Einn færasti hakkari heims kennir á Íslandi
Setja bókamerki
Dagana 21.-23. janúar mun einn færasti tölvuhakkari heims, Jason Haddix, leiða námskeið í Háskólanum í Reykjavík sem snýr að öryggisveikleikaleit í samstarfi við Defend Iceland.
Í samtali við mbl.is segir Jason að netárásir séu að aukast, geti valdið gífurlegu tjóni og tapi og að baki þeim standi vanalega þrjár tegundir af árásarmönnum.
Í tilkynningu frá Defend Iceland kemur fram að Jason sé með yfir 20 ára reynslu í netöryggi en auk þess hefur hann hlotið viðurkenningu sem einn fremsti sérfræðingur í villuveiðigáttum (Bug Bounty Platform).
Eru villuveiðigáttir þekkt leið til þess að virkja öryggissérfræðinga sem herma aðferðir tölvuhakkara við leit að öryggisveikleikum.
Læra hvernig eigi að koma í veg fyrir netárásir og gagnaleka
Á námskeiðinu verður einblínt á hvað fyrirtæki þurfa að tileinka sér eða uppfæra til þess að auka netöryggi sitt og koma í veg fyrir netárásir og gagnaleka.
Þátttakendur fá yfirgripsmikla yfirsýn yfir þá aðferðafræði sem árásaraðilar nota til að finna og nýta sér veikleika í kerfum fyrirtækja og hvernig þeir geta beitt þeim upplýsingum sem þeir finna gegn fyrirtækjunum.
Þá ber þess að geta að alþjóðleg fyrirtæki á borð við Apple, Microsoft, Google, KPMG, Deloitte, Amazon, Walmart og fleiri hafa reglulega nýtt sér námskeið og þekkingu Jason Haddix.
Prófessor beindi honum í átt að netöryggi
Haddix býr í Colorado-ríki í Bandaríkjunum með konu sinni og þremur börnum og var að njóta morgunsins þegar blaðamaður mbl.is náði af honum tali.
„Ég hef verið í netöryggis- og tölvuhakkarasamfélaginu síðan seint á unglingsaldri,“ segir Haddix og nefnir að hann hafi byrjað að taka áfanga í tölvunarfræði.
Hann hafi verið heppinn að fá prófessor sem beindi honum í þá átt sem endaði á að móta líf hans en hann benti Haddix á svokölluð rofpróf (penetration testing). Þannig er farið í prófun til að rjúfa t.d. varnir tölvukerfa og eldvarnarveggi og hjálpað fólki að verjast gegn því að brotist verði inn í kerfi þeirra.
„Þannig byrjaði þetta.“
Hakkaði banka, lánastofnanir og spilavíti
Eftir að hafa safnað reynslu í skólanum fór Haddix að starfa við viðfangsefnið hjá fyrirtæki sem heitir Redspin og er staðsett í Kaliforníuríki þar sem hann er uppalinn.
Segist hann hafa fengið góð tækifæri þar við fjárhagslegar stofnanir á borð við banka og lánafélög sem og spilavíti í þeim tilgangi að bæta kerfi þeirra og segist Haddix hafa mótast þar sem tölvuhakkari og ákveðið að fara að kenna.
„Ég fór að bjóða upp á námskeið þar sem ég var að kenna öðru fólki það sama af því þetta var frekar nýtt á þeim tíma.“
Einn fremsti villuveiðari heims
Hann hafi svo verið ráðinn til tölvufyrirtækisins Hewlett-Packard, flestum kunnugt sem HP, en fyrirtækið var á þeim tíma nýbúið að stofna ráðgjafadeild þar sem viðskiptavinum var boðið upp á rofpróf og alls kyns netöryggisþjónustu.
Þar starfaði Haddix í fimm ár áður en hann hélt til netöryggisfyrirtækisins BugCrowd og lýsir hann starfi sínu þar sem einu stærsta og mikilvægasta starfi sem hann hefur sinnt en þar er unnið með áðurnefnda villuveiðigátt. Var Haddix á þeim tíma einn fremsti villuveiðari í heiminum.
Lýsir hann starfinu þannig að fyrirtæki hafi samband til að fá að vita um alla veikleikana sem hægt sé að finna á vefsíðum þeirra eða í kerfum og borga þeim sem finna villur en ekki þurfi að borga hökkurunum ef ekkert finnst.
Færð þúsund hakkara til að skoða kerfið
Hve mikilvæg er þessi starfsemi á þessum tímum?
„Hún er gífurlega mikilvæg á þessum tímum. Nútíma öryggiskerfi þurfa að takast á við margt. En þú getur ekki fengið eins mikið magn af hæfni og eins mikið af fólki sem leitar að villum í vörunum þínum utan villuveiða í rauninni. Ef þú tekur þátt í villuveiðigátt þá færðu hundrað, ef ekki þúsund hakkara, sem eru að reyna að þéna pening, til þess að skoða síðuna þína og kerfið,“ segir Haddix og heldur áfram:
„Og af því að þú færð bara borgað ef þú raunverulega finnur eitthvað og ef það sem þú fannst hefur áhrif. Flestar villur sem þessir hakkarar finna enda á að vera villur sem hefðu getað valdið risastórum gagnalekum.“
Gat lesið kreditkortanúmer fólks
Hann nefnir að mikilvægir veikleikar, sem kallaðir eru P1 (Priority 1) villur, geta t.d. valdið því að tölvuþrjótar geti lesið gögn um neytendur fyrirtækja og hakkað þeirra innra kerfi.
Haddix er búinn að taka þátt í hundruð villuveiðiverkefnum en vill þó ekki nafngreina þau fyrirtæki sem hann heldur í sökum trúnaðar. Hann nefnir þó að hafa einu sinni sinnt verkefni fyrir stórt alþjóðlegt fyrirtæki þar sem hann gat brotist inn í símaappið á vegum fyrirtækisins og halað niður t.a.m. upplýsingum um hvern og einn sem hafði niðurhalað appinu, sama í hvaða landi sú manneskja bjó.
Þá gat hann einnig sent þeim sms, breytt lyklaorðum þeirra og lesið kortanúmer þeirra.
Síminn öruggari en tölvan í dag
Aðspurður segist Haddix sýnast að miðað við tölfræði hafi netárásir aldrei verið fleiri en nú. Hann nefnir að á sumum sviðum séu fyrirtæki að verða betri að verjast brotum.
„Síminn þinn er t.d. eflaust öruggari í dag heldur en tölvan þín eða fartölva, í flestum tilfellum. Þegar kemur að því sviði höfum við staðið okkur vel í að bæta öryggi og ýta við fyrirtækjum sem framleiða símana að bæta öryggið.“
Starfsmenn oft veikasti hlekkurinn
Þá nefnir hann að tölvuþrjótar einblíni oft frekar á að reyna að gabba starfsmenn fyrirtækja frekar en að brjótast inn í kerfi þeirra og að það sé í raun veikasti hlekkurinn.
Því reyni villuveiðigátt einnig að skoða starfsmannaþjálfun hjá fyrirtækjum í stað þess að einblína alveg á kerfi þeirra en Haddix nefnir að í raun sé önnur hver netárás þannig að starfsmenn eru gabbaðir til að veita óvart upplýsingar sem geri tölvuþrjótum kleift að komast inn í kerfi fyrirtækjanna.
Áhugamenn, skipulagðir glæpahópar og ríkisstyrktir hópar
Aðspurður segir Haddix að vanalega sé um þrjá hópa að ræða þegar kemur að netárásum.
„Það eru áhugamennirnir - hakkarar sem gera þetta bara til skemmtunar og dýrðar. Síðan eru skipulagðir glæpahópar sem nota gagnabrot t.d. til að þéna pening. Síðan eru ríkisstyrktir hópar sem fremja gagnabrot t.d. af pólitískum ástæðum. Þau gagnabrot sem við vanalega heyrum af í fréttum heyra vanalega undir fyrstu tvo hópana.“
Árásir eru óhjákvæmilegar
Ásamt því að halda námskeið í villuveiðigátt, sem Haddix hefur nú verið að gera í rúmt eitt og hálft ár, er hann einnig forstjóri fyrirtækisins Arcanum Security og hefur hann verið leiðtogi hjá mörgum fyrirtækjum. Hann sér því hlutina frá báðum sjónarhornum.
„Vanalega eru árásarmennirnir að leita að hlutum sem þeir geta þénað beint af - kreditkortanúmer eða persónulegar upplýsingar um fólk eða reyna að fjárkúga fólk.
Þegar ég var leiðtogi í sumum fyrirtækjum sem ég leiddi þá lentum við í gagnaárásum. Þær eru bara óhjákvæmilegar. Það er ekki þannig að þú getir verið algjörlega varinn. Þú þarft alltaf að vera með gott og vel varið kerfi því það mun alltaf eitthvað gerast einhvern tímann.“
Geta tapað ótrúlegum upphæðum
Segir hann að oft gleymist að helsti skaðinn sem fyrirtæki verða fyrir þegar þau lenda í árásum sé tekjutap sem ekki hlaust frá árásinni sjálfri heldur vegna þess tíma sem fyrirtæki þurfa að eyða í að koma kerfum sínum aftur í lag eftir árásina.
„Mikið af þeim fyrirtækjum sem ég hef unnið með eru fjármálastofnanir og tölvuleikjafyrirtæki og þau eiga að vera í gangi allan sólarhringinn. Fyrir hverja mínútu sem þau eru ekki starfandi þá eru þau að tapa hundruð þúsund dollurum.“
Minnist Haddix slíks atviks þegar fyrirtæki eitt tapaði milljónum dollara á þeim þremur vikum sem það eyddi í að reyna að laga kerfi sitt eftir árás.
Þarf ekki háskólagráðu til að öðlast hæfnina
Þá segir hann að í dag sé kennslan eitt það mikilvægasta sem hann geri.
„Eina leiðin til að geta varist sumum árásum er að læra hvernig maður getur gert það og reyna að skilja hvernig það gerist. Mér finnst það vera frekar göfugt markmið og er ein af ástæðunum af hverju ég vil vera áfram í villuveiðigáttum - af því að það er aðgengilegt fyrir ungt fólk. Þú þarft í rauninni ekki háskólagráðu til að geta gert margt af þessu.“
Hann segist spenntur fyrir að koma til Íslands og hitta þann hóp sem mun sækja námskeiðið hans.
„Ég er ánægður með að það verður fjölbreyttur hópur sem mun koma á námskeiðið og að ég fái að hitta þann hóp í gegnum Defend Iceland og háskólann. Ég er mjög spenntur hvað það varðar.“
Tækifærið kom eftir samtal á ráðstefnu
Aðspurður segist hann hafa lengi viljað heimsækja landið. Tækifærið hafi svo komið þegar hann átti samtal á ráðstefnu í Bandaríkjunum við aðila sem höfðu verið að vinna með Defend Iceland.
Þeir höfðu svo samband við Haddix eftir að hafa notast við þá aðferðafræði sem hann beitir í villuveiðigáttinni og fundið villu. Þótti því kjörið að fá hann til Íslands til að deila reynslu sinni með öðrum.
Hyggst skoða landið með konunni sinni
Eins og fyrr segir verður námskeiðið kennt í Háskólanum í Reykjavík frá mánudegi til miðvikudags en að sögn Jason mun hann svo eyða nokkrum dögum í viðbót á landinu með eiginkonunni sinni sem kemur með honum.
„Við erum með nokkra túra planaða. Okkur langar að sjá landið. Við ætlum að kíkja í einhverjar gönguferðir og skoða fossa og þannig lagað.“
Það eru þó ekki bara þeir sem sækja námskeiðið sem munu fá að njóta góðs af visku Haddix.
„Ég er líka að fara að heimsækja tvo stærstu bankanna sem þið eruð með þar sem ég verð með erindi um netöryggi og hvernig er hægt að skipuleggja netöryggiskerfi fyrir fjármálastofnanir. Þannig ég er nokkuð bókaður út vikuna en það er allt í góðu,“ segir hann kíminn áður en hann bætir við:
„Ég er að vonast til þess að norðurljósin láti sjá sig. Síðan á ég líka nokkra hakkaravini sem búa á Íslandi líka þannig þetta verður æðislegt.“
Gerir ráð fyrir frekari málaferlum
/frimg/1/54/25/1542574.jpg)
Sendiherra gerist leikari
Skjálfti upp á 3,3 við Keili
Flóttafólk vegna skipulagsklúðurs
Allt hveiti er nú innflutt
E.coli baktería greindist í neysluvatni
Plástrameðferðir sem duga skammt
