Målet er at gøre verden til et bedre sted – men alt starter med nysgerrighed

Jeg har været så heldig at interviewe Ann, som har en passion for ”white hat hacking”. På
daglig basis er Ann en vaskeægte it-sikkerhedsnørd, både på sit arbejde, men også i det
private. Hvorfor og hvordan kan du læse mere om her.

Ann, 29 år. Har læst cand.merc.it på CBS. I dag ansat på NNIT som it-sikkerhedsspecialistgennem NNITs graduate program. Før hun fandt ud af, at hun gerne ville arbejde med it- sikkerhed, rejste hun rundt i verden, og har blandt andet været med til at oversætte bogen “Kodning for børn”.

 

Afsæt i Børnehøjde

Jeg mødte første gang Ann til en event i Coding Pirates, hvor hun underviste børn i hacking.
Det vakte min nysgerrighed, for selvfølgelig skal vi have hacking ned i børnehøjde.
Jeg blev nysgerrig på hendes historie og tænkte, at it-sikkerhed egentlig er et felt som alle er
nødt til at have en nysgerrighed på i dag.

Copyright og etik

Anns interesse startede med emner som copyright og privatlivspolitik, så det var den etiske
side af it-sikkerhed, der fangede hende. Da hun begyndte at læse på CBS fik hun gennem
sine studieprojekter mulighed for at grave sig i dybden. Og som det nu kan, gik det hen og
blev mere nørdet i hendes speciale med it-sikkerhedsstandarder.
Programmering kom lidt ved et tilfælde, siger Ann. Hun havde rodet med det i fritiden, men
det var først da hun fik programmering på skemaet i studiet, at hun opdagede hvor hurtigt,
man kunne begynde at bruge det, man lærte. Faktisk siger Ann, at man bare skal kaste sig
ud i det og prøve et programmeringssprog. Hun anbefaler til alle interesserede at gå online
og prøve nogle gratis kurser, for eksempel Codecademy. Man kan starte med et af de
nemmere sprog som Python, men det vigtigste er at have gå-på- mod. Hvis man er helt ny og
vil lære principperne i at programmere, kan man også prøve at lege med Scratch.

De gode og de onde

Der findes gode og onde hackere. De hackere, hvis formål det er at skade andre og
ødelægge data kaldes “Black Hat Hackere”. De gode kaldes naturligvis ”White Hat Hackere”.

Hvordan ser du dig selv som en white hat hacker?

En white hat hacker for at forbedre ting – de gør det ikke for at ødelægge ting, eller for egen
personlig vindings skyld. White hats indhenter tilladelse fra dem, der bliver hacket, og
hjælper med at lukke sikkerhedshuller. Jeg arbejder helt klart for at gøre verden til et bedre
sted, uanset om jeg sidder med hacking eller andre opgaver.
En hacker er dog ikke kun én, der laver noget med computere. En hacker er nysgerrig og vil
hele tiden finde ud af, hvordan tingene virker, og hvordan de kan ændres eller forbedres. Det
kan være digitalt, men også alt muligt andet, for eksempel er der mange, der ”hacker” møbler
fra Ikea til nye, spændende formål. Det er mere en tilgang til verden, og det er
nysgerrigheden, der frem for alt driver dig. Selv har jeg rigtig meget at lære – også på flere
områder end hacking. Derfor vil jeg også hellere kaldes it-sikkerhedsnørd end white hat
hacker.

Der er også en del, der tror at denne del af it-sikkerhedsbranchen ikke er noget for piger,
men der vil man hurtigt blive overrasket – nogle af de bedste i branchen er piger, og bag en
computerskærm er det ikke kønnet, der bestemmer hvad du kan, det er din viden,
kompetencer og din vilje til at lære.

Hacking er også hverdag

Hvordan er din arbejdsdag?

Som graduate har jeg arbejdet med it-sikkerhed fra mange forskellige vinkler. I de perioder,
hvor jeg har arbejdet med hacking, sidder jeg til dagligt og opdager huller for kunder. Det kan
for eksempel være på et website, hvor der er et sikkerhedshul, som gør at ondsindede
hackere kan ødelægge sitet eller trække data ud. Vores kunder er for eksempel offentlige
kunder eller lægemiddelvirksomheder som Novo Nordisk – de prioriterer ofte sikkerhed
enormt højt, fordi det handler om folks helbred og liv. Vi kombinerer oftest med værktøjer,
der for eksempel scanner for sårbarheder, og så arbejder vi med risikovurderinger for,
hvornår en sårbarhed er kritisk. Jobbet er meget kreativ problemløsning, for vi har ikke
svarene på forhånd.

Det er desuden vigtigt at arbejde med it-sikkerhed fra flere vinkler. For eksempel laver vi
også træningsmateriale til udviklere for at klæde dem rigtigt på omkring sikkerhed og risici,
og tænke sikkerhed ind fra starten når de udvikler.

Arbejdet har også en anden effekt på hverdagen: jo mere du arbejder med it-sikkerhed, jo
mere småparanoid bliver du også. Det gør du, fordi du jo hele tiden skal sætte dig i
hackerens sted og prøve at forudse det værste, der kan ske, så du kan give dem kamp til
stregen. Et eksempel på dén små-paranoia er den chip, vi har i vores dankort: der er reelt en
risiko for, at den kan blive scannet af en dankortlæser, mens jeg står i metroen – så jeg
sørger for at blokere for signalet, så længe kortet er i min pung.

Beskyt skattekisten

I it-sikkerhed snakker Ann om ”blåt team” og ”rødt team”, som har forskellige roller. Begge
teams skal prøve at sætte sig ind i, hvordan en angriber tænker, og målet er at beskytte
skattekisten – altså systemer og data.
Det røde team er angriberne, som skal prøve at komme ind til skattekisten. Det er for
eksempel white hat hackerne, som leder efter huller. Det blå team er forsvarsholdet, som
skal forsvare skattekisten. Det gør de for eksempel ved at sætte firewalls op, styre adgange
og holde øje med mistænkelig aktivitet.
Det er sjovt at sætte spilleregler op og finde sårbarheder, men Ann fortæller, at hun lige så
gerne sidder på forsvarsholdet.
Ann fortæller derudover, at hun rigtig godt kan lide, når de sætter et ‘hackathon’ op i NNIT.
Så sidder de sammen hen over weekenden og øver forskellige værktøjer og spiller spil for at
få nye idéer og lære, både som angribere og som forsvarere. For eksempel gennem Capture
The Flag (CTF) spil (se links i bunden af denne artikel).

Detektivarbejde

Hvad har været den sjoveste opgave, du har været med til?

Det er sjovest når der går detektivarbejde i opgaven, og jeg skal løse et nyt problem. Det kan
være når jeg prøver at finde sikkerhedshuller, men det er også når jeg sidder med udvikling
og prøver at få koden til at virke, eller prøver at løse et problem i arkitekturen. Jeg har for
eksempel været med til at sætte et system op, der styrer adgange. Det sidder som en
blæksprutte med sine lange arme ned i alle mulige systemer, og man støder på en masse
problemer, der skal løses, når man skal have sådan én til at passe ind i en virksomheds
miljø.

Specialistviden

Hvad motiverer dig på daglige basis?

Dét at blive bedre og tilegne mig specialviden, der kan hjælpe kunden. Det er fedt at kunne
finde og hjælpe med at udbedre de risici i kundens system, som kunden ikke selv ved
eksisterer, eller ikke ved hvordan de bedst kan løse.
I NNITs graduate program har jeg desuden mulighed for at nørde en hel masse, møde
mange forskellige mennesker og samarbejde globalt. Jeg arbejder for eksempel med
kolleger fra Kina, Filippinerne, Tjekkiet og mange andre lande. Det er fedt, at vi er mange på
samme program, som arbejder på tværs i hele firmaet. Vi har et rigtig godt sammenhold, og
tager også på ferier med hinanden.

Fremtidens job

Hvad er din anbefaling til andre, der gerne vil være white hat hackere?

Du kan sådan set begynde når som helst. Det handler om at være nysgerrig og blive ved.
Start med at lære principperne i programmering (for eksempel gennem websites som
Codecademy) og prøv kræfter med en masse Capture The Flag (CTF) spil, der kan lære dig
at finde faldgruber i systemer (se links i bunden af denne artikel). Her er du også sikker på,
at du har tilladelse til at prøve at finde og udnytte sikkerhedshuller.

Husk altid at sørge for at have tilladelse fra dem, du prøver at hacke!

For børn og unge, der er interesserede i IT, vil jeg også gerne fremhæve, at NNIT har en
skoleservice for folkeskoleklasser: Vi er meget opmærksomme på, at vi skal støtte børn og
unge i deres interesse i IT. Vi har brug for en masse specialister i fremtiden, så vi vil gerne
hjælpe med at fremme dén interesse.

 

Bonus Info

• Ann bruger PIA som sin VPN
• Hvis man kan engelsk og vil snuse til hacking, anbefaler Ann dette kursus ”Hack
  Yourself First” af Troy Hunt – her kan man også afprøve de ting, man lærer, på et
  usikkert website til formålet.
• Vil du vide mere om NNIT og deres graduate program, kan du læse mere her
  Hvis du vil prøve kræfter med Capture The Flag (CTF) spil, kan Ann anbefale at starte
  med nogle af disse (alle på engelsk):
  https://overthewire.org/wargames/
  https://www.vulnhub.com/
  https://www.root-me.org/?lang=en

Lavet af Mia Meldgaard