“Sådan hacker jeg din virksomhed”

10. september 2015

Jo flere dimser vi kobler på nettet, jo mere sårbare er vi over for hackere. F5 har spurgt en professionel hacker om, hvordan han ville bryde ind i din virksomhed

Om fem år vil der være flere maskiner på internettet, end der er mennesker, mener flere eksperter. Og kigger man på elektronikbranchen, ser den prognose ud til at holde stik.

På forbrugerelektronikmessen IFA, der løb af stablen i Berlin sidste uge, præsenterede SAMSUNG nemlig en vision om, at alle dine elektronikprodukter i dit hjem er internetforbundne og kommunikerer med hinanden i 2020. Systemet der skal understøtte dette kalder de for Smart Things Hub. I industrien har man i nogle år efterhånden også talt om erhvervspendanten til smarte hjem, nemlig industri 4.0, der kort fortalt dækker over, at vores industrirobotter taler sammen over det trådløse netværk. M2M (Maschine to maschine, red.)

Men hver gang en ny dims kommer på nettet, får potentielle hackere en ny mulighed for at bryde ind i dit system og bogstavelig talt låse dine døre op, åbne dine vinduer og tjekke din e-mail eller din kundedatabase. You name it.

Læs også: Analyse: Fællesskab trumfer ensomt geni

Hvordan bærer en hacker sig ad med at bryde ind i din virksomhed igennem alle de her dimser? Vi har spurgt Ulf Munkedal, der er sikkerhedspecialist og CEO i virksomheden Fortconsult. De hacker til dagligt store virksomheder for.. ja de store virksomheder selv. For tyve år siden var Ulf Munkedal med til at lægge grundstenene til internettet i Danmark, som han udtrykker det.

Hvilke dimser ville du gå efter først, hvis du skulle hacke dig ind i en virksomhed?

“Der er som regel nok at vælge imellem. Overalt i Danmark er der efterhånden dimser, der er internetopkoblede, har en protokol og er internetforberedte. Det er alt fra playstations, til fjernsyn, printere, trådløse netværk, vandpumper, kraftværker og relæstationer. Men det første jeg ville kigge efter, var nok om der var et trådøst netværk, og så ville jeg bruge nogle forskellige programmer for at se, hvad det er for en enhed og et system vi har med at gøre. Det hedder fingerprinting.

Hvor ville du gøre det?

Jamen, det kunne man gøre ude fra parkeringspladsen.

Hvornår hackede du dig første gang ind i en dims i en virksomhed?

Det er snart femten år siden. Det var dengang jeg selv sikkerhedstestede. Dér hackede jeg en printer. Jeg hackede firewallen og brød ind i virksomhedens system og printede et par sider på printeren og så, hvilke printjobs der lå på den.

Hvordan bryder man ind i en dims?

Når jeg ved hvilket system en enhed bruger, kan jeg tjekke hvilken version af systemet, der er installeret og finde ud af, om der er opdateringer af det system, som ikke er installeret på enheden. Og så ser jeg på, hvilke sårbarheder de seneste opdateringer skal beskytte imod. Manglende opdateringer er en af de typiske svagheder. Og så handler det om at sende nogle pakker, som systemet ikke kan tåle, så man bringer systemet i en fejltilstand. Der står rigtig mange routere ude i hjemmene, som tilhører internetudbyderne. De mangler ofte opdateringer, og så er de sårbare. Ofte er det jo praktisk umuligt for folk, at opdatere deres enheder hele tiden, og nogle gange, kan det slet ikke lade sig gøre at opdatere sit fjernsyn for eksempel.

Læs også: Din elpære kan være en it-trussel

Er der andre måder, at bryde ind på?

En anden typisk svaghed er, hvordan systemerne er sat op. Det kan sagtens være, at enheden er opdateret, men så slår brugerne en funktion til eller fra, så man for eksempel kan få adgang til administrationssiden af en router ude på internettet. Mange af de her internet of things-dimser har et website, hvor man kan logge på og indstille forskellige ting. tænde eller slukke for lyset, slå alarmer til og fra eller skrue op og ned for varmen. Men med trådløse netværk, kan det være svært at skjule de her sider fra udefrakommende, og man kan hurtigt komme til at lave en opsætningsfejl, der gør dit site offentligt tilgængeligt.

… og så er der passwords

Rigtig ofte er brugernavn og password ikke indstillet ordentligt, når de kommer fra fabrikken. Ofte er brugernavnet ‘admin’, og så er der ikke noget password, eller passwordet er ‘1234’ eller ‘0000’, der er standarden for bluetooth-produkter. Og det er der jo ikke nogen, der går ind og ændrer, når de får et nyt fjernsyn. Og det er svært for udbyderne at tvinge folk til det, fordi folk vil jo bare gerne bruge deres dims med det samme.

Har I en liste over typiske passwords?

Ja, vi har en liste, som vi altid prøver af. Koderne ‘1234’ og ‘password’ er ret populære. Og så kodeord, hvor bogstaverne står i rækkefølge på dit tastatur. For eksemepel ‘qwerty’ og ‘qwerty1234’.

Hvad er typisk det svageste punkt i en virksomhed?

Mennesker er stadig det svageste punkt, når det kommer til sikkerhed i en virksomhed. Hvis man vil teste sikkerheden, vil man typisk sende en mail til alle i virksomheden, med et link, som man får folk til at klikke på. Så kan man logge ind på deres computere og komme ind i systemet og på hjemmesiden. Det gør vi tit, for mange virksomheder er interesserede i at vide, om deres sikkerhedspolitiker rent faktisk bliver overholdt. I over 75 procent af tilfældene kommer vi ind i systemet efter få dages arbejde. Så det er den allerførste vej, jeg ville forsøge at komme ind. Men om tre til fem år ville jeg nok først gå igennem internetopkoblede ting.

Jesper Knudsen

Læs også

Har du fundet din praktikplads til næste semester?

F5 er en ung og ambitiøs virksomhed, som stræber efter at være Danmarks foretrukne leverandør indenfor lederudvikling. Vi har gennem de seneste 6 år samlet ca. 2000 ledere fra Danmarks største organisationer til sparring via netværksgrupper, foredrag, konferencer og...

læs mere

“I et eksternt netværk kan du tale frit”

Er man som leder medlem af et internt organisationsnetværk, kan det til tider være svært at tale rent ud af posen. Det mener Henriete Siff Thomsen, der er centerleder i Frederikssund Kommune. Hun føler, at der er et andet fortrolighedsrum i hendes netværk hos F5...

læs mere

“Intimitet er nøglen til lederskab”

Lederudvikling kommer i mange afskygninger, men der er stor forskel på udbyttet, mener Stefan Schlie, der er Head of WTG Engineering i Vattenfall. Han går både til workshops og konferencer, men peger på, at et netværk med kontinuitet og intimitet har mest at byde...

læs mere

Medlemskaber

Som medlem hos F5 er du altid på forkant med de nyeste trends og tendenser indenfor ledelse og lederudvikling. Vi samler nysgerrige og ambitiøse ledere, der har fokus på personlig udvikling gennem sparring og faglige diskussioner.

Vil du være med i et professionelt ledernetværk eller blot have adgang til alle vores konferencer og foredrag, så bliv klogere på dine muligheder her.

Se vores medlemskaber