Sådan efterforsker Maya Horowitz it-forbrydelser: »Hvis der er et hack, er der en hacker«

Illustration: Check Point
Det kræver tålmodighed at finde frem til de skyldige efter et hack, fortæller Check Points chef for trusselsvurderinger i et interview med Version2.

»'Hvis der er et mord, så er der en morder', konstaterer den fiktive detektiv Hercule Poirot i filmen 'Murder on the Orient Express'. Det siger sig selv. Jeg plejer at sige til mit team, at hvis der er sket et hack, så er der en hacker,« lyder det fra Check Points chef for trusselsvurderinger, israelske Maya Horowitz.

Læs også: Sådan fandt tre unge danskere verdensomspændende sikkerhedshul i modemmer: »Hvis vi kan verificere det her, så skal der øl på bordet!«

Som chef for Check Points Threat Intelligence Team er det Maya Horowitz’ opgave at sørge for at holde Check Point opdateret på, hvad de ondsindede hackere foretager sig, og hvilke værktøjer de bruger.

Det er også hendes team, der sættes til at undersøge, hvem der står bag angreb på Check Points kunder.

Slåfejl og Facebook-profiler

Mens man hele tiden skal forsøge at være foran de it-kriminelle, skal man samtidig være tålmodig, fortæller hun, da Version2 møder hende i Wien.

For at finde disse personer benytter Check Point sig nemlig af alle midler. Først og fremmest overvåger virksomheden hacker-fora på internettet og profilerer aktører. Check Point noterer, hvordan hackerne skriver, og forsøger at finde deres sociale profiler på eksempelvis Facebook.

Læs også: Endnu en alvorlig sårbarhed i Yousee-hardware: TDC vil ikke oplyse, hvor mange der er ramt

Derefter leder Maya Horowitz og hendes kollegaer efter de samme slåfejl på tværs af platformene og måske endda i kode og metadata. Alt sammen i et forsøg på at profilere hackerne, så de kan identificeres, hvis de slår til.

Fredfyldt februar

»Vi havde en konkret sag for nylig, hvor vi skulle opklare, hvem der stod bag et angreb på en asiatisk regering. Umiddelbart var der ingen åbenlyse spor, der kunne pege i nogen retning,« siger Maya Horowitz.

»Men så bider vi mærke i, at angrebet bliver sat på pause i februar, hvor næsten samtlige kinesere holder helt eller delvist fri.«

Læs også: Kæmpe hul i dansk software til fjerninstallering: »Jeg indkalder hele virksomheden med det samme«

Herefter fortsætter Mayas team med at kigge i den retning, og systematikken fortsætter. Angrebene, der hovedsageligt er mail-baserede, sker i, hvad der svarer til kinesisk arbejdstid.

»Derudover begynder der, ved nærmere eftersyn, at optræde kinesisk i angrebsfilernes metadata,« siger Maya Horowitz.

Aldrig helt sikker

Version2 spørger Maya Horowitz, om ikke man kan skrive kinesisk ind i metadata og arbejde på skæve tidspunkter, så det ligner, man sidder et andet sted.

Samtidig kunne man, hypotetisk set, helt undlade at angribe i februar, netop for at få angrebet til at lugte af Kina.

Maya Horowitz erkender, at sådanne beviser kan plantes, og at der altid kan være tale om et røgslør.

»Meget af vores arbejde ligger ikke bare i at finde beviserne, men også i at undgå de røgslør, der lægges ud for at forhindre vores arbejde,« siger Maya Horowitz.

Hun påpeger, at det blot understreger, at cyberkriminalitet skal efterforskes med det samme for øje ved som ved eksempelvis et konventionelt mord, hvor man også kan plante beviser.

»Pointen er mest, at alt skal kigges efter i sømmene. Selvom det til at starte med kan se håbløst ud, handler det om at blive ved med at kigge, og enhver log skal behandles som et spor.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Michael Cederberg

Maya Horowitz erkender, at sådanne beviser kan plantes... Tak til Version2 for et indlysende spørgsmål, som alle andre medier glemmer!

Nu er jeg ganske sikker på den gode Maya ikke vil fortælle i detaljer om hvordan de profiler vira. Arbejdstid og ferie er sandsynligvis blot tænkte eksempler som skjuler mere avancerede tiltag. Jeg kan roligt sige at når jeg fortæller om mit arbejde til lægmand, så er eksemplerne også meget simplificerede. Og mit arbejde er ikke specielt hemmeligt.

Faktum er at checkpoint og andre der jagter hackere har brug for at finde de rigtige hackere. Ikke på at skyde skylden på de forkerte. For kun ved at finde de rigtige hackere har man mulighed for at forsvare sig og forstå konsekvenserne af hacking.

  • 2
  • 0
Log ind eller Opret konto for at kommentere