Artikel top billede

Sådan bliver du hacker på under en uge

På seks dage kan du blive undervist og indført i brugen af detaljerede hacking-værktøjer og -teknikker hos en stor amerikansk kursusudbyder. Hvad er meningen med galskaben?

Etik og hacking.

Umiddelbart er det sjældent, at de to ord går hånd i hånd, men sådan er det hos det privatejede amerikanske selskab Sans Institute, der sælger kurser vedrørende sikkerhedstræning.

Kursisterne hos Sans Institute lærer blandt andet at bryde ind på netværk og i webapplikationer samt lægge hjemmesider ned med DDoS-angreb.

Meningen med galskaben er at ruste kursisterne, som typisk er professionelle sikkerhedsfolk, til at forstå og ikke mindst modstå rigtige hackerangreb fra ondsindede it-kriminelle ude i den virkelige verden.

"De cyberkriminelle er meget veludstyrede, og der er i de seneste år kommet rigtig mange værktøjer på markedet, som de kan benytte sig af til blandt andet DDoS-angreb," fortæller James Lyne, der er Sans-direktør og til dagligt er ansvarlig for teknologistrategi hos sikkerhedsselskabet Sophos.

Han forklarer til Computerworld, at etisk hacking er nødvendig for, at sikkerhedsansvarlige blandt lærer at vurdere anti-DDoS-produkter, identificere angreb og mulige bagdøre i deres respektive virksomheders it-infrastruktur.

"Folk skulle gerne komme ud af kurserne med en detaljeret forståelse for, hvordan man kan imødegå hackerangreb," lyder det fra James Lyne.

Hacker-uddannelsen kan misbruges

Sans Institute har haft omkring 100.000 kursister igennem sine omkring 60 sikkerhedskurser, hvoraf fire direkte handler om etisk hacking, målrettet sikkerhedsfolk med hænderne på netværkswitches og anden it-infrastruktur.

Den slags kurser varer seks dage og indeholder blandt andet praktiske øvelser i hacker- og DDoS-angreb, og her er det alt fra politifolk til sikkerhedsfolk i især finans- og den offentlige sektor, som betaler kursusprisen på omkring 30.000 kroner.

James Lyne erkender, at visse kurser hos Sans institute udruster kursisterne med værktøjer og en grundig indsigt i, hvordan de selv kan udføre et rigtigt hackerangreb mod forskellige styresystemer på både pc'er og på mobilen og igennem netværk, web-apps og servere.

"Jeg mener dog, at alternativet med et stigende antal hackere og uvidende sikkerhedsfolk er meget værre, Folk skal vide, at hackerværktøjerne er derude, og at hackerne er alle steder," siger James Lyne, som selv underviser i et kursus, hvor folk lærer om hackerteknikker, sårbarheder og sikkerhedshåndtering.

Så mange Sans-kursister har misbrugt deres viden

På dette kursus bliver der eksempelvis fortalt om de 250.000 ondsindede kodestumper, der dagligt bliver fabrikeret og genbrugt på nettet mod 6.000 i 2009, og om hackernes tankegang mod det endelige mål - at stjæle penge, informationer og smadre forretningen.

"Du kan helt sikkert lære en masse om cyberkriminalitet hos os, men du kan på ingen måde blive en avanceret hacker. Den slags kræver mange års erfaring og et naturtalent," bedyrer James Lyne.

Ja, vi er paranoide

Han fortæller, at sikkerhedstræningskurset har modtaget 146 rapporteringer om tidligere kursister, der har misbrugt deres tillærte evner til eksempelvis at sniffe netværkstrafik på konferencer, hvilket er i strid med det etiske kodeks, som kursisterne bliver briefet om inden kurset.

Sikkerhedsunderviseren afviser dog kendskab til, at tidligere kursister har brugt deres nye evner til at begå storstilede netværksindbrud hos andre selskaber eller i netbanker.

"Vi er ret paranoide omkring den slags, så alle undervisere bliver instrueret i at rapportere, hvis nogen kursister stiller 'underlige spørgsmål', eller underviseren har en mistanke om, at en kursist udviser en besynderlig adfærd," fortæller James Lyne.

Han vender samtidig problematikken om:

"Måske skulle virksomhedsledere og it-ansvarlige også tænke sig ekstra godt om, når de hyrer nyuddannede folk til en lav løn til at administrere deres it-infrastruktur."

Beskyt alle 1.000 huller på en gang

James Lyne understreger, at det aldrig har været så nemt som nu at komme i gang med en cyberkriminel løbebane.

Det skyldes, at antallet af gratis/billige værktøjer aldrig har været højere, hvilket også gælder spredningen af ondsindet kode og niveauet for videndeling i de it-kriminelle miljøer. 

"Hvis du vil være slem, så er det nemt. Derimod er det straks sværere at være it-sikkerhedsansat. En angriber banker på 1.000 døre og skal bare igennem én af dem, mens sikkerhedsfolkene hele tiden skal holde øje med alle 1.000 døre på én gang," siger James Lyne.

Ud over Sans Institutes kurser, der blandt andet bliver afholdt forskellige steder i Europa, er der en del andre sikkerhedskurser som blandt andre CEH (Certified Ethical Hacking) og Offensive Securty, der underviser og certificerer i etisk hacking.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere