lau. 18. maí 2024 19:10
Theódór Ragnar Gíslason hjá Defend Iceland vill netöryggisvæða Ísland og um leið auka netöryggisvitund fólks.
Heiðarlegir hakkarar til varnar

Netöryggismál eru Theódóri Ragnari Gíslasyni hugleikin enda nauðsynlegt að huga að örygginu þegar viðkvæmar upplýsingar eru annars vegar. Fyrirtæki hans, Defend Iceland, aðstoðar fyrirtæki við að koma auga á veikleikana svo hægt sé að tryggja að ekki verði gerðar netárásir sem geta valdið miklum skaða eða viðkvæmum upplýsingum stolið. Theódór hyggst auka stafrænt öryggi Íslands og svo nýta þá reynslu víðar í hinum stóra heimi.

Fann mig í hakkaraheimi

Ímyndin af hakkara er ungur og uppreisnargjarn maður, einfari í hettupeysu sem veldur usla þar sem hann getur. Theódór kann sannarlega að hakka, en passar ekki inn í þessa staðalímynd, enda mætti kalla hann heiðarlegan hakkara; mann sem nýtir kunnáttu sína til að brjótast inn í tölvukerfi til góðs í því skyni að finna öryggisveikleika áður en árásarhópar gera það. Theódór segist hafa byrjað ungur að hafa áhuga á forritun, en allt hófst þetta með slæmu slysi þegar hann var á fjórtánda ári.

„Það var sjötta janúar 1994 að ég stóð og beið eftir strætó með hópi af krökkum úr Hagaskóla. Svo kom strætó og stoppar en hleypir engum inn og ég er að banka í vagninn eins og fleiri. Strætisvagnabílstjórinn varð eitthvað pirraður og keyrði af stað og ég rann undir bæði afturdekkin. Ég mölbrotna, aðallega á mjöðm, fékk mikið af beinflísum í mig og var með miklar innvortis blæðingar. Þvagrásin fór í sundur og þvagblaðran skarst og ýmislegt fleira. Ég var með meðvitund allan tímann, en missti mikið blóð. Ég veit ekki hvernig ég lifði þetta af,“ segir Theódór. Hann segir foreldra sína hafa búið sig undir hið versta og kvöddu hann á spítalanum.

„Ég hafði verið virkur í íþróttum, en ég var mjög lengi að jafna mig og var í endurteknum aðgerðum í tvö ár á eftir. Það þurfti að setja mig saman aftur. Þannig að á þessum tíma fór ég úr því að vera aktívur í skóla og íþróttum, yfir í að vera fastur heima. Ég var byrjaður að fá tölvuáhuga en þarna fann ég mig á internetinu,“ segir Theódór og segist ekki hafa getað mætt í skólann næstu tvö árin og var metinn öryrki að hluta.

„Slysið hafði mikil mótandi áhrif á mig. Ég lærði þrautseigju og það er ekki í mér að gefast upp. Og ég ber mikla virðingu fyrir lífinu sem er mjög hverfult,“ segir hann.

 

„Ég lærði forritun og fann mig strax í þessum hakkaraheimi. Ég var einstaklega forvitinn og hafði gaman af því að smíða hugbúnað og taka hann í sundur. Og einhvern veginn átti það meira við mig að taka hann í sundur og skilja hvernig samspil örgjörva og minnis í tölvu virkar. Ég varð forfallinn hakkari á þessum tíma, unglingurinn sem var kannski ekki með þroskaða siðferðiskennd,“ segir hann og brosir.

„En fljótlega fór ég að sjá að þarna væri eitthvað sem ég gæti unnið við,“ segir Theódór sem jafnaði sig með tímanum og náði ágætri heilsu.

„Ég finn enn fyrir einhverjum óþægindum, en læt það ekki trufla mig og er mjög aktívur.“

Notað til að hakka NASA

Strax á unglingsaldri fékk Theódór áhuga á tölvuöryggi, eða skortinum á því.

„Mér fannst ekkert skemmtilegra en að finna öryggisveikleika og sanna hann með forriti. Ég varð mjög góður í því mjög fljótt og smíðaði sjálfur forrit sem voru síðar notuð til að brjótast inn í NASA og olli nokkrum usla. Þessi ormur, sem var að nota mitt forrit, sýkti tölvur úti um allan heim. Ég var pínu stoltur af því að hafa smíðað þennan hugbúnað en fékk svo samviskubit. Ég hef ekki gefið út svona forrit opinberlega síðan þá,“ segir Theódór og útskýrir að á þessum tíma, um aldamótin, hafi hópur hakkara á heimsvísu ekki verið stór.

„Þetta var í raun hakkarasamfélag og þetta var leiðin til að skapa sér nafn og sýna að maður væri fær. Svo vildi það til að fólk var að leka þessu og dreifa út um allt og þetta endaði í höndunum á þeim sem voru meinfýsnir. Ég lærði heilmikið af því að sjá að forritið mitt, sem ég hafði hannað í fullkomnu sakleysi, notað til að valda tjóni. Ég skildi það þá fyrst hversu mikil áhrif það gæti haft að finna einhvern öryggisveikleika. Ég fann að þessu fylgdi mikið vald. Það hefur mótað minn starfsferil alla tíð síðan af því að það hefur svo lítið breyst á þessum 25 árum. Það eru enn öryggisveikleikar úti um allt, í öllum hugbúnaðar-, net- og tölvukerfum og á sama tíma er búið að stafvæða allt. Það þarf að finna þessa öryggisveikleika og laga þá áður en einhver misnotar þá,“ segir Theódór og segir ekki hægt að horfa framhjá því að til séu undirheimar þar sem hakkarar starfa í vafasömum tilgangi.

„Það er ekki gott fyrir samfélagið að stinga hausnum í sandinn. Það er mikilvægt að varpa veikleikum upp á yfirborðið, sem öryggistækifæri. Annars erum við auðvelt skotmark; ég fullyrði það. Það er hægt að valda ævintýralegu tjóni.“

Hafa þurft að greiða háar upphæðir

Hvað væri til dæmis ævintýralegt tjón?

„Það fer eftir því hvað er mikilvægt fyrir þig. Fyrir orkukerfið eru það kannski veitukerfin og fyrir fjármálakerfin eru það lánasöfnin eða viðkvæmar upplýsingar. Í heilbrigðiskerfinu eru það sjúkraskrár,“ segir Theódór og segir að það sem yfirleitt býr að baki árásum sé von um gróða.

„Það eru lausnargjaldsárásir og gagnagíslataka þar sem hakkarinn brýst inn og tekur yfir netkerfið, yfirleitt í gegnum öryggisveikleika. Nýlega tók rússneskur hakkarahópur, Akira, tölvukerfi HR úr umferð. Þeir ná þá stjórn og dreifa hugbúnaði á tölvur og dulkóða gögn. Það sem svona aðilar gera oftast er að sjúga gögn út, oft viðkvæm persónugreinaleg gögn og gagnagrunna, og hóta að birta þau. Þannig að peningur er aðalmarkmiðið og þetta er að aukast gríðarlega,“ segir Theódór og segir mikilvægt að fórnarlömb netárása greiði hökkurunum ekki fyrir að fá gögnin til baka.

 

„Þónokkur fjöldi íslenskra fyrirtæki hefur lent í þessu og ég veit til þess að íslenskt fyrirtæki hefur greitt hátt lausnargjald til að ná aftur upp sínum rekstri,“ segir Theódór.

„Sumir borga og sumir verða að borga. Ef þú ert til dæmis með framleiðslulínu sem er hætt að virka og þeir eyddu öllum afritum, þá er ákvörðunin mjög erfið. Ég mæli auðvitað ekki með að borga því þá ertu bara að fóðra bransann. Þetta er skipulögð glæpastarfsemi og það er nóg af þessum hakkarahópum.“

Öryggisvitund það skemmtilegasta

Theódór einbeitir sér nú að miklu leyti að sprotafyrirtæki sínu, Defend Iceland, þar sem reynsla hans og þekking nýtist vel.

„Þessi hugmynd tengist fortíð minni og þeirri vitneskju að öryggisveikleikar séu úti um allt og að ég vilji hvetja til ábyrgra tilkynninga og uppgötvunar á öryggisveikleikum í samfélaginu svo við getum komið í veg fyrir tjón,“ segir Theódór og segist hafa unnið að þessu í fimm ár.

„Þetta er erfið brekka; að útskýra og sannfæra fólk um að þetta sé hin rétta leið, því ég er fullkomlega sannfærður um það. En ég mæti oft tortryggni,“ segir hann og segir fólk óttast orðið hakk.

„En verkefnið snýst ekki um að hakka heldur verja,“ segir hann. 

„Ég vil búa til aðferðafræði sem er samfélagslega drifin vara þar sem við búum til samfélag fólks sem vill auka stafrænt öryggi. Það eru þessir „heiðarlegu hakkarar“ eða öryggissérfræðingar sem ég er að virkja í gegnum lýðvirkjun,“ segir hann.

Við förum að slá botninn í afar upplýsandi viðtal við mann sem hefur brennandi áhuga á sínu starfi og vilja til að bæta samfélagið.

„Ég veit ekkert skemmtilegra en öryggisvitund og að fræða fólk um eitthvað sem ég hef nördast í í þrjátíu ár. Ég hef allan minn feril reynt að auka skilning en það er alls ekki nóg. Við verðum að bæta þetta. Eins og staðan er í dag erum við afskaplega auðvelt fórnarlamb og því þurfum við að breyta. Aukið stafrænt öryggi er verkefni samfélagsins alls.“

Ítarlegt viðtal er við Theódór Ragnar í Sunnudagsblaði Morgunblaðsins um helgina. 

 

til baka