Ann er hacker

Målet er at gøre verden til et bedre sted – men alt starter med nysgerrighed

Jeg har været så heldig at interviewe Ann, som har en passion for ”white hat hacking”. På daglig basis er Ann en vaskeægte it-sikkerhedsnørd, både på sit arbejde, men også i det private. Hvorfor og hvordan kan du læse mere om her.

Ann, 29 år. Har læst cand.merc.it på CBS. I dag ansat på NNIT som it-sikkerhedsspecialistgennem NNITs graduate program. Før hun fandt ud af, at hun gerne ville arbejde med it- sikkerhed, rejste hun rundt i verden, og har blandt andet været med til at oversætte bogen “Kodning for børn”.  

Afsæt i Børnehøjde

Jeg mødte første gang Ann til en event i Coding Pirates, hvor hun underviste børn i hacking. Det vakte min nysgerrighed, for selvfølgelig skal vi have hacking ned i børnehøjde. Jeg blev nysgerrig på hendes historie og tænkte, at it-sikkerhed egentlig er et felt som alle er nødt til at have en nysgerrighed på i dag.

Copyright og etik

Anns interesse startede med emner som copyright og privatlivspolitik, så det var den etiske side af it-sikkerhed, der fangede hende. Da hun begyndte at læse på CBS fik hun gennem sine studieprojekter mulighed for at grave sig i dybden. Og som det nu kan, gik det hen og blev mere nørdet i hendes speciale med it-sikkerhedsstandarder. Programmering kom lidt ved et tilfælde, siger Ann. Hun havde rodet med det i fritiden, men det var først da hun fik programmering på skemaet i studiet, at hun opdagede hvor hurtigt, man kunne begynde at bruge det, man lærte. Faktisk siger Ann, at man bare skal kaste sig ud i det og prøve et programmeringssprog. Hun anbefaler til alle interesserede at gå online og prøve nogle gratis kurser, for eksempel Codecademy. Man kan starte med et af de nemmere sprog som Python, men det vigtigste er at have gå-på- mod. Hvis man er helt ny og vil lære principperne i at programmere, kan man også prøve at lege med Scratch.

De gode og de onde

Der findes gode og onde hackere. De hackere, hvis formål det er at skade andre og ødelægge data kaldes “Black Hat Hackere”. De gode kaldes naturligvis ”White Hat Hackere”.
Hvordan ser du dig selv som en white hat hacker?
En white hat hacker for at forbedre ting – de gør det ikke for at ødelægge ting, eller for egen personlig vindings skyld. White hats indhenter tilladelse fra dem, der bliver hacket, og hjælper med at lukke sikkerhedshuller. Jeg arbejder helt klart for at gøre verden til et bedre sted, uanset om jeg sidder med hacking eller andre opgaver. En hacker er dog ikke kun én, der laver noget med computere. En hacker er nysgerrig og vil hele tiden finde ud af, hvordan tingene virker, og hvordan de kan ændres eller forbedres. Det kan være digitalt, men også alt muligt andet, for eksempel er der mange, der ”hacker” møbler fra Ikea til nye, spændende formål. Det er mere en tilgang til verden, og det er nysgerrigheden, der frem for alt driver dig. Selv har jeg rigtig meget at lære – også på flere områder end hacking. Derfor vil jeg også hellere kaldes it-sikkerhedsnørd end white hat hacker. Der er også en del, der tror at denne del af it-sikkerhedsbranchen ikke er noget for piger, men der vil man hurtigt blive overrasket – nogle af de bedste i branchen er piger, og bag en computerskærm er det ikke kønnet, der bestemmer hvad du kan, det er din viden, kompetencer og din vilje til at lære.

Hacking er også hverdag

Hvordan er din arbejdsdag?
Som graduate har jeg arbejdet med it-sikkerhed fra mange forskellige vinkler. I de perioder, hvor jeg har arbejdet med hacking, sidder jeg til dagligt og opdager huller for kunder. Det kan for eksempel være på et website, hvor der er et sikkerhedshul, som gør at ondsindede hackere kan ødelægge sitet eller trække data ud. Vores kunder er for eksempel offentlige kunder eller lægemiddelvirksomheder som Novo Nordisk – de prioriterer ofte sikkerhed enormt højt, fordi det handler om folks helbred og liv. Vi kombinerer oftest med værktøjer, der for eksempel scanner for sårbarheder, og så arbejder vi med risikovurderinger for, hvornår en sårbarhed er kritisk. Jobbet er meget kreativ problemløsning, for vi har ikke svarene på forhånd. Det er desuden vigtigt at arbejde med it-sikkerhed fra flere vinkler. For eksempel laver vi også træningsmateriale til udviklere for at klæde dem rigtigt på omkring sikkerhed og risici, og tænke sikkerhed ind fra starten når de udvikler. Arbejdet har også en anden effekt på hverdagen: jo mere du arbejder med it-sikkerhed, jo mere småparanoid bliver du også. Det gør du, fordi du jo hele tiden skal sætte dig i hackerens sted og prøve at forudse det værste, der kan ske, så du kan give dem kamp til stregen. Et eksempel på dén små-paranoia er den chip, vi har i vores dankort: der er reelt en risiko for, at den kan blive scannet af en dankortlæser, mens jeg står i metroen – så jeg sørger for at blokere for signalet, så længe kortet er i min pung.

Beskyt skattekisten

I it-sikkerhed snakker Ann om ”blåt team” og ”rødt team”, som har forskellige roller. Begge teams skal prøve at sætte sig ind i, hvordan en angriber tænker, og målet er at beskytte skattekisten – altså systemer og data. Det røde team er angriberne, som skal prøve at komme ind til skattekisten. Det er for eksempel white hat hackerne, som leder efter huller. Det blå team er forsvarsholdet, som skal forsvare skattekisten. Det gør de for eksempel ved at sætte firewalls op, styre adgange og holde øje med mistænkelig aktivitet. Det er sjovt at sætte spilleregler op og finde sårbarheder, men Ann fortæller, at hun lige så gerne sidder på forsvarsholdet. Ann fortæller derudover, at hun rigtig godt kan lide, når de sætter et ‘hackathon’ op i NNIT. Så sidder de sammen hen over weekenden og øver forskellige værktøjer og spiller spil for at få nye idéer og lære, både som angribere og som forsvarere. For eksempel gennem Capture The Flag (CTF) spil (se links i bunden af denne artikel).

Detektivarbejde

Hvad har været den sjoveste opgave, du har været med til?
Det er sjovest når der går detektivarbejde i opgaven, og jeg skal løse et nyt problem. Det kan være når jeg prøver at finde sikkerhedshuller, men det er også når jeg sidder med udvikling og prøver at få koden til at virke, eller prøver at løse et problem i arkitekturen. Jeg har for eksempel været med til at sætte et system op, der styrer adgange. Det sidder som en blæksprutte med sine lange arme ned i alle mulige systemer, og man støder på en masse problemer, der skal løses, når man skal have sådan én til at passe ind i en virksomheds miljø.

Specialistviden

Hvad motiverer dig på daglige basis?
Dét at blive bedre og tilegne mig specialviden, der kan hjælpe kunden. Det er fedt at kunne finde og hjælpe med at udbedre de risici i kundens system, som kunden ikke selv ved eksisterer, eller ikke ved hvordan de bedst kan løse. I NNITs graduate program har jeg desuden mulighed for at nørde en hel masse, møde mange forskellige mennesker og samarbejde globalt. Jeg arbejder for eksempel med kolleger fra Kina, Filippinerne, Tjekkiet og mange andre lande. Det er fedt, at vi er mange på samme program, som arbejder på tværs i hele firmaet. Vi har et rigtig godt sammenhold, og tager også på ferier med hinanden.

Fremtidens job

Hvad er din anbefaling til andre, der gerne vil være white hat hackere?
Du kan sådan set begynde når som helst. Det handler om at være nysgerrig og blive ved. Start med at lære principperne i programmering (for eksempel gennem websites som Codecademy) og prøv kræfter med en masse Capture The Flag (CTF) spil, der kan lære dig at finde faldgruber i systemer (se links i bunden af denne artikel). Her er du også sikker på, at du har tilladelse til at prøve at finde og udnytte sikkerhedshuller.
Husk altid at sørge for at have tilladelse fra dem, du prøver at hacke!
For børn og unge, der er interesserede i IT, vil jeg også gerne fremhæve, at NNIT har en skoleservice for folkeskoleklasser: Vi er meget opmærksomme på, at vi skal støtte børn og unge i deres interesse i IT. Vi har brug for en masse specialister i fremtiden, så vi vil gerne hjælpe med at fremme dén interesse.  
Bonus Info
Lavet af Mia Meldgaard

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *