Martin hacker din virksomhed mod betaling: Mød fremtidens it-konsulent

Martin hacker din virksomhed mod betaling: Mød fremtidens it-konsulent

Børsen logo

Martin hacker din virksomhed mod betaling

Af Fredrik Malte Petersen, Foto: Kasper Kristoffersen

SPONSORERET AF BDO

Topbilled mobil
topbillede

Da Martin blev ansat som it-sikkerhedskonsulent i BDO, var han allerede en stormester i hackermiljøet. I dag er han en af de dygtigste etiske hackere, man kan opstøve på verdensplan. For virksomheder er profiler som Martins et af de bedste bud på en moderne ekspert i cybersikkerhed. 



Der er bogstaveligt talt utroligt højt til loftet inde i det æstetiske glaspalads på Havneholmen, som BDO deler med Handelsbanken, Bloomberg og et par andre selskaber.

På hovedgangen suser letbenede, slipseklædte skikkelser forbi hinanden i en lind strøm. Langt de fleste af BDO's medarbejdere opfylder business professional-dresscoden til UG, men lidt efter kommer der dog en ung fyr gående, der skiller sig markant ud fra mængden.

Hvis man ikke vidste, at han var fastansat herinde, havde man nok været fristet til at spørge ham, om han måske var gået forkert. At metalfestivalen Copenhell altså foregår ude på Refshaleøen og først slår dørene op i sommermånederne. Hans lange, lyse hår går helt ned til brystkassen, og skægget står ligeså kraftigt som på en skovmand.

Fra hobbynørd til hackerkendis

Det er ikke kun på udseendet, at den unge mand er anderledes. Det, han laver, skiller sig også ud fra de gængse jobtitler. Martin Thirup Christensen er 25 år gammel og fuldtidsansat som IT Security Consultant i BDO. Han er dét, man kalder en white hat hacker – altså en etisk korrekt hacker, som med gode intentioner og formel tilladelse specialiserer sig i at bryde ind i virksomheder og organisationers it-systemer for at teste deres sikkerhed med henblik på at forbedre den. Og selvom han er helt autodidakt, er han mere end almindeligt god til det.

"Jeg har nok altid været typen, der har brugt lidt meget tid foran computeren. Jeg læste engang tilbage i 2012, at antallet af hackerangreb var stigende, og det fulgte jeg med i. Så begyndte jeg at afprøve mig selv på forskellige platforme som f.eks. HackThisSite, hvor jeg sad og lærte en masse om, hvordan diverse sårbarheder fungerer," svarer han på spørgsmålet om, hvordan man bliver så god til noget, man udelukkende lærer sig selv.


Martin og hans chef, MikkelMartin
Foto: Kasper Kristoffersen

Men det blev først rigtig spændende året efter, hvor han gav sig til at penetration-teste (forkortet "pen-test") diverse virksomheder med forlov. En pen-test går ud på, at man, med alt der står i sin hackermagt, forsøger at bryde ind i et system.

"Jeg blev alvor investeret i det, da jeg i 2013 deltog i et bug bounty program hos amerikanske AT&T, hvor jeg fandt en SQL injection og rapporterede det tilbage til dem. Der blev jeg betalt godt og endte i deres Hall of Fame. Det var fedt at opleve den succes og pludselig opdage, at den hobby man har haft lidt for sjov, også kan bruges på den måde," siger Martin.

Freelance-hackere finder sårbarheder mod belønning

Martin taler tydeligvis sit eget hverdagssprog, men han må givetvis også være vant til at skulle uddybe nogle af de termer, han benytter sig af, når han taler med folk, der ikke er computertroldmænd.

De fleste har måske ikke lige en helt klar idé om, hvad et bug bounty program eller en SQL injection er. Vi dvæler ikke for meget ved sidstnævnte, da det er en form for angreb, der kræver en længerevarende forklaring.

Et bug bounty program er en slags offentligt udbud til freelancehackere, hvor en virksomhed eller organisation inviterer enhver, der kan, til at prøve at finde sårbarheder i deres systemer og derefter rapportere dem for så at modtage en belønning. En praksis der er blevet mere og mere populær de seneste ti år.

Kort sagt fandt Martin en kritisk sårbarhed hos det gigantiske teleselskab AT&T og blev belønnet med både penge og god omtale, samt en plads i deres såkaldte Hall of Fame over dygtige hackere, der har hjulpet dem med at forbedre sig på it-fronten.

Efter den succes tog det fart for Martin. Han løftede sine evner til nye højder ved at hjælpe det amerikanske militær med lignende opgaver. Inden længe var han placeret som nummer 8 på deres verdensrangliste over tophackere. Hacking var gået fra hobbyniveau til levebrød.

Martin vidste, at han ville arbejde med it fremover og søgte derfor ind på uddannelsen til it-teknolog, men egentlig var han i tvivl om, hvad studiet skulle lære ham, som han ikke kunne lære sig selv. Han droppede derfor ud allerede på første semester, da BDO tilbød ham et job i deres afdeling for cybersikkerhed. Og her har han nu siddet i lidt over et år.


Martin og hans chef, MikkelMartin
Foto: Kasper Kristoffersen

De alternative profiler er absolut nødvendige

Martins chef hedder Mikkel Jon Larssen, og han er partner og leder af BDO's Cyber Unit. Han har selv bygget enheden for cybersikkerhed op fra bunden, og han er glad for, at BDO har været åbne over for at kigge efter de lidt alternative profiler.

"Når vi snakker hacking og it-sikkerhed, så er det profiler som Martins, der er mest interessante. Han tænker og agerer lidt anderledes i hverdagen og motiveres af nogle andre ting end det, vi andre måske går og gør. Men det er helt essentielt, at man er ude at finde den slags mennesker til de her opgaver. Og som chef kræver det så også, at man agerer lidt anderledes – man skal f.eks. være open minded med arbejdstider. Nogle arbejder jo lige så gerne om natten som om dagen," fortæller Mikkel Jon Larssen.

Men hvorfor er det, at mennesker som Martin bare har den kant, som andre, mere traditionelle profiler ikke har?

"Martin formår at se opgaverne i bits and bytes på en helt anden måde end andre. Han ligger lige nu i top 50 på det amerikanske militærs liste over sårbarhedsrapporteringer, og han er højt placeret i verden på diverse andre ranglister. Martin kan se nogle ting og tænke ud af boksen på en måde, som hverken jeg eller andre mennesker, som måske nok er analytisk stærke, men ikke lige arbejder inden for det fagområde, ikke ville kunne. Og det er ikke noget, han er uddannet til, han er fuldstændig autodidakt," siger Mikkel Jon Larssen.

Mikkel påpeger samtidig, at Martins mindset og logiske evner er usædvanlige. Og det giver ham en række unikke kompetencer, som man ikke kan finde hos andre, mere traditionelle profiler.

I bund og grund er humlen, at det i hvert fald indtil videre er umuligt at uddanne sig officielt til den profil, Martin har. Han er vokset op med interessen for computere, og han er et godt eksempel på et naturtalent inden for sit område.

"Det gælder jo for mig om at være åben over for de her menneskers interesser, og det der driver dem. For en person som Martin handler det aldrig om pengene. Det er mere det her med at skabe værdi og se, om man kan finde nogle sårbarheder i forskellige systemer. Han tænker måske ikke så meget over konsekvenser – for ham er det bare fedt at kunne finde hullerne i osten. Og så kan jeg selv være med til at oversætte det til økonomi og risici for virksomhederne, vi samarbejder med," forklarer Mikkel Jon Larssen.

Danske virksomheder døjer også med udbredte sårbarheder

Når Martin er på arbejde, så er hans job altså ganske enkelt at forsøge at hacke BDO's kunder på deres egen opfordring. Hans primære ekspertise er websikkerhed, det vil sige sikkerhed hvad angår hjemmesider. For nogle virksomheder er netop deres website alfa omega, og det kan hurtigt koste tabte indtægter og skabe kundeproblemer, hvis hjemmesiden pludselig bliver lagt ned og går ud af drift.

Ud fra de foreløbige erfaringer han har gjort sig blandt BDO's danske kunder, har han fået et blandet indtryk af den generelle sikkerhedstilstand.

"Der er masser af virksomheder og organisationer, som gør det rigtig godt. Men der er er også mange, hvor man faktisk ser nogle helt basale ting, de ikke har styr på. Vi har haft kunder i begge kategorier," fortæller Martin.

Det kan være utroligt nemt at lukke sig ind i din virksomhed

Når Martin sætter sig til tasterne, lægger han altid ud med rekognoscering. Han danner sig et overblik over, hvad virksomheden har på webserveren, hvad der (med en ondsindet hackers øjne) kunne være interessant at pille ved, og hvor han kunne grave dybere.

MikkelMikkel
Foto: Kasper Kristoffersen

Og blandt nogle af de mest udbredte sårbarheder finder han oftest disse: Cross-site scripting og session hijacking, manglende 2-faktor bekræftelse og beskyttelse mod brute force angreb, sårbarhed over for phishing og generel social engineering og ikke mindst forældede operativsystemer og opdateringer af software.

Der findes tekniske forklaringer på alle disse sårbarheder, som man kan læse sig til på Google, hvis man vel at mærke ikke er ekspert, men er klar på en udfordring. Basalt set betyder ovenstående dog, at der faktisk er mange nemme måder at tilgå din virksomheds følsomme oplysninger på - eller endda få godtroende folk til at hjælpe sig med at stjæle, hvad man nu har tænkt sig at stjæle – hvis man altså ikke får dæmmet op for disse såkaldte huller i osten.

Det evige whack-a-mole spil fortsætter

Det er dog præcis derfor, at BDO har ansat én med så stor indsigt i selv samme sårbarheder, og som forstår præcis, hvordan man udnytter dem – så han kan instruere kunderne i at forhindre, at nogen andre med langt mere dystre intentioner gør det.

Martin er til gengæld sikker på, at så snart der bliver dæmmet op for én sårbarhed, så vil der oftest kun gå kort tid, før en ny bliver fundet. For jo mere avanceret sikkerheden bliver, jo mere avancerede bliver angrebene også.

"Det er et klassisk våbenkapløb. Det er det evige whack-a-mole (arkadespil fra 70'erne, hvor man med en hammer skal banke mekaniske muldvarper tilbage i deres huller, red.), kan man sige. Der vil altid opstå nye måder, folk finder ud af at hacke på, og nye sårbarheder der vil blive opdaget i forskellige programmer. Det er det, der gør, at alting kan ændre sig så hurtigt og markant nu om dage," forklarer Martin.

Derfor er han også konstant nødt til at forbedre sig personligt. Men det ligger også til ham at udvikle sig, og det er netop derfor, han i dag kan se sit navn stå højt på diverse ranglister verden over.

"Jeg har nok lidt et konkurrencegen. Det er spændende at udfordre mig selv, og min ambition er ganske enkelt at blive ved med at blive bedre til hacking," siger Martin.

Og den ambition bakker chefen, Mikkel Jon Larssen, fuldt ud op om.

"Jeg tror, at profiler som Martin er fremtiden inden for det her. Hvis man er for stereotyp i sine ansættelser, så kommer man bare ikke særligt langt som virksomhed," konkluderer han.

Hvis du vil dykke længere ned i, hvad etisk hacking er, og hvordan BDO arbejder med cybersikkerhed, så kan du læse mere lige her.

Annoncen er produceret 04.03.2019 af Børsen Creative i samarbejde med BDO

Cxense Display