Hur lätt är det att bli hackad?

Publicerad: 2022-01-20

Innehåll

För Linus Kvarnhammar, känd från SVT-serien ”Hackad”, består vardagen bland annat av att hacka sig in på olika företag för att upptäcka brister och sårbarheter. Linus berättar om hur man kan arbeta förebyggande för att undvika risker och vilka säkerhetshot han ser kan dyka upp i framtiden.

Förutom att hacka företag så arbetar Linus Kvarnhammar också med att utbilda bland annat utvecklare och testare inom webbapplikationssäkerhet, sårbarheter och åtgärder man kan vidta för att undvika att bli hackad.

Linus Kvarnhammar har arbetat som Cybersäkerhetskonsult/Etisk hackare i över tio år. Han berättar att under en vanlig arbetsdag så sitter han och hackar sig in i olika organisationers nätverk och applikationer, så kallade penetrationstester, för att hitta de brister som kriminella hackare kan ta sig in genom.

– När jag startade mitt företag, år 2017, var jag ganska ensam, men nu är vi ett gäng på 7 – 8 personer med egna bolag som samarbetar ibland och gör de delar vi är bäst på, säger Linus.

Sårbarheter

Det kan finnas olika vägar in för en hackare. Oftast sker en hackerattack via webben men Linus berättar att det finns företag som blivit uppringda på telefon och när hackaren har etablerat ett förtroende så får man ett e-mail med en fil som man ombeds öppna, och klickar man på filen så har man öppnat dörren för hackaren.

– Det är bland annat för att undvika att sådant händer som företag bör ha processer för sitt säkerhetsarbete, säger Linus.

De vanligaste sårbarheterna Linus stöter på har att göra med inloggning och accesskontroll. Det vill säga när en användare loggar in och identifierar sig och vilka behörigheter en användare har. Där finns mycket preventivt arbete i form av utbildning som kan göras menar han.

– Till exempel är användarkontot du har i ditt arbete en master-key till din ”jobbidentitet”. Därför bör alla anställda veta att det lösenord du använder till ditt jobbkonto, det får du inte använda någon annanstans. Att använda sitt husdjurs namn, eller Sommar2021 är till exempel inte en bra idé då det kan vara enkelt att för hackaren att lista ut.

– Det är inte heller ovanligt att när jag loggar in på en hemsida, chattar med kundtjänst och sen går tillbaka i historiken för att läsa de meddelanden som är till och från mig, så kan jag se all historik, alltså även den dialog som kundtjänsten har haft med andra personer. Det handlar om accesskontroll och är ett hantverk som sker i utvecklingen då det är utvecklaren som sätter vilken behörighet vilken användare ska ha.

Säkerhetshot som trendar 2022

En tydlig trend menar Linus är att vi kommer att se mer av så kallade ransomware-attacker. Dessa attacker har utvecklats genom åren från att ha varit något som drabbar en enskild maskin/dator till att en hel organisation blir hackad över en natt. Ransomware innebär kort att dina filer blir hackade och krypteras och för att du ska få krypteringsnyckeln för att återställa dina filer måste du betala en lösensumma till hackarna. 

– De som utför ransomware-attacker nu är stora kriminella nätverk som omsätter miljardbelopp, berättar Linus. När en organisation har blivit utsatt för en ransomware-attack kan man välja att betala det som hackarna kräver eller så får man återställa från back up, vilket innebär att du i princip får bygga en helt ny IT-infrastruktur för att vara säker på att angriparna är utkastade. Om du väljer att inte betala så kan hackarna dessutom läcka ut den information de har tagit från dig och publicera den på internet.

Linus gissar också att insider-hot kan öka i framtiden. Till exempel om någon blir arg på sin arbetsgivare så kommer den personen kanske kunna byta information om sitt användarkonto och ett VPN-inlogg mot en stor summa i Bitcoin, vilket blir nästintill omöjligt att spåra.

– Man har förr pratat om ”grumpy employee”, att en anställd som är missnöjd vill hämnas på sin arbetsgivare, men då har man inte kunnat tjäna pengar på det sättet. Så jag tror att insider-brott kommer bli mer lukrativt i framtiden.

Undvika risker – prevent, detect, respond

Många företag som har varit med länge har en intern IT-miljö som litar på alla sina datorer. Linus berättar att om han får tag på en dator som är kopplad till ett företag och kommer in på företagets nätverk så kan han ofta ta kontroll över allting på en dag. Det beror helt enkelt på att man inte har säkrat upp systemet på insidan, man har bara satt upp nya maskiner, simpla lösenord och mappar som alla kommer åt, för att det är enklast så.

– Om en hackare tar sig in på ett internt nätverk så är det oftast inte svårt för hackaren att hitta filer och lösenord för att kunna jobba sig in och ta över kontrollen.

När det gäller moderna molnlösningar så bygger man dem mer utifrån att den applikationen bara ska få prata med den applikationen och så vidare, medan internt så pratar alla med alla.

– Man kan behöva bygga lite skyddsmurar även internt och man bör tänka att det interna nätverket är lite som internet, du ska bara ha tillgång till det du behöver för att göra ditt jobb, varken mer eller mindre. Då har man minimerat risken för att någon kan bli den ”onda insidern”, menar Linus.

– Försök att tänka, prevent, detect, respond. I första hand, förhindra att skada uppstår, minimera behörighet. I andra hand, upptäck skadan så snart som möjligt för att kunna begränsa problemet. Och i tredje hand, gör något åt skadan som har skett, ha ett internt säkerhetsteam, specialister ”on call” eller varför inte ett gäng före-detta poliser som kan rycka ut med helikopter och fira ner sig framför hackarna, säger Linus med glimten i ögat.

Att ha en säker utveckling är kanske ingen trend men den är viktig även om medvetandet har blivit större och många satsar mer inom det området nu. När man utvecklar är det mycket man ska ha koll på, inte bara sina egna applikationer, utan även de tredjepartsberoendena som man använder sig av.

– Många tredjepartsberoenden är byggda av eldsjälar och har gratis källkod och när vi testar våra egna applikationer så glömmer vi att testa tredjepartsberoendena. Man arbetar inte aktivt med sina beroenden, man litar på att det funkar. Men jag anser att man måste skanna och göra säkerhetskontroller på tredjepartsberoendena, precis som man gör på sina egna applikationer, säger Linus.

Säker utveckling – en grundförutsättning

Att tänka säkerhet redan i utvecklingsfasen är viktigt. En applikation är ofta det som är öppet för angriparen och vad du än lägger för teknik och skydd runt den, så har du ändå en applikation som är där och serverar data. Därför behöver den alltid vara säker från början, oavsett om du använder Azure, AWS, GCP eller någon annan plattform.

– Det kan vara lätt att tro att man har en säkrare lösning när man byter till en molntjänst. Men då behöver man lära sig om hur säkerhet fungerar i molnet. Molnet har många bättre säkerhetsfunktioner men det är också en ny plattform som medför andra krav för dig som användare, säger Linus.

Ali Issa är utvecklingsansvarig på Hogia. Han berättar att Hogia satsar stort på säkerhetsområdet och att få ta del av Linus Kvarnhammars kunskap och erfarenhet är en del av satsningen och mycket givande för utvecklingsteamet på Hogia.

– Vi arbetar proaktivt med säkerhet och det är oerhört viktigt att vi ständigt strävar efter att bli mer säkerhetsmedvetna, det vill säga att vi alltid håller koll på vilka risker som finns och förstår hur vi kan minimera dem med hjälp av diverse processer och säkerhetsmekanismer, berättar Ali. Att kompetensutveckla vår personal och samtidigt få säkrare system är en win-win för alla.

 

Ali Issa och Linus Kvarnhammar

Ali Issa och Linus Kvarnhammar.

 

– Fram tills idag så har fokus på säkerhet varit väldigt litet i de utvecklarutbildningar som finns. Men i takt med allt fler hackerattacker sker så har man insett hur viktigt det är och därför har utbudet av kurser och utbildningar ökat.

Men Ali poängterar också att säkerhet är ett område som man måste arbeta kontinuerligt med eftersom inget är beständigt, det kan dyka upp nya hot nästan varje dag.

Professionell hackare – ett roligt jobb

Linus berättar att det roligaste med att vara etisk, eller professionell hackare som han uttrycker det, är att man får förstöra och göra sönder och man får göra saker som man egentligen inte får göra.

– Jag gillar boxning, och det är lite som att vara en professionell fighter, att få betalt för att slåss. Man lär sig om nya applikationer och domäner hela tiden. Och man får lära sig hur beroende samhället är av säker IT-infrastruktur. Jag har till exempel suttit och tittat på när miljardbelopp överförs, det är coolt tycker jag, avslutar Linus.

Se TV-serien Hackad med bland annat Linus Kvarnhammar på SVT-play.

KUNSKAP & INSPIRATION
Hur vet du att ditt IT-system är säkert?

Hogias säkerhetsexperter berättar hur du kan vara trygg med att din IT-leverantör har koll på säkerheten.

Läs mer
KUNSKAP & INSPIRATION
Ny lag ger ökat skydd för visselblåsare

Organisationer med över 50 anställda ska ha säkra interna rapporteringskanaler och stärkt skydd för visselblåsare.

Läs mer
KUNSKAP & INSPIRATION
Vad ska man tänka på inför lönesamtalet?

Madeleine Nordqvist, löneexpert på Hogia, ger sina råd till både dig som är chef och till dig som är anställd.

Läs mer
KUNSKAP & INSPIRATION
Ta kontroll över ditt lärande

Vår HR-specialist, Johanna Axelsson, berättar om hur du ser till att du får kontinuerlig kompetensutveckling.

Läs mer