Alvorlige cyberangrep har økt kraftig i hyppighet i senere tid, og en sterkt medvirkende årsak er at hacking er enkelt å lære seg via lett tilgjengelige kilder. Den påstanden kommer fra en person som har god kjennskap til saken, nemlig en tidligere topphacker.
Michael Calce er navnet på en mann som allerede som tenåring stod bak høyprofilerte og svært kostbare dataangrep mot kjente bedrifter som Yahoo, Amazon, Dell, Ebay og CNN. I dag utnytter han hackekunnskapene sine i rollen som sikkerhetsekspert.
Kan læres på Youtube
Nylig ble Calce intervjuet på podcasten Sikkerhetsbruddet i regi av HP Norge, og der kom han med en advarsel om hvor lett det er å lykkes som selvlært hacker.
– Mengden ressurser er sinnssyk. Du kan laste ned penetrasjonstestingsprogramvare som kommer med alle typer skannere, verktøy og exploits (kode for utnyttelse av sårbarhet, red.anm.) i en alt-i-ett-pakke. Det har i stor grad forenklet prosessen, som er veldig skremmende med tanke på hvor lett tilgjengelig det er, sa Calce og la til:
– Om du investerer nok tid i å se på opplæringsvideoer på Youtube og andre steder kan du meget enkelt navigere deg frem. Da jeg drev med hacking var det en smal nisjeaktivitet, og miljøet var veldig lite; man måtte bli introdusert inn. Jeg tror dette er årsaken til at vi hvert år ser en 300 prosent økning i antall angrep.
De færreste har god nok beskyttelse
Calce mener også at langt de fleste ikke er tilstrekkelig beskyttet mot dataangrep, som også bidrar til å gjøre jobben enklere for de ondsinnede aktørene.
Den tidligere hackeren anslår at hele 85 prosent av internett-tilkoblede aktører, både personer og bedrifter, mangler den nødvendige sikkerheten. Kun 15 prosent bruker en passende mengde ressurser på sikkerhet, mener han.
Oppfatningen om at de fleste ikke er godt nok beskyttet deles av mange andre sikkerhetsaktører. En undersøkelse i regi av sikkerhetsselskapet Trend Micro (krever abonnement) viste for eksempel at godt over halvparten av sikkerhetsansvarlige i til sammen 2.300 virksomheter mener de ikke har evne til å respondere på sikkerhetsvarslinger.
Over halvparten i undersøkelsen svarte også at mange av overvåknings- og sikkerhetsverktøyene de har på plass ikke lenger benyttes, blant annet på grunn av mangel på fagfolk og vanskeligheter med å forstå hvordan verktøyene skal brukes.
Deler tips
I podcasten uttalte den tidligere topphackeren imidlertid at mangel på kunnskap ikke er den viktigste faktoren bak svak datasikkerhet. I stedet mener Calce at problemet ligger i at informasjonen og kunnskapen ikke omsettes til faktisk handling.
Calces egne råd for bedre sikkerhet er å først og fremst være kritisk til hva man klikker på i enhver sammenheng. I tillegg fremhever han viktigheten av å fokusere på maskinvare i tillegg til programvare når et gjelder datasikkerhet, fordi sikkerheten må bygges inn i alle lag, ikke bare programvaren.
Det å leie inn penetrasjonstestere, eller «snille» hackere om du vil, er også et godt tips som Calce anbefaler, og noe både bedrifter og privatpersoner kan gjøre.
Hele intervjuet med Calce kan du høre i podcasten Sikkerhetsbruddet.
Nesten alle sikkerhetsledere vurderer å outsource IT-sikkerheten
