Tidligere hacker-kaptajn: KMD’s hacker-anmeldelse skaber flere black hats
Det kan påvirke unge hackeres ‘moralske kompas’ særdeles negativt, når man politianmelder hackere for at bryde ind i ens systemer, som KMD gjorde det sidste år.
»Jeg kan huske, at jeg syntes, det var pisseuretfærdigt. Specielt inden jeg satte mig ind i sagen. Det, der lå på nettet, var begrænset til en historie om en familiefar, der var blevet politianmeldt for at rapportere et sikkerhedsproblem,« siger tidligere kaptajn på det danske Cyberlandshold og nuværende datalogistuderende Morten Eskildsen i dette interview med Version2.
Og hvad enten det var en retfærdig og helstøbt udlægning af forløbet eller ej, så var det, hvad der tonede frem hjemme i stuerne. Bag mobilskærmene sad den næste generation af hackere - danske unge med flair for it-(u)sikkerhed.
Udover at rode med diverse tutorials derhjemme og måske have undersøgt et par websider for de mest almindelige sårbarheder, er de som unge hackere ved at kalibrere deres moralske kompas - og det er, når man er helt ung og ny i miljøet, at kompasset er mest sårbart, lyder det fra Morten Eskildsen.
»Man bliver nemt påvirket, og lige da KMD-sagen begynder at rulle, føler alle i miljøet, at det er uretfærdigt. Det styrker idealiseringen af grey og black hats som eksempelvis Anonymous, der netop er funderet på den her retfærdighedsfølelse. Og det kipper unge hackeres kompas den forkerte vej.«
For hvorfor ikke bare sælge sårbarheder til højestbydende, hvis man alligevel risikerer en politianmeldelse, selvom man gør det rigtige?
»Det er ikke, fordi man absolut behøver at få noget ud af at anmelde en sårbarhed, men man skal behandles ordentligt,« siger Morten Eskildsen.
Senere skulle det vise sig, at KMD-hackeren havde hevet et betydeligt antal CPR-numre ud, selvom han allerede havde bevist sikkerhedsbristen. På den måde gik han måske lidt længere, end man som white hat bør, skal og må.
Men for nogle unge er skaden sket.
»Især de unge, der endnu ikke har fundet ind i fællesskaber som dem omkring de her hackerkonkurrencer, eller som er endt i kontakt med de forkerte på de forkerte fora, er sårbare,« siger Morten Eskildsen.
Derfor er det vigtigt, at virksomheder tænker sig virkelig grundigt om, når de anmelder en hacker. Og hvis de gør det, skal årsagen fremstå tydeligt, inden sagen ruller, mener Morten Eskildsen.
Den tidligere hacker-kaptajn er qua sin post på cyberlandsholdet blevet ‘dirigeret ind på den rigtige sti’, som han selv udtrykker det.
Har selv undladt at rapportere
Selv har han undladt at rapportere en sikkerhedsbrist en enkelt gang. En af hans venner havde tidligere været i kontakt med det pågældende firma om dets it-sikkerhed og havde ikke oplevet den store imødekommenhed.
Desuden lukkede virksomheden aldrig det hul, vennen fandt. Derfor hørte selskabet ikke fra Morten Eskildsen, da han nogen tid efter fandt endnu et sikkerhedshul.
»Jeg vidste, virksomheden ville benægte, og frygtede i sidste ende en politianmeldelse. Derfor undlod jeg simpelthen at indrapportere det.«
På samme måde er Morten Eskildsen overbevist om, at KMD risikerer at have stemplet sig selv som hacker-fjendtlig. Og derfor risikerer KMD at gå glip af sikkerhedsanmeldelser fremover, vurderer han.
KMD fortryder ikke proceduren
KMD’s sikkerhedschef, Benjamin Vejgaard, deltog i en debat om, hvordan fælles regler for white hat-hacking og fejlrapportering skal se ud, på Infosecurity-messen 2018.
I den forbindelse spurgte Version2 ham om, hvorvidt man fra KMD’s side havde gjort noget anderledes i dag, hvis man kunne, og om man er tilfreds med den måde, tingene blev gjort på.
Til det svarede han flere gange;
»Vi har nogle gode procedurer, som vi fulgte, akkurat som vi skulle.«
