Niclas Churs klassekammerater opførte sig meget normalt for alderen. De elskede at hænge ud og spille strategispil som Red Alert – som drenge på 13-14 år nu gør. Selv hang han også ud foran computeren, men det var andre ting, der fascinerede ham.

»Jeg synes, det var sjovere at læse om, hvilke metoder hackere arbejder efter, så jeg udskrev whitepapers om offensive hacking-metoder og hyggede mig med at læse om det. Jeg var en nørd allerede dengang,« erkender Niclas Chur.

Her 20 år senere fylder hacking og it-sikkerhed både hans arbejdsdag og det meste af fritiden.

I dagtimerne arbejder han som Senior it-arkitekt hos Atea, hvor han er ekspert i Citrix-løsninger og it-sikkerhed. Det er kunder i det tunge enterprise-segment, som skal have sikre workspaces med cloud-ydelser, mobility-løsninger, og hvor hans opgave blandt andet er at sørge for, at sikkerheden er tænkt ind fra starten.

»I min hverdag arbejder jeg i et Network & Secure Workspace Team. Kunderne har ofte en stribe applikationer, de gerne vil stille til rådighed for medarbejdere og kunder – fx CRM- og ERP-systemer. For at gør dem nemt tilgængelige skal de kunne tilgås fra nettet, og så er vores opgave at tilbyde dem en sikker service.«

Og det er ikke tilfældigt, at Niclas Chur lægger vægt på it-sikkerheden. Det er nemlig hans helt store passion.

Bug Bounty Hunter om natten

»I dagtimerne holder jeg kunderne i hånden og har en rolle som Senior it-arkitekt. Når ungerne er lagt i seng, bliver computeren tændt igen, og så er jeg enten Bug Bounty Hunter eller deltager i konkurrencer, hvor det handler om at være bedst til at kompromittere sites.«

Niclas Chur er blandt andet bruger på de to store community-sites HackerOne og BugCrowd, hvor nørder og eksperter hjælper store virksomheder med at finde huller i software og websites. Som modydelse udlover virksomhederne ofte dusører til dem, der finder sårbarheder i løsningerne.

Et andet community er Hackthebox.eu, som er et Capture-the-flag-site, hvor man konkurrerer om at trænge ind i it-systemer, der er sat op til formålet. Alt sammen på helt lovlig vis.

Det er ikke nødvendigvis den økonomiske gevinst, der trækker. Niclas Chur erkender, at han er ret stolt af, at han på et tidspunkt var i top-20 ud af hele 100.000 brugere på Hack The Box på verdensplan.

»Det er virkelig fede communities, hvor man leder efter sårbarheder og sparrer med andre ligesindede. Det kræver mange timer, men det er med til at udvikle mit skills og mindset. For at kunne beskytte sig mod angreb er det vigtigt at kende til de metoder og teknikker som hackerne benytter.«

De mange sene aftentimer foran skærmen giver også konkret viden, som Niclas Chur kan anvende i sit daglige arbejde hos Atea.

»Vi havde en kunde, der opdagede, at et af deres vigtigste forretningssystemer var gået ned, men de kendte ikke årsagerne. Vi hjalp dem med at analysere og fandt frem til, at det sandsynligvis var et DDOS-angreb. Det kan nogle gange være en sløring af andre angreb, så det var vigtigt både at få stoppet angrebet, men også at sikre, at der ikke var tale om flere simultane angreb,« beretter Niclas Chur.

Derefter gik Ateas team i gang med at etablere et forsvar, som kunne beskytte systemet.

De satte en applikationsfirewall op og lavede en rate-limiting, hvor de så på den indkommende trafik og sorterede det fra, som ikke var normal trafik. De tjekkede alle IP-numre op mod en reputation-database, så trafik fra kendte botnets og malware-sites blev sorteret fra. Og endelig analyserede de trafikken for at se, om der var noget, der lignede forsøg på klassiske hacking-angreb som SQL-injections eller Cross-Site Scripting.

»Det er vigtigt at kunne tænke som en hacker, der konstant leder efter det svageste led. Man skal både tænke i brugere, processer, applikationer, data og it-governance for at sikre sig hele vejen rundt,« siger Niclas Chur.

Find hullerne – sov en anden dag

Undervejs har Niclas Chur taget en hel stribe certificeringer både tekniske Citrix- og Microsoft-certificeringer, og også de mere softskills-orienterede som Prince2 og TOGAF Enterprise Architect. Og så har han taget et par anerkendte certificeringer inden for offensiv it-sikkerhed.

»Jeg har både taget en CEH (Certified Ethical Hacker) og en OSCP (Offensive Security Certified Professional), der er nogle af de anerkendte certificeringer. Kurserne udviklede mig, men især OSCP’en har en meget realistisk eksamensform, hvor man får 24 timer til at finde huller i et setup.«

I prøvens anden halvdel får man 24 timer til at lave en rapport, hvor man både skal vurdere, hvor kritiske de forskellige huller i sikkerheden er, og levere en mitigation-plan, hvor man specificerer, hvordan sårbarheden kan afhjælpes.

»Jeg er faktisk ret stolt af, at jeg fik kompromitteret samtlige systemer, men jeg sov også kun tre timer på de to døgn. Det handler meget om at have et never-give-up mindset, hvor man holder fast og tænker, at man nok skal finde en vej,« fortæller Niclas Chur, der stadig synes, der er meget at lære.

Hacker Ateas egne produkter

Den store viden om hacking bliver også brugt internt til at sikre, at de løsninger, Atea leverer til andre, er sikrede.

»Vi sælger selv IP kameraløsninger, og vi har lige haft en intern seance, hvor vi gik i offensiv mode på vores egne produkter. Vi lavede sårbarhedsanalyser og penetreringstests på kameraerne, og det lykkedes faktisk at få fuld adgang til et kamera, som ikke var patchet med en softwareopdatering.«

I sig selv er det et stort problem, hvis det er muligt at få adgang til overvågningskameraer, som godt kan være rettet mod interne områder, men lækagen kan faktisk give endnu større problemer, forklarer Niclas Chur.

»Når først angriberne er inde, kan de pivotere sig videre i netværket og angribe andre steder. Derfor skal man huske at tænke i lag, huske at segmentere trafikken på netværket, og ikke mindst huske at patche sin software. Det er alt sammen nødvendige elementer i et forsvar. Min rolle var at gå i offensiv mode, finde hullet og finde ud af, hvordan vi lukker adgangen.«

Karriereskift giver bredde

Undervejs har han skiftet både job og virksomhed en håndfuld gange, men det ser han som en styrke.

»Jeg elsker at holde workshops med kunderne. Hele den afstemning med kundernes behov, arbejdet med analyse, design, implementering og driftsoverdragelse – helt til vi kommer i mål er fedt at arbejde med.«

»Men jeg skifter lidt mellem at arbejde med det meget nørdede og så komme op til overfladen og arbejde med de mere bløde ting. Der findes dygtige teknikere overalt, men som konsulent skal du også være i stand til at kommunikere din viden til andre og lave en god forventningsafstemning med kunderne.«

Niclas Chur har i virkeligheden arbejdet i Atea ad to omgange. Efter de første fem år blev han tilbudt en stilling hos Citrix, hvor han fik rollen som konsulent og arkitekt på store Citrix-løsninger rundt om i Europa.

»Jeg rejste en hel del i forbindelse med min ansættelse hos Citrix, var ansvarlig for diverse assessments, udarbejdelse af kravspecifikationer til diverse tekniske løsninger og holdt en række design workshops med både europæiske og nordiske kunder.«

Men efter et stykke tid ringede hans gamle teamleder fra Atea. Det endte med, at han vendte tilbage til Atea.

»Jeg har nogle sparringsmuligheder her, som er fede at komme tilbage til. Der er både udviklingsmuligheder og stor frihed under ansvar. Jeg har også fået mere tid til familien ved at vendte tilbage til Atea,« fastslår Niclas Chur.

Far i balance-jagt

Niclas Chur er far til en pige på 3 år og en dreng på 8 måneder, og det fylder meget. Hvor han tidligere arbejdede med it-løsninger og it-sikkerhed i døgndrift, så er der nye hensyn, der skal tages.

»Mit job er også min hobby, som jeg gerne vil dyrke. Så når børnene er lagt i seng, tænder jeg ofte computeren igen for at udvide min horisont. På hjemmefronten arbejder vi på at finde en balance så der er plads til både hobby og familie.«

På Ateas hovedkontor i Ballerup er klokken blevet 15.30, og interviewet skal rundes af. Niclas Chur tjekker med konen, der er på barsel derhjemme med den 8 måneder gamle søn, før han haster ud på parkeringspladsen for at nå det næste punkt i kalenderen: Det er far, der henter i børnehaven i dag.