Interview

Tidligere hacker-kaptajn: KMD’s hacker-anmeldelse skaber flere black hats

4. juni 2018 kl. 11:5319
Tidligere hacker-kaptajn: KMD’s hacker-anmeldelse skaber flere black hats
Illustration: Privatfoto.
Selv har Morten Eskildsen tilbageholdt informationer om en brist, fordi han ikke kunne overskue konsekvenserne ved at offentliggøre det, fortæller den unge hacker.
Mads Lorenzen
Mads Lorenzen
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Mads Lorenzen
Mads Lorenzen
Journalist

Det kan påvirke unge hackeres ‘moralske kompas’ særdeles negativt, når man politianmelder hackere for at bryde ind i ens systemer, som KMD gjorde det sidste år.

»Jeg kan huske, at jeg syntes, det var pisseuretfærdigt. Specielt inden jeg satte mig ind i sagen. Det, der lå på nettet, var begrænset til en historie om en familiefar, der var blevet politianmeldt for at rapportere et sikkerhedsproblem,« siger tidligere kaptajn på det danske Cyberlandshold og nuværende datalogistuderende Morten Eskildsen i dette interview med Version2.

Og hvad enten det var en retfærdig og helstøbt udlægning af forløbet eller ej, så var det, hvad der tonede frem hjemme i stuerne. Bag mobilskærmene sad den næste generation af hackere - danske unge med flair for it-(u)sikkerhed.

Udover at rode med diverse tutorials derhjemme og måske have undersøgt et par websider for de mest almindelige sårbarheder, er de som unge hackere ved at kalibrere deres moralske kompas - og det er, når man er helt ung og ny i miljøet, at kompasset er mest sårbart, lyder det fra Morten Eskildsen.

Artiklen fortsætter efter annoncen

»Man bliver nemt påvirket, og lige da KMD-sagen begynder at rulle, føler alle i miljøet, at det er uretfærdigt. Det styrker idealiseringen af grey og black hats som eksempelvis Anonymous, der netop er funderet på den her retfærdighedsfølelse. Og det kipper unge hackeres kompas den forkerte vej.«

For hvorfor ikke bare sælge sårbarheder til højestbydende, hvis man alligevel risikerer en politianmeldelse, selvom man gør det rigtige?

»Det er ikke, fordi man absolut behøver at få noget ud af at anmelde en sårbarhed, men man skal behandles ordentligt,« siger Morten Eskildsen.

Senere skulle det vise sig, at KMD-hackeren havde hevet et betydeligt antal CPR-numre ud, selvom han allerede havde bevist sikkerhedsbristen. På den måde gik han måske lidt længere, end man som white hat bør, skal og må.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Men for nogle unge er skaden sket.

»Især de unge, der endnu ikke har fundet ind i fællesskaber som dem omkring de her hackerkonkurrencer, eller som er endt i kontakt med de forkerte på de forkerte fora, er sårbare,« siger Morten Eskildsen.

Derfor er det vigtigt, at virksomheder tænker sig virkelig grundigt om, når de anmelder en hacker. Og hvis de gør det, skal årsagen fremstå tydeligt, inden sagen ruller, mener Morten Eskildsen.

Den tidligere hacker-kaptajn er qua sin post på cyberlandsholdet blevet ‘dirigeret ind på den rigtige sti’, som han selv udtrykker det.

Har selv undladt at rapportere

Selv har han undladt at rapportere en sikkerhedsbrist en enkelt gang. En af hans venner havde tidligere været i kontakt med det pågældende firma om dets it-sikkerhed og havde ikke oplevet den store imødekommenhed.

Desuden lukkede virksomheden aldrig det hul, vennen fandt. Derfor hørte selskabet ikke fra Morten Eskildsen, da han nogen tid efter fandt endnu et sikkerhedshul.

»Jeg vidste, virksomheden ville benægte, og frygtede i sidste ende en politianmeldelse. Derfor undlod jeg simpelthen at indrapportere det.«

På samme måde er Morten Eskildsen overbevist om, at KMD risikerer at have stemplet sig selv som hacker-fjendtlig. Og derfor risikerer KMD at gå glip af sikkerhedsanmeldelser fremover, vurderer han.

KMD fortryder ikke proceduren

KMD’s sikkerhedschef, Benjamin Vejgaard, deltog i en debat om, hvordan fælles regler for white hat-hacking og fejlrapportering skal se ud, på Infosecurity-messen 2018.

I den forbindelse spurgte Version2 ham om, hvorvidt man fra KMD’s side havde gjort noget anderledes i dag, hvis man kunne, og om man er tilfreds med den måde, tingene blev gjort på.

Til det svarede han flere gange;

»Vi har nogle gode procedurer, som vi fulgte, akkurat som vi skulle.«

add
add
add
19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
Michael Weng
7. juni 2018 kl. 13:20

... selv tænker jeg, at udover de allerede gode input om hvorfor KMD kunne have håndteret sagen meget bedre, at det da også må kunne mærkes hos HR i KMD ... mon ikke en (stor?) del af de IT-Sikkerhedskyndig i DK undlader at søge stillinger i IT Sikkerhed i KMD, alene fordi de ikke ka stå inde for den form for 'strategi' som KMD har valgt ... selv tænker jeg, at det afspejler andre problemstillinger, der simpelthen gør KMD uatraktiv som arbejdsplads ...

... bare en tanke ...

God sommer

Mvh. Michael

  • more_vert
    • insert_linkKopier link
15
Malthe Høj-Sunesen
6. juni 2018 kl. 08:28

Jeg synes ikke at have hørt mere siden i vinters, hvor So Ein Ding talte med Esben Warming.

  • more_vert
    • insert_linkKopier link
14
René Nielsen
5. juni 2018 kl. 15:30

Nu kan jeg naturligvis tage fejl, men hvis en hacker kontakter et selskab som KMD der ofte hoster samfundsvitale systemer, så tror jeg grundlæggende at hackeren vil afleverer sin viden om hacket til selskabet, med henblik på lukke af for fejlen.

Men ligesom KMD ikke arbejder gratis, så gør andre det heller ikke og det er i min optik – helt naturligt at KMD belønner hackere for at påvise fejl i deres systemer via et bugbounty system.

Jeg beklager, men der er kun KMD’s aktionærer til at betale for KMD’s fejlbehæftede systemer. Og hvis ikke KMD’s aktionærer kommer i ”kontakt med virkeligheden” så vil bøder i GDPR klassen hurtigt ændre Moodys kreditvurdering af KMD.

Og ham KMD sikkerhedschefen som skulle have udtalt sig, som ovenfor …. Han overlever ikke aktionærenes vrede, når først bøderne kommer trillende ind.

  • more_vert
    • insert_linkKopier link
13
Hans Nielsen
5. juni 2018 kl. 14:10

Tror ikke at KMD og CSC rigtigt har forstået hvor ødelæggende de mange sagerne har været for dem. Tilliden især fra ungdommen er væk, og udover det måske lige nu kan giver rekrutteringsproblemer. Så vil det også betyde noget når de unge bliver beslutnings tager, eller når politiker skal foretage nye valg.

Samtidigt risikere de også at blive en prylekanppe ligesom SONY, som er hacket nogle gange.
Det kan godt være at hacker fra Banegården i Tyskland næste gang lægger alt offentligt, sletter data også ødelægger alt hardware.

Det vil så være træls, hvis det var igennem et erkendt sikkerhedshul, som ikke var indrapporteret på grund af deres rigide procedure.

  • more_vert
    • insert_linkKopier link
12
Rune Larsen
5. juni 2018 kl. 12:03

Firmaer som KMD (og CSC, DXC eller hvad de nu kalder sig for tiden) tænker kun på en ting, profitmaksimering.

Derfor er det vores borgerpligt, at kæmpe for, at sløseri med vores data resulterer i mærkbar negativ effekt på deres økonomi. Ellers sker der med garanti ikke forbedringer.

Den bedste måde må være at pudse datatilsynet på dem, som har et godt værktøj i GDPR. Samtidigt bør V2 følge op på sagen, så datatilsynet ikke glemmer at gøre noget.

Hvis hullet stadig ikke rettes så responsible disclosure efter fx to måneder, således at andre borgere kan advares mod, at deres data ikke er tilstrækkeligt beskyttet.

  • more_vert
    • insert_linkKopier link
11
Morten Eskildsen
5. juni 2018 kl. 10:51

@Jens artiklen tager udgangspunkt i KMD-sagen og ikke INFOBA. Om Esben kaldes familiefar eller Netcompany-medarbejder svinger lidt, men det viser jo blot, at der er mange sager, der kan være med til at påvirke opfattelsen.

Uanset hvordan det udlægges, er pointen dog den samme: Man opnår, at folk ikke ønsker at anmelde fejl, man skaber negativ omtale af virksomheden, og som Claus fint pointerer, risikerer man, at sikkerhedshullet i værste fald bliver udnyttet af andre.

  • more_vert
    • insert_linkKopier link
10
Knud Larsen
5. juni 2018 kl. 08:23

I denne verden er det stadig svært at være whistleblower - de fleste er blevet retsforfulgt eller chikaneret. Se bare den seneste med Danske bank og hvidvaskning.

  • more_vert
    • insert_linkKopier link
8
Jens Munk
4. juni 2018 kl. 14:35

Så må det være Morten Eskildsen blander tingene sammen. KMD-sagen har aldrig været omtalt som URL hacking - modsat INFOBA sagen. Her er der tale om et input-felt - hvor "hackeren" har lavet noget scripting som trække data ud.

  • more_vert
    • insert_linkKopier link
7
Mads Lorenzen
Journalist -
4. juni 2018 kl. 14:25
Journalist

...det er ikke første eller sidste gang, en større virksomhed trykker på juraknappen.

Morten Eskildsen udtaler sig her kun med KMD-sagen som eksempel.

Mvh

  • more_vert
    • insert_linkKopier link
5
Lars T. Petersen
4. juni 2018 kl. 13:28

Gør ikke som Henrik Høyer, selv om systemet er en trussel mod dig selv. At sælge oplysningen på darknet er heller ikke interessant. Heller ikke at gøre ikke-noget. Måske bruge en stedfortræder som wikileaks eller version2?

  • more_vert
    • insert_linkKopier link
4
Thomas Jensen
4. juni 2018 kl. 13:12

Et firma, som på en konstruktiv måde bliver gjort bekendt med

Jeg vil gå skridtet videre og sige, at selvom det ikke er helt konstruktivt, og selvom 'hackeren' måske går et skridt eller to for langt, så skal man være meget tilbageholdende med at politianmelde. Hovedsagen må være, at personen henvender sig til virksomheden, og ikke misbruger/sælger oplysningerne.

  • more_vert
    • insert_linkKopier link
3
Simon Mikkelsen
4. juni 2018 kl. 13:09

De fleste kan vist blive enige om, at det var dumt at hive mere data ud end absolut nødvendigt, for at sandsynliggøre fejlen.

Når det er sagt, synes jeg KMD har gjort mere skade på sig selv ved at føre sagen, når disse data ikke blev anvendt yderligere.

Mit råd er altid, at man i vid udstrækning siger tak og sender en buket blomster eller noget god rødvin, for de ikke-trivielle fejl. Er anmelderen gået for vidt, eller går direkte til offentliggørelse, kan man sige tak og undlade yderligere symbolsk belønning.

  • more_vert
    • insert_linkKopier link
2
Michael Christensen
4. juni 2018 kl. 12:49

Et firma, som på en konstruktiv måde bliver gjort bekendt med en uhensigtsmæssig, bør sige tak og give den fornødne belønning.

Hint: En politianmeldelse er ikke en belønning.

  • more_vert
    • insert_linkKopier link
1
Claus Bobjerg Juul
4. juni 2018 kl. 12:16

Til det svarede han flere gange;
»Vi har nogle gode procedurer, som vi fulgte akkurat som vi skulle.«

De vi meget sandsynligt følge samme fremgangsmåde næste gang. dvs. at de sandsynligvis ikke får flere indrapporteringer fra white/grey hats, men vil risikere at de en dag står med en sag på hænderne, hvor en white - eller grey hat hacker allerede har fundet hullet, med det er black hatten der udnytter det.

  • more_vert
    • insert_linkKopier link