Artikel top billede

Nørgaard: Dengang jeg var med til at bryde ind hos et stort it-firma ... og derfor er forsvar IKKE det bedste forsvar

Klumme: Alle ved, at det er nødvendigt med offensive forsvarshandlinger. Nogle få, gode mennesker gør det for at hjælpe i alvorlige situationer. Men de er på usikker grund juridisk. Det bør vi gøre noget ved hurtigst muligt.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Jeg har ikke set den der tv-udsendelse om hackere. Jeg blev skilt i 2009, og hun fik tv'et. Det var en god beslutning. Altså det med tv'et.

Verden er blevet sært rolig efter det. Måske fordi jeg ikke mere skal se en ligegyldig og lillebitte hændelse blive gentaget hvert andet minut, indtil jeg har indtryk af, at et helt land er sprængt i stykker, eller at tusindvis af langskæggede mænd i hvide lagner brænder et flag af.

Eller at ulvene og vildsvinene har overtaget hele Jylland og tvunget selv de stouteste til at barrikadere sig med rigelige forsyninger af gær.

Min ven Dan sagde engang (igen) noget klogt: En uendelig løkke kaldes også for en ulykke. Og når små hændelser gentages ofte nok tror man jo, at vi alle skal dø.

Derfor har det været en bedre og roligere Verden siden 2009. Ihvertfald for mig.

Min afsked med Facebook

Jeg forventer, at mit farvel til Facebook vil have en tilsvarende virkning.

Jeg bemærkede for et par år siden, at pulsen i raseri ramte 180 indenfor 30 sekunder, når jeg åbnede Facebook-app'en.

Jeg fandt også ud af, at jeg bare kunne kigge på videnskabelige fremskridt og gode nyheder for at få pulsen ned igen, blive glad og tro på, at det hele nok skal gå.

Alt i alt kan jeg konstatere, at jeg er rimelig nem at manipulere med.

Det er jeg åbenbart ikke ene om: Fra Trumpie, over Martin Henriksen, til receptionisten i en stor IT-organisation kan vi alle ret nemt manipuleres til at generalisere på undtagelser og tro på hvad som helst.

Prinsen på spil

Min ven, som jeg her vil kalde Prinsen, tilbragte engang en time på toilettet (lidt a la Olsen Banden) i en stor IT-biks, mens vagten gik sin runde efter arbejdstid.

Derefter havde han frit spil og fik indblik i maaaange spøjse papirer, der lå frit fremme på bordene, inklusive nogle kontrakter med de store leverandører.

Han kom, som så mange andre, der har været på den slags opgaver, ind med rygerne. De går altid ud ad en bagindgang, og så skal man bare joine dem og gå med ind.

Heldigvis var han i ledtog med ledelsen. Han var der i en god sags tjeneste, og det hele blev vist og dokumenteret via Prinsens video-selfies ved et medarbejdermøde, så de både kunne grine og græde af deres reelle sikkerhed (i modsætning til den opfattede sikkerhed, hvor alt er A-OK, fordi man BÅDE har et adgangskort OG et snedigt password til mailsystemet).

Tip 1: Lidt over 100 procent af gadedøre med koder i Københavnske etageejendomme har postnummeret som kode. Meget benyttet i andelsboligforeninger. Og dette snedige, firecifrede nummer benyttes også i mange passwords.

Tip 2: Ja, man skal have mindst ét stort bogstav i passwordet. Men behøver du ALTID at lade det være KUN ét og ALTID det første?

Nørgaard på spil

Jeg har også været med til det engang i en RIGTIG stor IT-biks. Det var ikke svært at komme ind. Bare hen til elevatoren, stå af på den etage, hvor de fleste stod af, og så følge med dem gennem den dør, som forreste mand åbnede med kortet.

Derefter fandt vi (et totalt cool anti-terror-agtigt tac-team på tre mænd og en klog kvinde iført pænt tøj) et ledigt mødelokale og BZ'ede det.

Jeg var teknikeren, så jeg tegnede et orn'ligt sygt E-R-diagram på whiteboarden og skrev ting som "Management Strategy Organisation", "Re-org", "transformation services", "distributed development" og naturligvis "innovation" (det var før disruption) hele vejen rundt om diagrammet.

De tre andre fandt nogle stakke med dokumenter i printerrummet og på en reol i et kontor nærved og spredte dem ud på mødebordet, og begyndte så ellers at gå rundt i kontorerne og snakke med folk om den opgave, vi var sat på af ledelsen, nemlig at undersøge og dokumentere den daglige anvendelse af IT, og hvordan tilfredsheden med deres IT-systemer var. Se, dét kan nok få folk til at snakke!

It-chefen blev ikke glad

Så var vi i gang. Da vi et par timer senere forlod stedet, havde jeg passwordet til nogle centrale databasesystemer (og ja, jeg løste også i farten et performanceproblem, de havde), vi havde fået overtalt en medarbejder til at overdrage os sin laptop, så den kunne blive undersøgt nærmere, og vi havde STAKKE af papirer under armen fra en af deres centrale afdelinger.

Så gik vi ud sammen med rygerne, gik rundt om bygningen og mødtes så med IT-chefen, som ikke var helt tilfreds.

Heldigvis var det ham (eller måske rettere hans bosser), der havde bestilt os, og vi havde hver især et stykke papir med, der kunne få os ud af fængslet.

Om vore videoer og billeder fra raid'et blev fremvist overfor personalet ved jeg ikke. Men sjovt var det.

Alt er godt - trods alt

Vi lever i gode tider, men ind imellem er vi lige nødt til at lære os nogle nye sikkerhedsrutiner og vænne os til et øget sikkerhedsniveau.

Det måtte de gamle under krigen, det måtte en del lære under den kolde krig, og det har vi så måttet lære efter 9/11.

Vi vænner os til det, Verden går videre og bliver bedre, og vi får stadigt flere gode øl at vælge imellem på serveringsstederne. Og cocktailbarer skyder op overalt.

Nu er den så gal med cyber-security. Kort fortalt er der fire grupperinger, der kan være en reel trussel mod gode mennesker og virksomheder:

1. Private banditter, der vil tjene penge (afpresning).
2. Private banditter, der ikke vil tjene penge (drengestreger, nu også for voksne).
3. Russerne, der bare vil ødelægge og lave ballade. De vil krig.
4. Kineserne, der bare vil have data, så de kan kopiere vore dimser og idéer.

Disse fire grupper kan betyde noget for vores hverdag på den dårlige måde. På kort sigt og på langt sigt.

Hvad med at gå efter bolden?

Det, der kan undre mig uendeligt meget, er, at når man så ENDELIG bliver præsenteret for en VENLIG aktør, der uden at ville have penge for det, og simpelthen for at ville hjælpe en biks oplyser biksen om nogle sikkerhedshuller, nogen har opdaget .... så bliver vedkommende politianmeldt.

Én af dem, der har prøvet det i praksis, og som til daglig hjælper rigtigt mange, fortalte mig, at de gange han venligt havde prøvet at kontakte en biks for at fortælle dem, at de var meget sårbare, opstod der meget hurtigt en situation, hvor en boss-dims uden indsigt blev sur og spurgte, hvad han havde kigget på? Om han havde stjålet noget? Og så i øvrigt meddelte, at de ville politianmelde ham.

Ligesom ham den venlige mand, Esben Warming, der gjorde opmærksom på en gigantisk sikkerhedsbrist i KMDs system til håndtering af pladshenvisning. Han blev naturligvis politianmeldt af KMD:

https://www.bt.dk/danmark/esben-warming-ville-skrive-sin-soen-op-til-vuggestueplads-nu-er-han-politianmeldt

Tip 3: Når man får at vide, at der er hul i bunden af bilen, så er det i langt de fleste tilfælde ikke lavet af mekanikeren. Det er også yderst sjældent glarmesteren, der har smadret dit vindue aftenen før.

Ja, OK, der var jo ham oppe i Nordsjælland for nogle år siden. Men han var småtbegavet og efterlod for en sikkerheds skyld sit visitkort på gerningsstederne.

Tip 4: Åbne NAS/FTP-servere har for længst haft besøg af alle fire trussels-kategorier. Kategori 1 og 2 har nu om dage ofte efterladt en orm, der kan "mine" bitcoins.

Offensivt forsvar

Et andet eksempel på fjolleri er vores holdning til offensivt forsvar. Jeps, det kalder jeg det, fordi folk elsker selvmodsigelser.

Den tyske regering kom med en interessant melding for nogle måneder siden: Den overvejer at gøre det lovligt (med en dommerkendelse i hånden) at slå tilbage, hvis et cyberangreb vurderes ikke at kunne opdæmmes med andre midler. Regeringens eksempel var, at man er nødt til at skyde tilbage, hvis der ligger en mand på taget af bygningen og skyder.

Tyskland er i det hele taget bannerførere for den frie verden for tiden (sammen med Frankrig og Canada). Det er tyskerne, der har fået GDPR igang,for eksempel, så frie mennesker kan få friheden til at gøre med deres personlige data, hvad de lyster, tilbage.

Det var også tyskerne, der fyrede chefen for BND (deres efterretningstjeneste), fordi han og andre i BND udmærket vidste, at amerikanerne (Obama med flere) aflyttede Merkels mobil.

Vi er allierede med amerikanerne, og det er godt, men vore efterretningschefer skal dæl'me først og fremmest tjene deres land.

For mig at se er det ganske logisk, at visse former for ondskab/angreb kun kan slås ned med offensive midler.

Det er skam også sket, men det sker via proxy'er, der kontaktes via hjemme-pc'eren, så det ikke kan traces tilbage til sikkerhedsvirksomheden.

Vi skylder dem tak

Herfra skal lyde en STOR tak til de seje gutter og gudinder, der gør dette for vores erhvervsliv. Hårdt ramte bikse får nemlig nul/nada/nichts/rien hjælp af CFCS, og naturligvis slet ikke af politiet. De har jo andre opgaver.

Med andre ord: Alle ved, at det er nødvendigt med offensive forsvarshandlinger. Nogle få, gode mennesker gør det for at hjælpe i alvorlige situationer. Men de er på usikker grund juridisk.

Jeg vil derfor opfordre til, at vi får to ting på plads i EU (eller blot i Dannevang):

1. Et sikkert whistleblower-site, hvor man kan aflevere information om svagheder, man har fundet (åbne NAS/FTP-servere og så videre), så uafhængige folk kan videregive informationen til de relevante virksomheder. Lidt a la Radio24/7's whistleblower-site, som vist er ganske sikkert (og bygget på et open source-produkt).

2. Lovgivning, der gør det lovligt - med en dommerkendelse i hånden - at lave proportionale hack-backs mod særligt vedholdende, dygtige eller magtfulde banditter.

Jeg er i færd med at stable en brancheorganisation på benene, der skal have disse ting (og andet, naturligvis) på agendaen.

You're invited to the party. Min mail er mno@ncsp.dk eller mno@cima.dk.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.