Svenskere whitehat-hacker 15.000 dollars til velgørenhed

Fem svenske sikkerhedsfolk har kørt et projekt med pentesting af virksomheder, der har betalt med penge til velgørenhed.

ST. MARTIN Der er en del penge i it-sikkerhedsbranchen. Det vidner blandt andet Kaspersky Labs it-sikkerhedskonference Security Analyst Summit (SAS) om. Den finder i disse dage sted under relativt luksuriøse forhold på den caribiske ø St. Martin.

De mange penge i it-sikkerhedsindustrien var sjovt nok også temaet for et af indlæggene på konferencen i regi af den - vil nogen måske mene - lettere grandiose titel 'Hacking for Humanity'.

Indlægget blev afholdt af senior security researcher hos Kaspersky Lab David Jacoby og Frans Rosén fra it-sikkerhedsvirksomheden Detectify - begge har det tilfælles, at de er svenskere.

David Jacoby fremhævede selv konferencen på den caribiske ø som eksempel på, at der var mange penge i branchen.

»Vi har så mange penge, og vi foretager os faktisk så lidt. Hvornår gjorde I sidst noget godt?,« spurgte Jacoby.

Der var ikke umiddelbart nogen, der reagerede på spørgsmålet. Hvilket naturligvis kan skyldes, at folk var lettere overraskede over spørgsmålet.

Han fulgte op med endnu et spørgsmål:

»Hvornår brokkede I jer sidst over jeres løn?«

Det var ikke umiddelbart klart, om der var nogen der reagerede på dette spørgsmål, men Jacoby reagerede i hvert fald ved at sige:

»Præcist!«

Formålet med seancen var ifølge konferenceprogrammet ikke at skabe målløshed blandt tilhørerne. Flere tog da også Jacobys udbrud med et grin.

Derimod gik indlægget ud på at fortælle om et velgørenheds-hackertiltag, som David Jacoby, der er svensk, har iværksat sammen den anden indlægsholder og landsmand Frans Rosén fra virksomheden Detectify.

Udover de to indlægsholdere har også tre andre svenske sikkerhedsfolk deltaget i projektet.

Konceptet er at kontakte virksomheder i Sverige, tilbyde at bruge 24 timer på at pen-teste dem - altså teste deres it-sikkerhed. Det eneste virksomheden skal betale er et valgfrit beløb til et selvvalgt, velgørende formål.

Jacoby og Rosén har i samarbejde med de tre andre svenske it-sikkerhedsfolk brugt fire timer på at kontakte virksomheder for at høre, om de har lyst til at deltage i projektet.

Det har foreløbigt resulteret i ca. 15.000 dollars (omkring 135.000 svenske kroner).

Endte hos marketing

I et efterfølgende interview med Version2 fortæller Rosén og Jacoby nærmere om, hvordan det hele kom i stand.

Først var det planen at rejse 100.000 svenske kroner til velgørende formål via eksisterende bug-bounty-programmer, som dem blandt andet Google og Microsoft kører, og hvor det er muligt at tjene penge på at finde it-sikkerhedshuller i virksomhedernes systemer.

Det viste sig dog at være en tur op ad bakke, blandt andet fordi, der kunne gå lang tid med at finde bugs, som så viste sig allerede at være rapporteret af andre.

I stedet begyndte de svenske sikkerhedsfolk at kontakte virksomheder i Sverige, der ikke nødvendigvis havde samme fokus på it-sikkerhed, som eksempelvis Google og Microsoft.

»Vi fortalte, at vi havde et hold og et projekt, som gik ud på at rejse 100.000 svenske kroner ved at finde sårbarheder hos virksomheder,« fortæller David Jacoby, der i den forbindelse også kommer ind på, at flere virksomheder vidste, hvem han var, da han er en kendt it-sikkerhedsmand i Sverige.

I starten troede it-sikkerhedsfolkene, at de skulle have fat i den it-ansvarlige i de organisationer, de kontaktede.

Men de endte hos marketingafdelingen, hvilket viste sig at give mening, da velgørenhedsdonationer i marketingsafdelingens øjne var en mulighed for at få omtale.

I forhold til marketing, så medgiver Jacoby og Rosén, at projektet naturligvis også har været med til at markedsføre dem selv.

Ikke så meget spektakulært

De sikkerhedsproblemer, der er dukket op i forbindelse med pen-testningen af de svenske virksomheder har som sådan ikke været videre spektakulære, selvom i hvert fald et af problemerne, har været slemt nok.

»Der var en sårbarhed hos en af virksomhederne, som faktisk blotlagde alle deres kunders data. Det var rigtigt slemt. Den eneste grund til, at de faktisk blotlagde det, var, at de havde et supergammelt PHP 4. Så det var game over fra starten,« fortæller Frans Rosén.

Sikkerhedsfolkene oplyser, at de har gennemført projektet i deres fritid, og altså ikke mens de har været lønnet i regi af eksempelvis Detectify.

Svenskerne mener, at de ved at fortælle om projektet kan få andre med på idéen andre steder i verden.

»Vi vil gerne gøre opmærksom på, at dette har været let, og at det er muligt, og man kan faktisk gøre gavn ved at rette henvendelse til virksomheder, der ikke har noget rigtigt sikkerheds-budget. Det var det grundlæggende koncept ved eksperimentet.«

I forhold til at få andre med på idéen, så var der en - antageligt - it-sikkerhedsmand blandt tilhørerne, der stillede sig tvivlende overfor, om virksomheder i hans land ville takke ja til at blive pen-testede i sådan en sammenhæng.

Men hvad tænker du om idéen? Er det pjat og et billigt marketingsstunt, eller er det en god måde at bruge sine cyber-skills på?

Version2 er inviteret til SAS af Kaspersky Lab

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ivo Santos

Nu har vi lige været igennem flere af de der TV indsamlingsshows som sikkert koster kassen i rene udgifter.

  • Støt projekt xxx med 150 kr. og vind en bil til 250.000 kr.!!

Bilen er vel ikke noget som producenten giver gratis eller hvad?. Mon ikke at den skal betales af de penge som betaler via den pågældende indsamling, det kunne jeg da godt forestille mig.

  • vi giver 50 øre til xxx hver gang du køber en pakke xxx!!

Hvorfor lige 50 øre per pakke og ikke et stort engangsbeløb???...

Jeg hilser sådanne projekter velkommen specielt dem som handler om sikkerhed for det er der i hvert fald brug for, også i den grad.
Jeg har i øvrigt været med til at teste en hjemmeside i de sidste par måneder, og hvad endte jeg med? Jeg fandt et hul der gjorde at jeg kunne omdanne et bruger login til en administrator login ved at ændre på et par ting. Sådan noget bør jo ikke kunne lade sig gøre.

En ting er at gætte sig til en aktiv token, men ligefrem at gøre sig selv til administrator ved at ændre på et par ting, så jo!, sikkerheds tjek er vist stadigvæk en mangelvare, og det samme kan siges om standarder for logins og lign.

  • 0
  • 0
Log ind eller Opret konto for at kommentere