Den Farlige Hacker

Dagens nyheder indeholder blandt andet historien om at FE vil hyre hackere.

Forsvarets Efterretningstjeneste opretter målrettet 'hacker-akademi' https://politiken.dk/indland/ECE3117290/forsvarets-efterretningstjeneste...

og vi har en tendens til at grine lidt over det. Eksempelvis kommer der hurtigt respons på de evindelige hackerbilleder, eksempelvis her: https://twitter.com/gjerding/status/710001432175443968

og selvom det er sjovt ville jeg hellere have journalisterne holdt op, som Peter Hegner Bonfils @peterbonfils også siger i tråden.

@gjerding men det er vel ret beset pressen, der bliver ved med det der bizarre billede af hackere;)

Journalister - stop jer selv, hold op med at bruge de tåbelige stock photos!

I praksis minder hacking mere om almindelige IT jobs, som er lidt mere kedelige og ensformige.

Det er også med i politiken artiklen:

»Det her handler ikke om fuldt kapable hackere – dem er der forhåbentligt ikke alt for mange af derude – men folk, der har grundkompetencerne, som vi så kan bygge ovenpå. De behøver ikke at have færdige uddannelser eller formelle kvalifikationer. Det kan også være naturtalenter, som bare er gode til bevæge sig rundt på nettet, og som har den rette psyke, og først og fremmest vilje til at blive ved og ved, indtil de knækker koderne«, siger Lars Findsen.

Det er nemlig helt rigtigt, hacking er ofte at støde hovedet mod muren, og prøve næste angrebsmetode, næste ordliste, tilpasse strategi og prøve igen.

MEN

Mere vigtigt ville jeg gerne se en dansk politiker der satte sig ind i sagen, altså hacking og specielt offensive strategier for internetkrig.

Skal vi tillade at FE spionage med zero-days? Er det en rigtig strategi?

Lidt hjælp til at komme igang med diskussionen, og min mening:

  • Har FE mulighed for at opbygge nok kapacitet til at udvikle egne 0-days? Nej, så strategien er afhængig af tæt samarbejde med andre tilsvarende - USA og UK formentlig
  • Bør FE ikke medvirke til at alle sårbarheder bliver sendt tilbage til udviklere og softwarefirmaer - jo, for ellers er den danske infrastruktur i risiko for indbrud og angreb med samme sårbarheder
  • Hvordan sikrer vi Danmark mod repressalier når en anden stat opdager FE? Vi har set voldsomme cyberangreb, og Danmark er ikke rustet til at håndtere "simple DDoS angreb" - er min vurdering
  • Hvordan sikrer vi at hackerne arbejder effektivt og opnår resultaterne, når det ofte vil fordre tæt samarbejde på kryds og tværs af landegrænser, med mere eller mindre løst knyttede forbindelser til andre grupperinger - både i og udenfor efterretningstjenester?

Der er masser af spørgsmål, og jeg ville ønske at der kom mere politisk diskussion omkring IT-sikkerhedsemner, end tåbelige forslag om at bryde kryptering, lave sessionslogning, og ansætte Lisbeth Salander.

Hvilke politikere er mest åbne overfor en snak om disse emner, og eksempelvis Wassenaar som vil forhindre at typer som mig i det private kan arbejde effektivt med exploits og hacking?

PS Update: v2 har også en artikel om emnet http://www.version2.dk/artikel/forsvarets-efterretningstjeneste-soeger-b...

Henrik Kramshøj er internet-samurai. Han elsker netværkspakker tcpdump, wireshark, BackTrack, Metasploit og andre hackerværktøjer og blogger om sikkerhed, netværk og unix.

Kommentarer (3)

Peter Christiansen

LOL priceless Erik :D
domæne kendskab er nøglen ikke kun i IT branchen,
somme tider kunne man tro at statens IT løsninger bliver taget
hånd om (pun intended) lidt på samme måde.

Robert Larsen

"Har FE mulighed for at opbygge nok kapacitet til at udvikle egne 0-days?"
Det har de allerede. Der er af og til jobpostings på fe-ddis med overskriften "Blackhat specialister", og jeg kender et par stykker, som har haft det job, og de er fuldt ud i stand til at finde og udnytte 0days.

FE's job er jo at indsamle og analysere data fra både åbne og lukkede kilder, så at give bugreports videre til udviklingshusene er jo ikke i deres interesse.

Log ind eller opret en konto for at skrive kommentarer