Förutom att hacka företag så arbetar Linus Kvarnhammar också med att utbilda bland annat utvecklare och testare inom webbapplikationssäkerhet, sårbarheter och åtgärder man kan vidta för att undvika att bli hackad.
Linus Kvarnhammar har arbetat som Cybersäkerhetskonsult/Etisk hackare i över tio år. Han berättar att under en vanlig arbetsdag så sitter han och hackar sig in i olika organisationers nätverk och applikationer, så kallade penetrationstester, för att hitta de brister som kriminella hackare kan ta sig in genom.
– När jag startade mitt företag, år 2017, var jag ganska ensam, men nu är vi ett gäng på 7 – 8 personer med egna bolag som samarbetar ibland och gör de delar vi är bäst på, säger Linus.
Sårbarheter
Det kan finnas olika vägar in för en hackare. Oftast sker en hackerattack via webben men Linus berättar att det finns företag som blivit uppringda på telefon och när hackaren har etablerat ett förtroende så får man ett e-mail med en fil som man ombeds öppna, och klickar man på filen så har man öppnat dörren för hackaren.
– Det är bland annat för att undvika att sådant händer som företag bör ha processer för sitt säkerhetsarbete, säger Linus.
De vanligaste sårbarheterna Linus stöter på har att göra med inloggning och accesskontroll. Det vill säga när en användare loggar in och identifierar sig och vilka behörigheter en användare har. Där finns mycket preventivt arbete i form av utbildning som kan göras menar han.
– Till exempel är användarkontot du har i ditt arbete en master-key till din ”jobbidentitet”. Därför bör alla anställda veta att det lösenord du använder till ditt jobbkonto, det får du inte använda någon annanstans. Att använda sitt husdjurs namn, eller Sommar2021 är till exempel inte en bra idé då det kan vara enkelt att för hackaren att lista ut.
– Det är inte heller ovanligt att när jag loggar in på en hemsida, chattar med kundtjänst och sen går tillbaka i historiken för att läsa de meddelanden som är till och från mig, så kan jag se all historik, alltså även den dialog som kundtjänsten har haft med andra personer. Det handlar om accesskontroll och är ett hantverk som sker i utvecklingen då det är utvecklaren som sätter vilken behörighet vilken användare ska ha.
Säkerhetshot som trendar 2022
En tydlig trend menar Linus är att vi kommer att se mer av så kallade ransomware-attacker. Dessa attacker har utvecklats genom åren från att ha varit något som drabbar en enskild maskin/dator till att en hel organisation blir hackad över en natt. Ransomware innebär kort att dina filer blir hackade och krypteras och för att du ska få krypteringsnyckeln för att återställa dina filer måste du betala en lösensumma till hackarna.
– De som utför ransomware-attacker nu är stora kriminella nätverk som omsätter miljardbelopp, berättar Linus. När en organisation har blivit utsatt för en ransomware-attack kan man välja att betala det som hackarna kräver eller så får man återställa från back up, vilket innebär att du i princip får bygga en helt ny IT-infrastruktur för att vara säker på att angriparna är utkastade. Om du väljer att inte betala så kan hackarna dessutom läcka ut den information de har tagit från dig och publicera den på internet.
Linus gissar också att insider-hot kan öka i framtiden. Till exempel om någon blir arg på sin arbetsgivare så kommer den personen kanske kunna byta information om sitt användarkonto och ett VPN-inlogg mot en stor summa i Bitcoin, vilket blir nästintill omöjligt att spåra.
– Man har förr pratat om ”grumpy employee”, att en anställd som är missnöjd vill hämnas på sin arbetsgivare, men då har man inte kunnat tjäna pengar på det sättet. Så jag tror att insider-brott kommer bli mer lukrativt i framtiden.
Undvika risker – prevent, detect, respond
Många företag som har varit med länge har en intern IT-miljö som litar på alla sina datorer. Linus berättar att om han får tag på en dator som är kopplad till ett företag och kommer in på företagets nätverk så kan han ofta ta kontroll över allting på en dag. Det beror helt enkelt på att man inte har säkrat upp systemet på insidan, man har bara satt upp nya maskiner, simpla lösenord och mappar som alla kommer åt, för att det är enklast så.
– Om en hackare tar sig in på ett internt nätverk så är det oftast inte svårt för hackaren att hitta filer och lösenord för att kunna jobba sig in och ta över kontrollen.
När det gäller moderna molnlösningar så bygger man dem mer utifrån att den applikationen bara ska få prata med den applikationen och så vidare, medan internt så pratar alla med alla.
– Man kan behöva bygga lite skyddsmurar även internt och man bör tänka att det interna nätverket är lite som internet, du ska bara ha tillgång till det du behöver för att göra ditt jobb, varken mer eller mindre. Då har man minimerat risken för att någon kan bli den ”onda insidern”, menar Linus.
– Försök att tänka, prevent, detect, respond. I första hand, förhindra att skada uppstår, minimera behörighet. I andra hand, upptäck skadan så snart som möjligt för att kunna begränsa problemet. Och i tredje hand, gör något åt skadan som har skett, ha ett internt säkerhetsteam, specialister ”on call” eller varför inte ett gäng före-detta poliser som kan rycka ut med helikopter och fira ner sig framför hackarna, säger Linus med glimten i ögat.
Att ha en säker utveckling är kanske ingen trend men den är viktig även om medvetandet har blivit större och många satsar mer inom det området nu. När man utvecklar är det mycket man ska ha koll på, inte bara sina egna applikationer, utan även de tredjepartsberoendena som man använder sig av.
– Många tredjepartsberoenden är byggda av eldsjälar och har gratis källkod och när vi testar våra egna applikationer så glömmer vi att testa tredjepartsberoendena. Man arbetar inte aktivt med sina beroenden, man litar på att det funkar. Men jag anser att man måste skanna och göra säkerhetskontroller på tredjepartsberoendena, precis som man gör på sina egna applikationer, säger Linus.
Säker utveckling – en grundförutsättning
Att tänka säkerhet redan i utvecklingsfasen är viktigt. En applikation är ofta det som är öppet för angriparen och vad du än lägger för teknik och skydd runt den, så har du ändå en applikation som är där och serverar data. Därför behöver den alltid vara säker från början, oavsett om du använder Azure, AWS, GCP eller någon annan plattform.
– Det kan vara lätt att tro att man har en säkrare lösning när man byter till en molntjänst. Men då behöver man lära sig om hur säkerhet fungerar i molnet. Molnet har många bättre säkerhetsfunktioner men det är också en ny plattform som medför andra krav för dig som användare, säger Linus.
Ali Issa är utvecklingsansvarig på Hogia. Han berättar att Hogia satsar stort på säkerhetsområdet och att få ta del av Linus Kvarnhammars kunskap och erfarenhet är en del av satsningen och mycket givande för utvecklingsteamet på Hogia.
– Vi arbetar proaktivt med säkerhet och det är oerhört viktigt att vi ständigt strävar efter att bli mer säkerhetsmedvetna, det vill säga att vi alltid håller koll på vilka risker som finns och förstår hur vi kan minimera dem med hjälp av diverse processer och säkerhetsmekanismer, berättar Ali. Att kompetensutveckla vår personal och samtidigt få säkrare system är en win-win för alla.
Ali Issa och Linus Kvarnhammar.
– Fram tills idag så har fokus på säkerhet varit väldigt litet i de utvecklarutbildningar som finns. Men i takt med allt fler hackerattacker sker så har man insett hur viktigt det är och därför har utbudet av kurser och utbildningar ökat.
Men Ali poängterar också att säkerhet är ett område som man måste arbeta kontinuerligt med eftersom inget är beständigt, det kan dyka upp nya hot nästan varje dag.
Professionell hackare – ett roligt jobb
Linus berättar att det roligaste med att vara etisk, eller professionell hackare som han uttrycker det, är att man får förstöra och göra sönder och man får göra saker som man egentligen inte får göra.
– Jag gillar boxning, och det är lite som att vara en professionell fighter, att få betalt för att slåss. Man lär sig om nya applikationer och domäner hela tiden. Och man får lära sig hur beroende samhället är av säker IT-infrastruktur. Jag har till exempel suttit och tittat på när miljardbelopp överförs, det är coolt tycker jag, avslutar Linus.
Se TV-serien Hackad med bland annat Linus Kvarnhammar på SVT-play.
