Etisk hacking, Laszlo Erdödi

Disse UiO-studentene lærer å hacke datasystemer, med etikk som grunnmur. Her er de på plass i det aller helligste: «SecurityLab». Laszlo Erdödi i midten. Foto: Audun Jøsang

Her er de snille hackerne

For å møte den økende trusselen fra cyberkriminelle, må IT-personell selv bli hackere.

Av Gunhild M. Haugnes
Publisert 23. nov. 2017

Stadig hører vi om alvorlige dataangrep som lammer bedrifter og andre sentrale samfunnsinstitusjoner. Kampen mot de cyberkriminelle blir stadig tøffere.

Datasikkerhet er derfor et brennhett tema. Og nå møter hackerne samme våpen som de selv bruker.

– IT-personell må kjenne til hvordan hackere tenker for å kunne stoppe dem, sier Laszlo Erdödi, forsker og foreleser ved Institutt for informatikk (IFI) ved UiO.

Laszlo Erdödi

Derfor bygger han nå opp et eget masterkurs innen etisk hacking, med plass til omkring 20 studenter. Det skal etter planen bli permanent fra neste høst. Men en gruppe studenter deltar nå på et pilotkurs.

Fôrer innbruddsmaskinen med siste nytt

Mye av undervisningen foregår i SecurityLab ved UiO, og her er også maskinen med systemene studentene skal prøve å bryte seg inn i.

Erdödi sørger for at den til enhver tid inneholder aktuelle nettsider med oppdaterte teknologiske løsninger.

– Samtidig er det viktig at de selv lærer av hverandre. Hvis én av studentene har klart å hacke seg inn på en nettside, deler han eller hun oppskriften med de andre, slik at de også lærer.

Eierne av nettsidene har kontraktsfestet at hacker-studentene skal prøve å finne sårbarheter og komme seg inn på nettsidene deres.

– Mange blir overrasket

– Flere er sikre på at deres systemer er vanntette, og mange blir derfor overrasket over de sårbarhetene vi finner. Det kan være små ting de selv ikke har tenkt på, men som en utenforstående hacker raskt vil se. Det er bedre at dette avdekkes av etiske hackere enn fiendtlige, sier Erdödi, som også peker på at dette ikke bare handler om ondsinnet hacking.

Vel så ofte kan det handle om noe så enkelt som brukerfeil.

– Det kan for eksempel være brukere som ikke gjør som utviklerne av nettstedet har tenkt de skal. Dermed øker sårbarheten, sier han til Titan.uio.no.

Må ha kontrakt

– Hvor kommer etikken inn i bildet?

– I forkant av hver undervisningstime understreker jeg hvor viktig det er at de må ha en signert kontrakt på at de kan hacke de aktuelle nettsidene. Har de ikke det, er det de gjør ulovlig. De blir oppdatert på gjeldede juridisk regelverk på området.

– Hvordan kan man være sikker på at ingen velger den fiendtlige hacker-veien?

– Det kan man aldri være 100 prosent sikker på. Men det er all grunn til å tro at de aller fleste ønsker seg en god jobb hvor de gjør nytte for seg og kan få brukt sin kompetanse.

VM i «etisk hacking»

UiO-hackerne forbereder seg også til verdensmesterskapet i «etisk hacking», hvor de møter de fleste nasjoner i verden – til og med Nord-Korea. Nivået er høyt, men Erdödi har høye ambisjoner på vegne av sine studenter.

– Amerikanerne og kineserne er svært dyktige. I USA har de også kommet lenger med å utdanne etiske hackere, og har egne sertifiseringsordninger for dette. Men våre studenter er også flinke. Målet er i første omgang å bli best i Norden, så får vi ta det derfra, smiler han.

Han understreker at konkurransen også er viktig i arbeidet med å bygge team innen datasikkerhet.

Erdödi anbefaler ellers filmen Zero Days, som kom ut i fjor og som han mener beskriver godt hvilke utfordringer man står overfor på dette feltet. Den handler om en ondsinnet dataorm utviklet av USA og Israel for å føre virtuell krig mot det iranske atomprogrammet. Men så sprer ormen seg videre…

– Dette er hendelser som godt kan skje i virkeligheten.

Det skjer masse spennende teknologiforskning ved UiO, les om det og andre forskningsnyheter i realfag ved å følge oss på Facebook eller abonner på nyhetsbrevet vårt.

– Sentralt i et godt cyberforsvar

Professor Audun Jøsang, som også jobber ved IFI, mener etisk hacking er en god måte å møte trusler fra cyberkriminelle på.

Audun Jøsang

– Etisk hacking er en internasjonal trend og anses som sentralt i et godt cyberforsvar. Og for å ha sjanse i kampen mot cyberkriminaliteten, er det viktig at de gode hackerne samarbeider om dette.

Han mener kompetanse på dette feltet vil være sentralt i en rekke IT-relaterte jobber, ikke minst for programvareutviklere og systemadministratorer.

– Derfor er det også viktig med kurs i etisk hacking ved lærestedene, ikke minst her hos oss ved UiO – som er størst når det gjelder IT-utdanning i Norge. Vi må styrke undervisningen i datasikkerhet.

Gigantkonferanse i Norge

Jøsang forteller også at UiO neste sommer skal være vertskap for gigantkonferansen ECCWS (European Conference on Cyber Warfare and Security), som årlig samler fagfolk og representanter for militæret og andre sentrale samfunnsinstitusjoner fra mer enn 30 land.

– Slike arrangementer er viktige for å bygge team som kan samarbeide om å bekjempe cyberkriminalitet, mener han.

Emneord: Informatikk