til sort
Adrenalin-skuddet kan være svært at undvære, hvis man først har prøvet det.
Derfor finder flere af hackerne også arbejde i den bekæmpende del af branchen, når de vil væk fra kriminaliteten.
Det klassiske scenarium, hvor den it-kriminelle bliver ekspert i et sikkerhedsfirma, er velkendt, men der er også eksempler på, at sikkerhedsfolk bevæger sig ud i kriminalitet.
"En person, der var ansat i et antivirus-firma, drev en kriminel virksomhed ved siden af det legitime arbejde," fortæller Peter Kruse.
"Han blev fyret, men er i dag selvstændig sikkerheds-konsulent. De fleste i branchen ved, hvem han er, men han praktiserer stadig sikkerhedsrådgivning for firmaer."
Flere og flere virksomheder kræver dog en ren straffeattest ved ansættelsen.
