Men i Peter Gründls profession er det også er en stor styrke at kunne overgå sig selv. I kapløbet om at finde potentielle sårbarheder i erhvervslivets IT-systemer skal det nødig være hackeren, der kommer først.
Trods sine kun 28 år har han allerede brugt og udviklet sin ekspertise på en stribe arbejdspladser i IT-sikkerhedsbranchen. Det skyldes dog snarere faktorer som fusioner og dotcom-rutschetur end rastløshed. Nu satser han på at blive adskillige år i sit nuværende job som assistent manager i revisions- og rådgivningsvirksomheden KPMG.
Her arbejder Peter Gründl med 31 kolleger i afdelingen IT Risk Management. Globalt har han 140.000 kolleger, hvoraf 2100 også arbejder med at sikre kunders systemer.
Peter Gründls arbejde består i at yde sikkerhedsrådgivning og lave penetrationstest. Han bliver med andre ord hyret som elektronisk indbrudstyv, der efter indbruddet gør det umuligt for andre at trænge ind.
Det kræver naturligvis vedholdende forskning og en særdeles opdateret viden. Peter Gründl bruger især nettet og konferencer til at holde sig ajour. Af og til støder han på de personer, hans job består i at bekæmpe: Hackere. Dem lærer han også noget af.
Peter Gründl fakta:
|
Hvad går din arbejdstid med?
Arbejdsdagen kan deles op i tre hovedområder:
1. Sikkerhed - her foretages konkrete penetrationstest og rådgivning.
2. Ajour - her holder jeg mig ajour med de nyeste bevægelser indenfor mit område.
3. Forskning - her forsøger jeg at finde nye sikkerhedsbrister i forskellige kommercielle produkter.
Hvad er det, der især er drivkraften for dig ved dit fag?
Kort sagt, så får jeg penge for at beskæftige mig med min hobby. Det er vel, hvad folk betegner som et "drømmejob". Kom jeg højere op i hierarkiet, ville det nok blive en smule for administrativt for min smag.
Hvad vil du gerne udrette med dit fag?
Et eller andet sted håber man vel på, at man kan hjælpe med at højne bevidstheden om de problemer, IT-netværk kan introducere. Jeg tror, det meste af glæden kommer fra den viden, at man hjælper andre. Noget i stil med DR's Flemming Leth.
Hvordan gik det til, at du blev sikkerhedsspecialist?
Ja, det gik nok galt, da jeg fik min første konsol spillemaskine, der kunne programmeres (det var i 1980). Da filmen Wargames så kom ud i 1983, var der ingen vej tilbage. Jeg var hooked.
Hvor mange timer bruger du på at opkvalificere dig om ugen ud af din samlede arbejdstid ?
Jeg har ikke nogen fast tidsplan. Det afhænger meget af, hvor mange opgaver, der er i løbet af ugen. Jeg plejer at fylde ud med en kombination af ajourføring og forskning. Det kan være alt fra en time om ugen til over 20 timer om ugen.
Hvor og hvordan opdaterer du din faglige viden - og hvilke kilder tyer du til?
Internettet er min primære informationskilde. Dette suppleres for eksempel med faglitteratur, hvis der er tale om specielle emner (PL/SQL, Sybase, VAX med mere). En gang om året afholdes konferencen black hat briefings, efterfulgt af Defcon. Disse er efter min mening de eneste ordentlige sikkerhedskonferencer, hvor alting ikke er overskygget af kommercielle interesser, så dem prøver jeg at nå til hvert år.
Hvordan kommer du på forkant på hackere?
Ved siden af de almindelige opgaver forsøger jeg selv at finde nye sikkerhedsbrister i forskellige produkter. Dette giver en utrolig indsigt i programmers opbygning og i, hvor potentielle sårbarheder kan findes. Dette er meget lig den måde, hvorpå nogle hackere "uddanner" sig selv. Forskellen er blot, at jeg samarbejder med producenten af programellet om at få lukket hullet og udsendt opdateringer, hvorimod hackere typisk arbejder i det skjulte og beholder informationen for dem selv.
De to vigtigste ting, man skal huske på er: hæk-mentalitet og småt-men-godt.
Hæk-mentalitet: ved at introducere så mange forhindringer som muligt for en mulig hacker, så vil man i langt de fleste tilfælde formå at irritere vedkommende nok til, at han finder sig et andet mål.
Småt-men-godt: sørg for at fjerne alt unødvendigt i systemet. Bare fordi der ikke er opdaget en sikkerhedsbrist i produktet, betyder det jo ikke, at der ikke er nogen. De to vira, Code Red og Nimda, er vel glimrende eksempler.
Hvad ligger der på dit natbord lige nu?
Det tætteste, jeg kan komme på et natbord, er vel min bogreol. Det sidste, jeg har læst der, er Ringenes Herre-trilogien.
Hvilke netværk deltager du i?
I dag eksisterer der et enormt forum på internettet, Bugtraq, og det er et af de steder, jeg frekventerer ofte for at få andres indspark til nye angrebsvinkler og metoder. Jeg sørger også selv for at bidrage med oplysninger på en forsvarlig måde, således at jeg ved, at informationsniveauet holdes på et "need-to-know" plan, og dermed er jeg med til at bestemme hvilket "spin", der sættes på opdagelsen. Man kan være stensikker på, at en anden finder samme sårbarhed. Det er blot et spørgsmål om tid. Så der er ingen grund til at tro, at fordi man ikke fortæller om den, så er den hellige grav velforvaret.
Netværker og vidensudveksler du også uformelt i andre sammenhænge?
Jeg må jo nok tilstå, at jeg aldrig tager sikkerhedshatten af, så en del af min samtale med venner og bekendte munder da gerne ud i "bit-snak". Jeg kan dog takke min kone for, at jeg ikke er så slem til det længere.
Er du nogensinde i kontakt med rigtige hackere - og kan du lære noget af dem?
Jeg tror, det er svært at definere, hvad en "rigtig" hacker er, men blandt andet til konferencen Defcon kommer der alle mulige typer, både fra den ene og den anden side af hegnet (loven). Jeg har da også haft e-mail korrespondance med folk, der kunne puttes i den kategori, efter at mine sikkerhedsbulletins er blevet postet på Bugtraq (www.securityfocus.com). I det øjeblik man sætter sig ned og siger, nu ved jeg alt, så er man færdig i IT-branchen. Der er ingen, der ved det hele. Dem, der påstår, at de gør, ved typisk ingenting. Jeg er altid åben for nye tanker, og det er da også min overbevisning, at det har hjulpet til at holde mig ved ilden i en meget skiftende og kompleks sektor.
Hvad ville du gerne bruge mere tid på at følge med i?
Jeg føler ikke, at jeg på nogen måde er presset eller stresset. Vores hold får meget frihed under ansvar, og det er jeg taknemlig for.
Hvilke muligheder for af skaffe ny viden har du valgt at prioritere fra?
Jeg læser ikke aviser eller computerblade, medmindre de er "online".
Hvor stor en rolle mener du, det spiller for din markedsværdi på jobmarkedet, hvordan og hvor meget du holder dig orienteret?
Min markedsværdi bekymrer mig ikke synderligt. Jeg laver det, jeg allerhelst vil, og jeg tror generelt ikke, det er svært for folk, der arbejder med deres hobby, at holde deres markedsværdi. Jeg har jo svært ved ikke at følge med, selv når jeg sidder der hjemme. Men mere generelt, så er det altafgørende, at man ikke sidder stille. Man behøver dog ikke gå og stresse over det til daglig.
Hvad ville der ske, hvis du brugte mindre af din tid på vidensopdatering?
Jeg ville nok kede mig gevaldigt.
Hvad går din fritid med?
Det meste af min fritid går med at slappe af sammen med familie og venner. Jeg vil meget gerne adskille arbejde og fritid, men da mit arbejde er så tæt knyttet til mine interesser, så må jeg jo indrømme, at det ikke er helt uset, at jeg sidder og læser nyhedsgrupper eller programmerer. Jeg holder dog meget af en tur på Zoologisk Museum eller i Eksperimentariet med min datter.
Kan du tage din sikkerhedshat af, når du holder fri?
Når man arbejder med sådan noget, som jeg gør, smitter det af på ens dagligdag. Jeg har for eksempel hardware firewall derhjemme. Mine tanker løber altid i retning af "hvad nu hvis", når jeg støder på noget IT rent privat. Et eksempel er de nye internet-køleskabe. Jeg har ikke set et endnu (ud over i TV-avisen), men kunne da ikke lade være med at spekulere på, hvem der ville få regningen, hvis køleskabet selv bestilte 9000 liter mælk.
Hvilke websteder besøger du jævnligt?
www.webopedia.com
archives.neohapsis.com
www.securityfocus.com
www.alldas.de
www.cw.dk
www.ing.dk
www.securitywatch.com
www.hackinthebox.org
www.hackersdigest.com
www.atstake.com/security_news
www.theregister.co.uk
www.wired.com/news/
forums.cheatlist.com
www.userfriendly.org
www.dilbert.com
packetstorm.widexs.nl
www.securiteam.com
Hjemmeside
www.ntsupport.dk (som desværre ikke er opdateret i et godt stykke tid, da jeg har travlt med min datter)
