Tidligere hacker-kaptajn: KMD’s hacker-anmeldelse skaber flere black hats

Illustration: Privatfoto
Selv har Morten Eskildsen tilbageholdt informationer om en brist, fordi han ikke kunne overskue konsekvenserne ved at offentliggøre det, fortæller den unge hacker.

Det kan påvirke unge hackeres ‘moralske kompas’ særdeles negativt, når man politianmelder hackere for at bryde ind i ens systemer, som KMD gjorde det sidste år.

»Jeg kan huske, at jeg syntes, det var pisseuretfærdigt. Specielt inden jeg satte mig ind i sagen. Det, der lå på nettet, var begrænset til en historie om en familiefar, der var blevet politianmeldt for at rapportere et sikkerhedsproblem,« siger tidligere kaptajn på det danske Cyberlandshold og nuværende datalogistuderende Morten Eskildsen i dette interview med Version2.

Og hvad enten det var en retfærdig og helstøbt udlægning af forløbet eller ej, så var det, hvad der tonede frem hjemme i stuerne. Bag mobilskærmene sad den næste generation af hackere - danske unge med flair for it-(u)sikkerhed.

Læs også: Danmark får - efter et års forsinkelse - ny national plan for cybersikkerhed

Udover at rode med diverse tutorials derhjemme og måske have undersøgt et par websider for de mest almindelige sårbarheder, er de som unge hackere ved at kalibrere deres moralske kompas - og det er, når man er helt ung og ny i miljøet, at kompasset er mest sårbart, lyder det fra Morten Eskildsen.

»Man bliver nemt påvirket, og lige da KMD-sagen begynder at rulle, føler alle i miljøet, at det er uretfærdigt. Det styrker idealiseringen af grey og black hats som eksempelvis Anonymous, der netop er funderet på den her retfærdighedsfølelse. Og det kipper unge hackeres kompas den forkerte vej.«

For hvorfor ikke bare sælge sårbarheder til højestbydende, hvis man alligevel risikerer en politianmeldelse, selvom man gør det rigtige?

Læs også: Hackere krydser etisk grænse med angreb på nødberedskab i Mellemøsten

»Det er ikke, fordi man absolut behøver at få noget ud af at anmelde en sårbarhed, men man skal behandles ordentligt,« siger Morten Eskildsen.

Senere skulle det vise sig, at KMD-hackeren havde hevet et betydeligt antal CPR-numre ud, selvom han allerede havde bevist sikkerhedsbristen. På den måde gik han måske lidt længere, end man som white hat bør, skal og må.

Men for nogle unge er skaden sket.

»Især de unge, der endnu ikke har fundet ind i fællesskaber som dem omkring de her hackerkonkurrencer, eller som er endt i kontakt med de forkerte på de forkerte fora, er sårbare,« siger Morten Eskildsen.

Derfor er det vigtigt, at virksomheder tænker sig virkelig grundigt om, når de anmelder en hacker. Og hvis de gør det, skal årsagen fremstå tydeligt, inden sagen ruller, mener Morten Eskildsen.

Den tidligere hacker-kaptajn er qua sin post på cyberlandsholdet blevet ‘dirigeret ind på den rigtige sti’, som han selv udtrykker det.

Har selv undladt at rapportere

Selv har han undladt at rapportere en sikkerhedsbrist en enkelt gang. En af hans venner havde tidligere været i kontakt med det pågældende firma om dets it-sikkerhed og havde ikke oplevet den store imødekommenhed.

Desuden lukkede virksomheden aldrig det hul, vennen fandt. Derfor hørte selskabet ikke fra Morten Eskildsen, da han nogen tid efter fandt endnu et sikkerhedshul.

»Jeg vidste, virksomheden ville benægte, og frygtede i sidste ende en politianmeldelse. Derfor undlod jeg simpelthen at indrapportere det.«

På samme måde er Morten Eskildsen overbevist om, at KMD risikerer at have stemplet sig selv som hacker-fjendtlig. Og derfor risikerer KMD at gå glip af sikkerhedsanmeldelser fremover, vurderer han.

KMD fortryder ikke proceduren

KMD’s sikkerhedschef, Benjamin Vejgaard, deltog i en debat om, hvordan fælles regler for white hat-hacking og fejlrapportering skal se ud, på Infosecurity-messen 2018.

I den forbindelse spurgte Version2 ham om, hvorvidt man fra KMD’s side havde gjort noget anderledes i dag, hvis man kunne, og om man er tilfreds med den måde, tingene blev gjort på.

Til det svarede han flere gange;

»Vi har nogle gode procedurer, som vi fulgte, akkurat som vi skulle.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

Til det svarede han flere gange;
»Vi har nogle gode procedurer, som vi fulgte akkurat som vi skulle.«

De vi meget sandsynligt følge samme fremgangsmåde næste gang. dvs. at de sandsynligvis ikke får flere indrapporteringer fra white/grey hats, men vil risikere at de en dag står med en sag på hænderne, hvor en white - eller grey hat hacker allerede har fundet hullet, med det er black hatten der udnytter det.

  • 29
  • 0
Simon Mikkelsen

De fleste kan vist blive enige om, at det var dumt at hive mere data ud end absolut nødvendigt, for at sandsynliggøre fejlen.

Når det er sagt, synes jeg KMD har gjort mere skade på sig selv ved at føre sagen, når disse data ikke blev anvendt yderligere.

Mit råd er altid, at man i vid udstrækning siger tak og sender en buket blomster eller noget god rødvin, for de ikke-trivielle fejl. Er anmelderen gået for vidt, eller går direkte til offentliggørelse, kan man sige tak og undlade yderligere symbolsk belønning.

  • 20
  • 0
Thomas Jensen

Et firma, som på en konstruktiv måde bliver gjort bekendt med

Jeg vil gå skridtet videre og sige, at selvom det ikke er helt konstruktivt, og selvom 'hackeren' måske går et skridt eller to for langt, så skal man være meget tilbageholdende med at politianmelde. Hovedsagen må være, at personen henvender sig til virksomheden, og ikke misbruger/sælger oplysningerne.

  • 21
  • 0
Jens Munk

Så må det være Morten Eskildsen blander tingene sammen. KMD-sagen har aldrig været omtalt som URL hacking - modsat INFOBA sagen. Her er der tale om et input-felt - hvor "hackeren" har lavet noget scripting som trække data ud.

  • 1
  • 0
Morten Eskildsen

@Jens artiklen tager udgangspunkt i KMD-sagen og ikke INFOBA. Om Esben kaldes familiefar eller Netcompany-medarbejder svinger lidt, men det viser jo blot, at der er mange sager, der kan være med til at påvirke opfattelsen.

Uanset hvordan det udlægges, er pointen dog den samme: Man opnår, at folk ikke ønsker at anmelde fejl, man skaber negativ omtale af virksomheden, og som Claus fint pointerer, risikerer man, at sikkerhedshullet i værste fald bliver udnyttet af andre.

  • 3
  • 0
Rune Larsen

Firmaer som KMD (og CSC, DXC eller hvad de nu kalder sig for tiden) tænker kun på en ting, profitmaksimering.

Derfor er det vores borgerpligt, at kæmpe for, at sløseri med vores data resulterer i mærkbar negativ effekt på deres økonomi. Ellers sker der med garanti ikke forbedringer.

Den bedste måde må være at pudse datatilsynet på dem, som har et godt værktøj i GDPR. Samtidigt bør V2 følge op på sagen, så datatilsynet ikke glemmer at gøre noget.

Hvis hullet stadig ikke rettes så responsible disclosure efter fx to måneder, således at andre borgere kan advares mod, at deres data ikke er tilstrækkeligt beskyttet.

  • 5
  • 0
Hans Nielsen

Tror ikke at KMD og CSC rigtigt har forstået hvor ødelæggende de mange sagerne har været for dem. Tilliden især fra ungdommen er væk, og udover det måske lige nu kan giver rekrutteringsproblemer. Så vil det også betyde noget når de unge bliver beslutnings tager, eller når politiker skal foretage nye valg.

Samtidigt risikere de også at blive en prylekanppe ligesom SONY, som er hacket nogle gange.
Det kan godt være at hacker fra Banegården i Tyskland næste gang lægger alt offentligt, sletter data også ødelægger alt hardware.

Det vil så være træls, hvis det var igennem et erkendt sikkerhedshul, som ikke var indrapporteret på grund af deres rigide procedure.

  • 9
  • 0
René Nielsen

Nu kan jeg naturligvis tage fejl, men hvis en hacker kontakter et selskab som KMD der ofte hoster samfundsvitale systemer, så tror jeg grundlæggende at hackeren vil afleverer sin viden om hacket til selskabet, med henblik på lukke af for fejlen.

Men ligesom KMD ikke arbejder gratis, så gør andre det heller ikke og det er i min optik – helt naturligt at KMD belønner hackere for at påvise fejl i deres systemer via et bugbounty system.

Jeg beklager, men der er kun KMD’s aktionærer til at betale for KMD’s fejlbehæftede systemer. Og hvis ikke KMD’s aktionærer kommer i ”kontakt med virkeligheden” så vil bøder i GDPR klassen hurtigt ændre Moodys kreditvurdering af KMD.

Og ham KMD sikkerhedschefen som skulle have udtalt sig, som ovenfor …. Han overlever ikke aktionærenes vrede, når først bøderne kommer trillende ind.

  • 8
  • 0
Michael Weng

... selv tænker jeg, at udover de allerede gode input om hvorfor KMD kunne have håndteret sagen meget bedre, at det da også må kunne mærkes hos HR i KMD ... mon ikke en (stor?) del af de IT-Sikkerhedskyndig i DK undlader at søge stillinger i IT Sikkerhed i KMD, alene fordi de ikke ka stå inde for den form for 'strategi' som KMD har valgt ... selv tænker jeg, at det afspejler andre problemstillinger, der simpelthen gør KMD uatraktiv som arbejdsplads ...

... bare en tanke ...

God sommer

Mvh. Michael

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize