Politi til hackere: Arbejd med os

Illustration: Virrage Images/Bigstock
Politiet opfordrer hackere til at skifte side og arbejde for politiet i stedet for at være kriminelle.

Politi og hackere skal arbejde sammen. I Politiken opfordrer Rigspolitiets cyberchef, Kim Aarenstrup, hackere og it-aktivister til at melde sig under politiets faner.

»Hvis man er hacker, er det nu, man skal overveje sin løbebane. Hvis man har leget med den ild et par gange og synes, det har været spændende, skal man tænke over, om ikke man kan bruge sine evner på den anden side af plankeværket i den gode sags tjeneste. Hos os og ude i den private sektor er der brug for folk, der kan det her og forstår hackernes bevægelsesmønster«, siger Kim Aarenstrup, chef for Nationalt Cyber Crime Center (NC3) til Politiken.

Politiken skriver, at budskabet er en direkte invitation til dygtige it-folk til at være med til at øge politiets evner indenfor IT-kriminalitet.

NC3 kommer op på 90 medarbejdere, og man arbejder hen i retningen af en 50/50 fordeling af civile eksperter og politifolk, hvor det indtil videre kun er mellem seks og otte, som har en civil baggrund.

Læs også: Politiet: Vi mangler it-kompetencer

Og med flere it-professionelle i politiets rækker regner Aarenstrup med, at politiet får en mere bred tilgang til kommende hackersager.

2014 har budt på en lang række hackersager. Størst har retssagen været om hackerangrebet på CSC, hvor politiet overhørte flere advarsler. Og det er den slags sager, som politiet fremover vil undgå. Ifølge Kim Aarenstrup er politiet allerede godt i gang med den øvelse.

»Vi fanger dem derude i stor stil og har lagt dem ned, en efter en. Mange af dem har følt sig elitært skråsikre på, at de kunne gemme sig for politiet. Det kunne de måske for to år siden, men det kan de ikke længere«, siger Kim Aarenstrup til Politiken.

It-sikkerhedsspecialist Peter Kruse glæder sig over, at politiet vil ansætte hackere.

»Når dagen er omme, vil hackerne gerne være good guys; det ligger i menneskets natur. Men den største kulturelle udfordring for politiet er, at hackerne i dag føler sig teknisk overlegne. Hvis de skal have deres vildskab tøjlet og blive integreret, så skal politiet vise tænder, fange kulturen i øjenhøjde og skabe en teknisk sjov og udfordrende arbejdsplads«, siger han til Politiken.

Hos Politiforbundet er de dog lidt skeptiske i forhold til antallet af it-professionelle, der skal ansættes. De mener, at forholdet 50/50 er sat meget højt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Jünckow

Jeg kan godt forstå at politiforbundet forholder sig skeptiske - de skal jo varetage deres medlemmers interesse.

Men når alt kommer til alt så er der vist mere brug for civile IT eksperter end uddannede politifolk til de her sager, faktisk i en sådan grad at man kan undres lidt over at der er brug for hele 50% politifolk ...

  • 5
  • 1
Johnny Fribert Lauridsen

Jeg bryder mig ikke om "job annoncen", som skrevet her. Jeg synes baggrunden er fin, men i stedet for at køre en populistisk vinkel med 'hacker'-ordet, så skulle politiet prøve at søge efter nogle rigtige kompetencer indenfor områderne TCP, UDP, IP, MAC, 802.X, BGP, OSPF, Protokoldechifrering, med mere - og betale for det!!!!!. Det andet snik-snak er jo kun til pressen..

  • 4
  • 0
Brian Hansen

Er simpelthen for ringe, kontra afkastet fra mere lyssky operationer, har jeg ladet mig fortælle.
Hvis PET vil tiltrække eksperter, så skal der ekspert-løn på bordet.

  • 0
  • 1
Stig Johansen

Først nej - jeg er ikke hacker, men ved hvordan deres adfærd er med at inficere servere (eller hacke om man vil).
Lønnen er ikke interessant, da det er min kæphest at 'holde buret rent'.
Er der nogen der ved hvor de holder til/kontakt info?
Til de interesserede har jeg udviklet et værktøj til at opdage 'indbrud' - ikke forhindre 'indbrud'.
For en god ordens skyld vil jeg sige at problemstillingen er alt for komplex til at beskrive her, så 'don't ask'.
Hvor har jeg min viden fra?
- været med i 'hardcore' udvikling siden '80
- En kammerat og jeg har 'høstet' og analyseret tusindvis af angrebsforsøg, og giver dermed empirisk viden, herunder 'namogofer' - som, rent ud sagt, er svine-intelligent.

  • 0
  • 3
Christian Münster

Uden at forstå hvad det er, du egentlig vil ud med herinde, synes jeg du skal skrive en ansøgning til politiet.

  • Jeg tror i øvrigt de holder til omkring politi stationer. Du kan kende dem ved at de har et stort skilt ude foran, hvor der står POLITI.

  • Hvis du vil have fat i politiet, kan du jo evt. starte med at ringe til enten 112 og spørge efter lokalkontoret i din by eller også kan du slå dem op i telefon bogen.

  • 3
  • 0
Knud Jensen

Synes målgruppen er noget mystisk.
Hackere er i sagens natur nysgerrige mennesker som næsten spontant kaster sig over noget de lige fik lyst til. Ganske ofte drevet af spørgsmålet: om det kan lade sig gøre.

Jeg har svært ved at se hvordan den mentalitet kan fungere inden for politiet.
Man kan ikke bare gå igang, men er nød til at vente på en anmeldelse, dernæst skal en chef vurdere om det er en sag som er værd at gå videre med, så skal der sikkert indhentes en dommerkendelse for at kunne foretage sig noget, som sikkert bliver fulgt op af endnu flere dommerkendelser, sikkert alt sammen krydret med en masse møder og bureaukrati som får det hele til at tage vildt lang tid. Og skulle det være på tværs af landegrænser, stopper sagen sikkert der.
Tror ikke mange hackere vil finde glæde i den arbejdsgang.

Når det så er sagt, så lyder 90 mand som en god start, taget i betragtning af hvor meget vores samfund er afhængig af IT i dag :)

  • 2
  • 0
Jn Madsen

Jeg husker at et firma som NSA udliciterede til specialist firmaer.
I de firmaer befandt eksperterne sig så,- Snowden var vist inde i forretningen på den måde.

Jeg er ikke sikker på at kreative/skæve hjerner tiltrækkes af 8-16 ved det samme skrivebord, med et stift administrativt system og et ledelsels system fra det 18' århundrede.

Jeg så i tv at deres chef var begejstret over sin afdeling,- og jeg er da sikker på at de nok skal finde en 15 årig i ny og næ,- der har portscannet et firma. Det kan altid rapporteres som "en alvorlig handling med store konsekvenser",- så får chefen en medajle og et pensiontrin mere.

Om de også fanger de "tunge drenge" stiller jeg mig mere tvivlende over for.

Men jeg håber jeg tager fejl og undervuderer dem.

  • 3
  • 0
Tine Andersen

De vil gerne have deres hackere igen... ;-)

Det er mildest talt underlig måde at søge medarbejdere på: Bruger politiet også indbrudstyve og andre kriminelle som lønnede medarbejdere/konsulenter?

Det virker ikke videre betryggende, at poliet (en offetlig myndighed) ligefrem leder efter folk, der muligvis (eller sandsynligvis) har begået noget (mere eller mindre) kriminelt, med et tilbud om, at de kan gå over til den gode side. Hvis jeg var en skurk, ville jeg da gribe chancen med kyshånd: En mulighed for at lære internt, hvordan systemer kan omgås. (Jeg er også amoralsk ;-) ) Men det kan ikke udelukkes, at der sidder enkelte gode mennesker/ildsjæle, der vil stille viden og ekspertise til rådighed for sagens skyld. Det kan ikke være lønnens.

Desværre får politiet nok ikke meget ud af deres søgning, siden det i dag ikke kræver den helt store viden, men bare lidt købt software (DDOS-angreb in mente) for at lægge større systemer ned.
Der hvor det er virkelig kriminelt (og sommetider endda næsten lovligt) er, hvor der flyttes store summer mellem lande, og der kan dansk politi nok ikke rigtigt være med. De kan allerede nu dårligt nok (= slet ikke) stoppe scammere/bedragere, der opererer på tværs af politikredsedsene. Jeg kender til en del sager, hvor intet skete fordi, bedrageren flyttede- eller boede i udlandet.

At sikkerhed i systemer generelt er nedprioriteret, kan vi nok ikke være uenige i, men er det så en politiopgave? Og vil de så arrestere CSC? :-)

Først i 80/90-erne var det enhver hacker/cracker's hedeste drøm at blive "opdaget" og ansat i et stort firma til en fed løn, det skete for meget meget få. Men dem hørte man så des mere om! Resten endte vist bare et ret kedeligt sted med udsigt gennem tremmer...

Mvh
Tine- og I ønskes et godt og helsebringende nyt år!
Sorry- der gik vist "Djævelens Advokat" i mig.

  • 2
  • 0
Finn Christensen

Men når alt kommer til alt så er der vist mere brug for civile IT eksperter end uddannede politifolk til de her sager, faktisk i en sådan grad at man kan undres lidt over at der er brug for hele 50% politifolk ...

Ja hvis forbundet dog blot brugte deres evner og kræfter på de almindelige politifolk.. deres indsats indtil nu har jo klart vist at betjentene ikke du'ede, så hvorfor fortsætte dumhederne.

NC3 kommer op på 90 medarbejdere, ..... fordeling af civile eksperter og politifolk, hvor det indtil videre kun er mellem seks og otte, som har en civil baggrund.

Med det betontunge system in mente, så planlæg med min. 150 personer og 10/90 fordeling af civile eksperter og politifolk.

Der går år før NC3 spiller, og da er it-verden allerede flyttet sig til næste niveau. Så det nytter ikke en pind at hælde umodne betjente i centeret, eller at de nye effektive civile eksperter skal sinkes/trættes af (you name it... ).

Prøv for en eneste gangs skyld at tænke ud af boksen - ellers bliver i fagligt til grin endnu engang.. endnu engang..

  • 1
  • 0
Stig Johansen

Jo, det er en historie fra det virkelige liv.
Med dette indlæg håber jeg at give lidt forståelse i stedet for at blive anklaget for 'smarte ord uden baggrund'.
For en del år siden var der et tilfælde med SQL-injection på en større engelsk avis.
Den blev beskrevet her på version2, men jeg husker ikke navnet på avisen, så Google kan ikke hjælpe mig med at finde den.
Men det var faktisk den sag der inspirererede mig til at udvide mit 'værktøj' til også at omhandle SQL-injection.
Jeg husker ikke detaljerne, men så vidt jeg husker var der tale om et zero-day exploit, som gjorde at den lå uopdaget hen i flere dage, og blev kun opdaget da folk reagerede på træk på deres konti.
Hvis man havde brugt mit 'værktøj' ville den vær opdaget ved næste sweep, og inficeringen af de ca. 2 millioner PC'ere kunne være undgået.
Endvidere ville man kunne identificere malwaren, og få lavet en 'antivirus' update hurtigst muligt.
Jeg håber i forstår at jeg taler om forebyggende kriminalitet, og vigtigheden heraf.
Jeg ved godt det er en utopisk drøm, men tænk hvis alle webmastere holdt deres 'bur rent' - så ville vi undgå alle disse malware.
Selvfølgelig ville det betyde tab af omsætning for antivirusfabrikanterne, så de er nok ikke interesseret ;-)
Godt nytår til alle, og nej - jeg gider ikke p*kmålinger hvor i forsøger at udfordre min viden.
Den slags plejer at ende med personangreb.

  • 0
  • 2
Stig Johansen

Ja dette indlæg er en fortsættelse af en flereårig lang historie, men jeg kunne godt tænke mig at rejse spørgsmålet.
Udgangspunktet er webmastere, der kører lamp(p) og tror de er sikre, men i virkeligheden er det den mest udsatte platform.
So be it...
Men lad mig rejse denne probemstilling:
HVIS man er udsat for 'injection', og dermed er 'placeholder' for malicious javascript/malware - er man så medansvarlig for den kriminelle adfærd?
Og hvis man er placeholder for intermidiate malicious javascript, er man så medskyldig?
Ingen vil i sagens natur indrømme at man har været udsat for disse angreb, men jeg ved at nogle ganske få har indrømmet dengang useet fungerede.
Men lad mig sprge samtlige webmastere, incl version2 og ing - holder DU buret rent, og i givet fald hvordan.
MVH Stig - velvidende at jeg ikke får svar på dette indlæg.

  • 0
  • 1
Stig Johansen

Så fik jeg fudet mine game data fra gemmerne og lagt ud som lovet under:
http://www.version2.dk/artikel/tusind-franske-hjemmesider-hacket-af-cybe...
Jeg skrev tidligereat prblemstillingen var alt for komplex til at beskrive he, så kig på mine forklaringer her:
http://wopr.float4you.com/storm.monitor/
Som man kan se i bunden er det 5-6 år siden jeg lavede den, og havde den kørende i et par år.
Desværre er webmastere lieglade med at de medvirker til spredning af malware, så der var ingen interesse.
Typiske argumenter:
* Det er ikke mit ansvar, men mit hostingfirma.
* Jeg kører LAMP(P), så jeg er sikker.
Mit håb er nu efter alle disse angreb, at man måske vil være interesseret i en 'rengørig' af webservere.

Bemærk den multiple layer struktur der eksisterer:
http://wopr.float4you.com/storm.monitor/rationale.asp
hvor ethvert lag (i mine øjne) er medansvarlige.
Som det fremgår af min side kræver min 'STORM monitor' hosting hos et troværdigt firma.
Hvem kan være mere troværdig en selveste Rigspolitiet?
Selvfølgelig kommer det an på hvad komissoriet er - forebyggelse eller opklaring ?
Økonomisk set koster det ikke mange basører at hoste en sådan service, da den er meget lidt krævende.
I er velkomne til at mobbe den gamle, men det er da (for mig) en rar tanke at man er den eneste i verden der angriber nældens rod i stedet for at fjerne topskudddene.
Det kunne også være god PR for Rigspolitiet at vi er det første land i verden der GØR noget for at forbygge kriminilatet.
Jeg håber på medansvar i fremtiden, så vi kan få et 'rent' internet.
Live long and prosper.

  • 1
  • 1
Rune Jensen

Men lad mig sprge samtlige webmastere, incl version2 og ing - holder DU buret rent, og i givet fald hvordan.

Jo, jeg synes jeg også det er ganske interessant, hvad andre pønser på i forbindelse med sikkerhed på deres websteder. Altid villig til at lære nyt og blive klogere.

Jeg har selv en layered sikkerhed, som jeg gerne ville have testet sådan "in real life", men foreløbig har det mest været dårligt kodede spambotter, som har angrebet. Og så nogle enkelte, som har kigget efter admin login til diverse CMSer. De mere "seriøse" SQL injection angreb er det lidt småt med.

  • 0
  • 0
Steffen Tor Jensen

Hvis NC3 gad efterforske på hvad CSC udleverer til amerikanerne, så skulle der nok være "hackere" der ville melde sig under fanen.

Hvis politiet gik efter strafansvar på juridiske personer ift. persondataloven, kunne det jo gøre en helt patriotisk.

  • 4
  • 0
Rune Jensen

Der hvor det er virkelig kriminelt (og sommetider endda næsten lovligt) er, hvor der flyttes store summer mellem lande, og der kan dansk politi nok ikke rigtigt være med.

Jeg kan forstå, at du ikke har fået sådan en fraud-blanket fra banken, hvor du skal vedlægge kopi af pas, oplyse om, hvad du vil med din pension, om du i fremtiden vil få penge fra andre lande, hvad din løn går til osv.

Den skal nok komme. Bankerne kan slet ikke lovligt drive virksomhed uden de spørger dig, så...

Den er iøvrigt lovpligtig at svare, og husk underskrift også, så de kan sagsøge dig, når du uventet får penge fra din tante i USA.

  • 0
  • 0
Rune Jensen

Så, godt spørgsmål.

Også ganske tilfredsstillende, de ikke skriver, hvad de oplysninger skal bruges til. Fordi jeg giver da gladeligt alle mine personlige oplysninger ud, med samt kopi af pas, og besvarer umulige spørgsmål under ed, uden at vide hvad de oplysninger skal bruges til og hvad konsekvenserne er. Det er kun helt fair, at man ikke får information, hvorfor hulen skulle man dog få det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere