21.12.2017
5 min læsetid

Lone er nødt til at tænke og agere som en hacker i sit arbejde

Lone Juul Dransfeldt Christensen er certificeret etisk hacker hos NNIT og arbejder med at beskytte it-systemer, som kan betyde forskellen på liv og død. Hun er drevet af den intellektuelle udfordring, det giver at overvinde eller omgå begrænsninger

Rene Pedersen

af Rene Pedersen

For Lone Juul Dransfeldt Christensen, der arbejder som certificeret hacker, er det drivkraften i arbejdet at blive kastet ud på dybt vand og blive tvunget til at tænke kreativt.

Hackeren er i informationssamfundet en næsten mytisk figur. Ofte tydeligt karikeret som en ondskabsfuld computerekspert, der ønsker at stjæle følsomme oplysninger eller gøre skade på et it-system. Og næsten lige så ofte ubehjælpsomt symboliseret i diverse illustrationer til artikler som en “bad guy” med elefanthue eller slyngelbriller samt kojern og tydeligt ondsindede hensigter.

Men som så meget andet i livet, er der flere sider af sagen. Og der findes også hackere med helt andre hensigter - og som arbejder med at spotte sikkerhedshuller for at lukke dem og ikke misbruge dem. De såkaldte etiske hackere. Sådan en hacker er Lone Juul Dransfeldt Christensen, der arbejder hos NNIT. Her er hun med til at sikre life science-industriens kostbare it-systemer, der behandler data, der kan have kolossal betydning for folks helbred og tilværelse.

“Hvis man kigger på center for cybersikkerheds nye trusselsbillede så står der direkte, at forskningstunge og højteknologiske virksomheder, som dem vi arbejder for, er særligt, udsatte” siger Lone Juul Dransfeldt Christensen og uddyber:

“Det er virksomheder som Novo Nordisk og Leo Pharma med fokus på forskning og udvikling, da der er stor værdi i den information og viden, de har. Så det er generelt en udsat industri”.

Samtidig arbejder NNIT tæt med life science-industrien, som har systemer, der helt bogstaveligt talt kan føre til forskellen på liv og død, hvis der som eksempel bliver tilføjet forkerte data, og det fører til, at medicinen der anvendes ikke er under kontrol. Så sikre systemer er helt afgørende.

“Jeg arbejder bl.a. med systemer til kliniske forsøg, hvor medicin testes på mennesker. Og hvis der sker noget med medicinen, så den er uden for det range, hvor man ved, at den er okay, og det ikke afspejles i dataen, så kan man ende i en situation hvor man giver medicinen, og hvor man ikke har styr på konsekvenserne af det, der kan ske,” siger hun.

Sikkerhed bør tænkes ind fra start

Lone Juul Dransfeldt Christensen arbejder som solution architect med fokus på applikationssikkerhed og er med til at skabe et nyt område under Life Science Solutions i NNIT, der hedder Application Security and Compliance.
Inden for life science-industrien er der et hav af love og regler, som virksomhederne skal leve op til fra både EU og USA, og da NNIT arbejder med verdensomspændende virksomheder, bliver billedet komplekst. 

“Så vi integrerer compliance med sikkerhed, fordi det ligger hinanden meget nært. Mange af de ting, der stilles krav til i regulativerne, stiller krav til sikkerhed, så hvis man overvejer de ting samtidig, kan man spare penge ved at løse opgaverne sammen,” siger Lone Juul Dransfeldt Christensen.

En af de store opgaver her er at vende rundt på prioriteringen af sikkerhed, så det ikke længere er et lag, man forventer, der kan løses af infrastrukturen, når det er færdigt. Og det er lidt af en udfordring i branchen generelt.

“Man er vant til at udvikle og så tænke sikkerhed som noget, man propper på rundt omkring. Jeg er del af en ændring, hvor vi siger, at denne tilgang ikke skaber et særligt højt sikkerhedsniveau. De fleste angreb sker på applikationslaget, så derfor er det rigtig vigtigt, at man på lige præcis applikationslaget går ind og kigger på sikkerhed og ikke tror, at man kan bygge en infrastruktur-mur rundt omkring, og så er det hele fint,” siger hun.

Så en simpel pointe er, at hvis man tænker sikkerhed ind allerede, når applikationslaget bliver bygget, både i krav, design, implementering og test, så bliver det både sikre og meget billigere.

“En af de største trusler er injections. Det kan være sql-injections i indtastningsfelter, og hvis du ikke får bygget din validering korrekt ind i dit design og skal til at rette det efterfølgende, bliver det rigtig dyrt. For det første skal du identificere svagheden, hvilket kan gøres ved at lave en pen test (penetration test). Eller også skal du skal du gennemføre et kode review, hvor hele kodenanalyseres. Så man skal et kæmpe analysearbejde igennem for at finde ud af, hvor det brister. Og det analysearbejde er rigtig dyrt,” siger Lone Juul Dransfeldt Christensen

Så kan prioriteringen af sikkerhed vendes på hovedet, og kan det blive en standardiseret tilgang, vil det forhåbentlig også føre til en bedre og mere all-around sikring.

USB-devices er grundlæggende usikre

Et eksempel på den kreativitet, som ondsindede hackere besidder, er udnyttelsen af USB-devices. Lone Juul Dransfeldt Christensen fortæller, at det fx kan være en barcode scanner, som man bruger i laboratoriet til at scanne stregkoder i både laboratoriet og produktionen. Men som det fx blev udstillet i 2014 med firmware-hacket BADUSB fra Security Research Labs, er USB-devices helt fundamentalt ikke sikre. Så hvis fx hackerne kan opdatere til en fjendtlig firmware på disse devices allerede, mens de er placeret på et lager eller undervejs i transporten, er det meget svært at opdage.

“Der er ikke nogen verificering eller validering af firmwaren. Og i firmwaren kan du så gå ind og sige, at det her device skal mountes, som det du har lyst til. Så hvis du vil mounte som et keyboard, gør den det, og så har du tastemuligheder og kan måske downloade et rootkit fra nettet,” siger hun.

På den måde kan du langsomt overtage systemet. For mange af denne type devices - som fx barcode-devices - er koblet direkte op i kernen af systemet. Og der er ikke umiddelbart metoder, hvor man kan verificere, at et device er angrebet. Derfor handler det i høj grad om at forhindre, at firmwaren bliver kompromitteret.

“Men for ikke at male fanden på væggen, handler det også om at sige, hvad er det for nogle krav et system skal stille til de folk, der udvikler devices. For der er muligheder,” siger Lone Juul Dransfeldt Christensen.

Hun peger på, at man fx kan beslutte, at firmwaren skal låses, så den ikke kan opdateres. Det er ikke en optimal situation, da man så heller ikke kan opdatere eventuelle fejl eller mangler. Men det kan være en bedre risiko at løbe. Alternativt kan man lave en almindelig hash-verificering af firmware i et miljø uden for computeren. Så snart man møder en firmware, der ikke er okay, så ved man så, at den computer er kompromitteret og må smides ud. Det er en meget lille pris at betale kontra de konsekvenser, der potentielt set er.

Tænk som en hacker

For Lone Juul Dransfeldt Christensen er en del af glæden ved jobbet, at det konstant kræver nye løsninger at følge med de kreative hackere, som næsten altid har første udspil.

“Jeg kan godt lide, at man bliver kastet ud på dybt vand. Så jeg skal hele tiden tænke kreativt og finde ud af, om der er andre muligheder, eller noget man har overset. Det er helt klart drivkraften for mig,” siger hun og fortsætter.

“Og sikkerhed dækker teknisk sindssygt bredt, for der kommer hele tiden ny teknolog, nye måder at gøre det på og nye værktøjer. Så jeg føler altid, at jeg kan blive udfordret, og det var måske noget af det, jeg savnede før, da jeg arbejdede med udvikling”.

De evige opgør med ondsindede computereksperter betyder også, at du som etisk hacker skal have stor teknisk dybde i forhold til forståelse af teknik og hvordan tingene fungerer. Det er den eneste måde, man kan tænke kreativt nok til at forhindre angreb. Til gengæld er det også lige præcis den challenge, som Lone Juul Dransfeldt Christensen sætter pris på.

“Går vi tilbage til den originale betydning af en hacker, Så handler det om at nyde den intellektuelle udfordring der er ved at kunne overvinde eller omgå begrænsninger. At du sidder overfor et system og siger, hvordan kan jeg få lov at gøre det, jeg gerne vil? Hvordan kan jeg omgå de begrænsninger, der er?” siger hun

Lone Juul Dransfeldt Christensen har taget en uddannelse som certificeret etisk hacker (CEH), men én ting er ifølge Lone Juul Dransfeldt Christensen en uddannelse, der sætter emnet på formel og i system, men du kommer ingen vegne uden en helt grundlæggende passion for emnet og nysgerrighed. Og hvis nysgerrigheden ligger i dig, så vil du også helt naturligt prøve at bryde ting.

“Da mine forældre fik den første computer, prøvede jeg lave virtuelle ram, selv om jeg ikke vidste, hvad det var. Og jeg prøvede at komme ud over begrænsninger i den computer og udfordre den på alle parametre. Og det er den måde, man lærer det på,” siger hun

Derudover er det helt afgørende at holde sig skarp i fritiden, fortæller hun. Det sker blandt andet ved at spille “capture the flag” i fritiden. Her kan man downloade virtuelle miljøer, som er skabt til at hacke på helt lovlig vis, og så kan man ellers udfordre ligesindede i hold.

“Og så sidder man og skyder mod dem og ser på, hvordan man kan komme ind. Og så holder man sine tanker og sin kreativitet ved lige,” siger hun.

Capture the flag er en bred betegnelse af spil, hvor man - som navnet antyder - skal stjæle modstandernes flag. Og inden for it-sikkerhed handler det i høj grad om at plante flag i et websystem ved at finde fejl. Fejlene i systemet kan være alt fra SQL-injection til buffer overflows eller simple konfigurations-problemer.

“Så går man ind og tænker, okay, hvis jeg har lyst til at få fat på de her data, og jeg har det her interface, hvad kan jeg så gøre? Kan jeg fx komme ind med et standard password eller lave et brute-force attack,” siger hun og fortsætter.

“Lidt som med USB-eksemplet. Man går ind og ser på, hvad er det for et miljø de har. Man kigger ikke kun på den applikation, man udvikler. Man bliver nødt til at kigge på det miljø, der er omkring. De bruger det her device som bliver shippet fra Kina og inden det bliver shippet, er det i et varehus uden sikkerhed. Så der kan jeg bryde ind åbne nogle pakker og lægge mit firmware på, shippe det og så kommer det til at lande et eller andet sted”.

Cybersikkerhed oversigt

Her kan du finde tilbage til oversigten over temaet, Cybersikkerhed: 

Find tilbage til Cybersikkerhed