Mød ITU’s etiske hackere
Hackere er ikke altid skumle typer, der er ude på at stjæle dine penge og private oplysninger. Etiske hackere bruger hackermetoder til at finde sårbarheder og forbedre sikkerheden i it-systemer. På IT-Universitetet mødes it-sikkerhedsinteresserede studerende og forskere en gang om ugen for at træne deres hacker-skills.
studielivit-sikkerhedUddannelse
Skrevet 18. april 2018 06:36 af Vibeke Arildsen
En sort drone pakket ind i flamingo letter fra et mødebordet en sen tirsdag eftermiddag på IT-Universitetet. Den hænger i luften og summer i nogle sekunder, før propellerne pludselig sætter ud og dronen styrter ned.
Steffan Eybye Christensen smiler veltilfreds. Det er ham, som har bragt dronens styresystem ud af spil med et par simple kommandoer på sin laptop.
Et af punkterne på dagsordenen til dagens møde i ITU’s etiske hackerklub er at finde sikkerhedshuller i dronen, som er en ældre og – har det vist sig – pivåben model.
Dronen er et eksempel på, hvordan deltagerne træner deres hackerfærdigheder i et afgrænset miljø, fortæller Alessandro Bruni, forsker i it-sikkerhed og grundlægger af gruppen.
Alessandro Bruni med dronen.
”Dronen styres via en app på telefonen, men kommunikationen mellem de to er ikke beskyttet. Det betyder, at man faktisk kan sende beskeder til dronen via en computer og overtage kontrollen med den eller simpelthen afbryde forbindelsen, så dronen bliver som en zombie i luften,” fortæller han.
Fokus på forbedring af sikkerheden
Formålet med den slags hackerøvelser er at lære færdighederne til at trænge ind i systemer.
De studerende kan bruge den viden, når de skal ud og udvikle softwaresystemer til it-produkter i den virkelige verden. Når man trænger ind i et system, lærer man hvilke mulige sårbarheder der findes i teknologien, og det er vigtigt, hvis man skal undgå selv at begå de samme fejl.
Alessandro Bruni, forsker i it-sikkerhed
”De studerende kan bruge den viden, når de skal ud og udvikle softwaresystemer til it-produkter i den virkelige verden. Når man trænger ind i et system, lærer man hvilke mulige sårbarheder der findes i teknologien, og det er vigtigt, hvis man skal undgå selv at begå de samme fejl,” siger Alessandro Bruni.
Som etiske hackere adskiller klubbens medlemmer sig fra de ondsindede hackere, som anvender lignende teknikker til fx at stjæle penge og informationer, ved at fokusere på at forbedre sikkerheden i it-systemer.
Alessandro Bruni understreger, at den etiske hackerklub typisk arbejder med gadgets som droner, som tilhører dem selv, og med såkaldte ’capture the flag’-øvelser, hvor man konkurrerer mod andre i it-sikkerhed. Skulle de støde på huller i andres systemer, overholder de princippet om ’responsible disclosure’, hvilket er det gængse etiske kodeks for white hat-hackere.
Her informerer man ejeren af systemet om sikkerhedshullet og giver dem samtidig værktøjerne til at fixe det. Kodekset foreskriver også, at man efter hullet bliver fixet offentligt informerer brugerne, så de kan reagere, hvis de for eksempel skal opgradere systemet eller skifte deres password.
Et træningslokale for forskere og studerende
I et hjørne af mødelokalet er lektor Carsten Schürmann i gang med at logge ind på en computer. Windows XP’s nostalgiske kendingsmelodi brager ud i rummet, og alle griner. Styresystemet bliver ikke længere opdateret og betragtes af it-sikkerhedsfolk som særdeles sårbart.
Carsten bruger som andre it-sikkerhedsforskere på IT-Universitetet hackerklubben som et træningslokale, hvor forskningsideer kan afprøves i uformelle rammer. I dag leder han sammen med en studerende efter ”ting, som ikke burde være der” på gammel amerikansk valgmaskine.
Amalie, som læser softwareudvikling på andet semester, bruger dagens møde til at arbejde på et studieprojekt til et it-sikkerhedskursus.
Hun fortæller, at hackerklubben åbnet hendes øjne for de fejl, man bør undgå, når man bygger systemer.
Jeg får rigtig meget ud af at komme i klubben i forhold til at finde ud af, hvilke sårbarheder, man skal holde øje med.
Amalie, studerende på Softwareudvikling
”Systemer er generelt ikke godt sikrede. For eksempel er dronen, vi arbejder med i dag, ikke sikret med nogen form for password. Jeg får rigtig meget ud af at komme i klubben i forhold til at finde ud af, hvilke sårbarheder, man skal holde øje med. Alle de små fejl skal jeg jo ud og fixe, jeg skal ikke ud og lave de samme fejl, når jeg begynder at lave min software,” siger hun.
Steffan Eybye Christensen – ham med dronen – ved allerede, at han vil arbejde med it-sikkerhed, når han er færdig med softwareudvikling-studiet:
”Jeg har allerede studiejob i et it-sikkerhedsfirma, og når jeg er færdig på uddannelsen, vil jeg gerne forsøge at blive en del af et red team, som en sådan nogle der bliver bestilt af virksomheder til at hacke deres systemer for at hjælpe dem med at rette op på eventuelle sikkerhedshuller,” siger han.
Vibeke Arildsen, presserådgiver, telefon 2555 0447, email viar@itu.dk