Artikel top billede

(Foto: Dan Jensen)

Man skal ikke skue hunden på hårene ... heller ikke sikkerhedseksperten

Klumme: Næste gang du møder en klassisk bodybuilder i camouflagetøj, baseball-hat og strop t-shirt, så pak dine antagelser væk. Du ved aldrig hvem du taler med. Virkelig kompetence kan komme i mange forklædninger.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Her den anden morgen mødte jeg en person nede i det lokale træningscenter. I begyndelsen var jeg meget i tvivl om, hvorvidt vedkommende rent faktisk talte sandt.

Han havde nemlig – helt spontant – fortalt om alle de fantastiske ting han lavede, inklusiv surfing, snowboarding, friklatring osv. Og så fortalte han, at han arbejdede med it-sikkerhed.

Jeg formoder, at mange læsere af denne klumme også var en del af it-branchen i 1990’erne. Og netop dengang var branchen præget af mange lykkeriddere, der basalt set ikke kunne kende forskel på en diskette og en 17” skærm. Og måske havde lidt svært ved at være sandfærdige.

Så jeg havde paraderne oppe. Og det vel vidende, at perception er lig virkelighed. Både i it-branchen og alle andre brancher i øvrigt. Så jeg gik straks i ”Investigative-mode”. Det er okay at lyve lidt, bare man så gør sig umage med at lyve ordentligt.

Diskotek for voksne

I øvrigt er et træningscenter et meget interessant sted og et helt studie i adfærdspsykologi og menneskelig interaktion. Nærmest et slags diskotek for voksne.

Jeg har overhørt mange sige ”hva’ så mester” og jeg tror, at det i virkeligheden drejer sig om, at man ikke aner hvad personen hedder, som man taler med. Eller for den sags skyld interesserer sig for, hvem man taler med.

Det kan også være en ren forglemmelse. Jeg siger af og til selv ”maestro” til en person, af den simple årsag, at jeg har glemt hvad vedkommende hedder. Men det er en helt anden historie.

Jeg er dog – modsat nogle statsledere – ikke nogen ekspert på området. Men jeg har dog hørt om - og beskrevet – nogle af it-sikkerhedens discipliner.

Så jeg spurgte om, han arbejdede med fraud management, pen-testing, authentication eller kryptering (det var lige de sikkerheds-discipliner, som jeg kunne komme på). Jeg spurgte også til CIA-modellen ('confidentiality, integrity and availability' eller på dansk 'fortrolighed, integritet og tilgængelighed').

Og så fik jeg ellers en lektion i it-sikkerhed.

Konklusionen var klar: Hvad jeg troede var en distanceblænder og en fantast, viste sig at være en rigtig ekspert i it-sikkerhed. I sandhed en Subject Matter Expert.

Så næste gang du møder en klassisk bodybuilder i camouflagetøj, baseball-hat og strop t-shirt, så pak dine antagelser væk. Du ved aldrig hvem du taler med. Virkelig kompetence kan komme i mange forklædninger.

Det her bør alle kende lidt til

Når vi nu er ved it-sikkerhed, så er der nogle begreber som alle it-folk bør kende lidt til.

Faktum er nemlig, at der ikke er langt fra at være komplet uvidende, til at lyde som en, der ved hvad der tales om. Så når snakken falder på cyber security, så bør du kende disse begreber:

- Phishing (eller spear phishing) er en disciplin, der går ud på at få godtroende internetbrugere eller virksomheder til at udlevere personoplysninger, adgangskoder, kreditkort- eller netbanksoplysninger etc. Hvor phishing er generaliseret, så er spear phishing individualiseret.

- Ransomware handler om at tage it-systemer som gidsel. I gamle dage tog man personer som gidsel. I vore data tager man it-systemer som gidsel.

- Malware er software eller kode, der bruges til at beskadige data, stjæle data eller overtage kontrollen med for eksempel en pc. Du har sikkert hørt om en computervirus, en computerorm, en trojansk hest, spyware, adware osv. Altsammen er malware.

- Hackere (black-hat, grey-hat og white-hat).
Hackere lever af skaffe sig uautoriseret adgang til it-systemer. Black-hat hackere er ondsindede, grey-hat hackere svinger begge veje og white-hat hackere er benigne.

- DoS (Denial-of-service eller DDos, som er Distributed Denial-of-service). Disciplinen går i sin enkelthed ud på, at sende så mange forespørgsler til en internetserver, således at denne bliver overbelastet og dermed ikke kan besvare reelle forespørgsler. Du har sikkert hørt om et såkaldt botnet, hvor man får mange computere – vel at mærke uvidende – til at udføre et Ddos angreb

- IPv4/IPv6. IP = Internet Protocol. IP er den protokol som al kommunikation på internettet er baseret på. Jeg har tit undret mig over, hvad der blev af IP v5. Det har aldrig været meningen, at IP v5 skulle implementeres globalt, og derfor er man hoppet direkte til Ipv6.

Langt det meste af internettet er stadig baseret på Ipv4, som er fra 70’erne og ved at løbe tør for addresser. Problemet med manglende addresser er løst i IPv6.

- MAC adresse. Alle netværksenheder har deres eget unikke serienummer, som man kalder en MAC-adresse. En MAC-adresse er brændt ind i hardwaren og kan stort set ikke ændres. De fleste større producenter har deres egen MAC adresse serie.

- Kryptering/dekryptering har man foretaget siden Julius Cæsars' tid. Det handler basalt set om, at gøre data ulæseligt for andet end afsender og modtager. Du har sikkert lagt mærke til, at din browser kan skifte fra HTTP (Hypertext Transfer Protocol) til HTTPS (Hypertext Transfer Protocol Secure). HTTPS er blot en krypteret udgave af HTTP.

- Warez er en fællesbetegnelse for film, musik og software.

- Sniffing er blot det, at tage en kopi af data, men ikke ødelægge denne.

Således oplyst.

It-sikkerhed er i øvrigt en helt separat it-disciplin. Nogle gange tror folk, at bare fordi man er i it-branchen, så må man jo vide alt om alting.

Faktum er bare, at it-branchen i mange år har været multifacettet og det at vide noget om .NET-programmering er altså ikke det samme som at vide noget om print.

Faktum er også, at it-branchen hungrer efter gode sikkerhedsfolk. Så ved og kan du bare lidt om it-sikkerhed, så er du i øjeblikket garanteret beskæftigelse. Blandt de blinde er den enøjede konge.

Som jeg vist har skrevet tidligere, så skal man også være klar over, at der er kommet flere klassifikationer af it-kriminelle. Helt fra de glade amatører som lever højt på mantraet om, at ”There’s a sucker born every minute” til de professionelle – og ofte statssponsorerede – og meget tålmodige it-kriminelle.

Som en efterforsker fra kriminalpolitiet engang sagde, så er den primære opklaringsårsag, at gerningspersonen ikke er særligt klog eller udspekuleret.

Men hvis det er et helt land du er oppe imod, så er spillepladen helt anderledes. Hvis du nogensinde har undret dig over, hvorfor det danske politi er lang tid om at opklare it-kriminalitet, så er det fordi, at det er en avanceret disciplin.

Uanset hvad, så er det svageste led i it-sikkerhed altid mennesker. Mennesker er nemlig – desværre – meget nemme at narre.

Så når det kommer til mennesker og it-sikkerhed, så skal mennesker altså kontrolleres. Tænk på, at sådan et tårn i en lufthavn hedder et kontroltårn og ikke et tillidstårn af en grund.

It-sikkerhed er et våbenkapløb og en konstant kamp. Men med de rette værktøjer, kompetencer og kultur, så er det en kamp der kan udkæmpes og vindes.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.