Marcus hacker virksomheder: Jeg kan godt finde på at ændre chefens baggrundsbillede til en kattekilling

24. maj 2024 af Rasmus Kerrn-Jespersen

"Jeg står uden foran den røde bygning, hvor it-afdelingen sidder. Jeg er lige på nippet til at tage alt, hvad de har af data. De har en SQL-bruger med alt for mange rettigheder, og jeg har fundet passwordet, så nu kan jeg nemt overtage hele butikken," fortæller Marcus Sellebjerg på en telefonlinje direkte fra en kunde.

Kunden er en mellemstor virksomhed i Jylland. Mere må han faktisk ikke sige. Det er anden dag, han sidder hos virksomheden, og på trods af, at han har løst andre opgaver sideløbende - blandt andet dette interview - er det allerede lykkes ham at finde og udnytte en sårbarhed i virksomhedens it-sikkerhed.

Marcus Sellebjerg er 26 år og arbejder som cybersecurity consultant hos Truesec. Han har læst datalogi på Aarhus Universitet og under hele sin uddannelse vidste han, at han ville arbejde med cybersikkerhed.

"Jeg er lige fyldt 26 år, så når jeg finder sårbarheder og huller i it-sikkerheden hos en virksomhed, hvor it-chefen har siddet i 20 år, kan de af og til godt virke lidt trætte," siger Marcus med et smil og følger op: "Men langt de fleste er superrare og vil gerne vide mere og hjælpe med alt, hvad de kan."

Marcus er vokset op med en pc. Siden han var seks år, har han altid haft sin computer inden for en meters afstand. Derfor lå det naturligt at forfølge interessen for computer og programmering på først uddannelse og sidenhen job.

Kattekilling styrker it-sikkerheden

Når Marcus er ude hos en kunde, er hans opgave at finde vej ind i it-systemerne. Han erfaring er, at der altid er en åben dør et eller andet sted.

"Der findes sårbarheder alle steder. Også hos de helt store virksomheder, som f.eks. banker, der virkelig går op i sikkerhed og bruger mange ressourcer på området. Det er mest et spørgsmål om, hvor lang tid jeg skal bruge på at opdage og udnytte sikkerhedshullerne," siger Marcus.

Når han opdager en vej ind til virksomhedens helligste data, deres produktionsanlæg eller forretningshemmeligheder, må han naturligvis ikke ødelægge noget. Det er heller ikke nødvendigt, for Marcus har en effektiv, men helt uskadelig måde at gøre virksomhedens ledelse opmærksom på huller i sikkerheden. Kattekilling.

"Jeg kan godt finde på at ændre baggrundsbilledet på lederens computer til en kattekilling. Det er en ret effektiv måde at vise, at jeg var inde i systemet og kunne have gjort, hvad der passede mig. Det gør det fleste chefer lidt paf," siger han.

Cybersikkerhed er meget praktisk

Mens Marcus Sellebjerg læste datalogi, arbejdede han 3 år i Danske Banks kryptografi-gruppe. Han havde derfor en hverdag, hvor han på den ene side studerede tung og teoretisk datalogi og matematik, mens han i banken løste meget praktiske it-opgaver.

"Antivirus og sikkerhedsløsninger er baseret på den teori, jeg lærte på universitetet, men der er stor forskel på undervisning og virkeligheden. Min leder i Danske Bank sagde til mig, at datalogiuddannelsen giver mig en kæmpe motor, men at det tager et par år at blive rigtig dygtig til at omsætte teorien til praksis på en arbejdsplads," siger Marcus, der bevidst gik efter cybersikkerhed hele vejen gennem uddannelsen.

"Jeg er enormt glad for min uddannelse og føler mig godt rustet, men jeg kunne godt have tænkt mig en endnu tættere kobling mellem teori og virkelighed på studiet. En specialisering i cybersikkerhed, hvor man både får den tunge og vigtige teori, men samtidig bliver trænet i at anvende den på rigtige problemstillinger, vil være genialt."

Netop sådan specialisering er faktisk på vej. Efter sommerferien kan du på kandidatuddannelsen vælge to fagpakker, der toner din profil til specialisering i cybersikkerhed: Læs mere i "Specialize in cybersecurity at Aarhus University" (pdf).

Hackere kan udnytte den danske tillid

Marcus er klar til at sætte kniven ind hos kunden i den røde bygning.

"Det er oftest ikke ret svært. Mit hurtigste eksempel er, at en af mine kollegaer kun skulle bruge 12 minutter online på at finde et sikkerhedshul … og altså mulighed for at kunne overtage hele virksomhedens infrastruktur," siger han og fortæller, at han af og til bruger et helt andet og langt mindre teknologisk greb. Det kan være dårlige 1-2-3-4 passwords eller sticky-notes med passwords placeret på medarbejderens skærm.

"Der er en tendens i Danmark til, at vi har tillid til hinanden. Derfor møder jeg ofte op ude hos en ny kunde i god tid og går rundt på arbejdspladsen. Der er aldrig nogen, der stopper mig. Det er vildt effektivt at sidde klar i mødelokalet, når kunden selv dukker op.

Hos den aktuelle kunde var det et password, der var alt for nemt at finde - og som gav alt for store rettigheder. Det hul bliver lukket om lidt, og så skal Marcus på jagt efter det næste.

"Nu lukker jeg den gren af, og så finde jeg nogle andre veje ind. Det er noget af det, jeg synes er fedt, man skal være lidt kreativ. Man kan ikke slå svaret op online eller spørge ChatGPT," afslutter han.