Ni jobbar alla som penetrationstestare – vad innebär det?
Michael: Enkelt uttryckt försöker vi hacka kunden innan en riktig hackare gör det! En kund kan till exempel komma till oss med en nyutvecklad app som behöver testas innan den kommer ut på marknaden. Vi använder samma verktyg och metodologi som en riktig hackare skulle använda för att se om man kan gå runt själva inloggningsystemet, hacka autentiseringslösningar eller på andra sätt ta sig in i systemet och ta över kontrollen av appen.
Olav: Precis, jag ser mig själv som en ”hacker med tillstånd”. Vårt jobb är att hitta sårbarheter och svagehter i kundens applikationer, nätverk och molntjänster och sedan försöka utnyttja dem.
Christoffer: Sen leverar vi tekniska och djupgående rapporter. Med hjälp av våra rekommendationer kan kunden sedan förbättra säkerheten i systemet.
Ni jobbar alla som penetrationstestare – vad innebär det?
Michael: Enkelt uttryckt försöker vi hacka kunden innan en riktig hackare gör det! En kund kan till exempel komma till oss med en nyutvecklad app som behöver testas innan den kommer ut på marknaden. Vi använder samma verktyg och metodologi som en riktig hackare skulle använda för att se om man kan gå runt själva inloggningsystemet, hacka autentiseringslösningar eller på andra sätt ta sig in i systemet och ta över kontrollen av appen.
Olav: Precis, jag ser mig själv som en ”hacker med tillstånd”. Vårt jobb är att hitta sårbarheter och svagehter i kundens applikationer, nätverk och molntjänster och sedan försöka utnyttja dem.
Christoffer: Sen leverar vi tekniska och djupgående rapporter. Med hjälp av våra rekommendationer kan kunden sedan förbättra säkerheten i systemet.
Varför ska en organisation egentligen genomföra penetrationstester?
Michael: Ransomware och andra attacker mot företag ökar, företag har oftast inte 100% koll på säkerheten i sina system, och lämnar ofta omedvetet sårbarheter öppna.
Olav: IT-system är ofta stora och komplexa, uppbyggda av många applikationer som kommunicerar med varandra. Det är svårt att veta om alla delar av systemet är säkra.
Christoffer: Pentester ger en verklighetsförankrad insikt i hur säker en del av en mjukvara eller produkt är och ger indikationer på vilka åtgärder som behöver tas för att öka säkerheten. Att ha en penetrationstestad produkt, mjukvara eller lösning är också ett säljargument. Utöver det finns det också en aspekt i att leva upp till krav och riktlinjer. I vissa fall kan du behöva penetrationstesta din produkt eller ditt nätverk för att leva upp till internationalla standarder.
Olav: I den bästa av världar skulle mjukvaror testas regelbundet genom hela utvecklingsprocessen. Så ser det inte ut idag i de flesta organisationer. Där är ett bra alternativ att i alla fall göra det regelbundet, kanske årligen, samt när man göra större förändringar i systemet.
Penetrationstesting är ju ett väldigt tekniskt område, vad ska man tänka på när man presenterar resultatet för kunden, där en del personer kanske inte är så tekniskt kunniga?
Christoffer: När man presenterar resultatet för en mindre teknisk publik är det viktigt att lägga mer tyngd vid hur resultatet påverkar dem och deras system. Då lägger vi oftast mindre tid på de tekniska specifikationerna. Vi gör en executive summary, där det viktigate står med och där fokus ligger på ekonomiska risker och riker för varumärkets rykte. Sen gör vi också en rapport för utvecklarna som ska arbeta med åtgärder osv.
Finns det olika sorts tester beroende på vad man testar? Uppkopplade produkter, IT-system osv? Är det i så fall olika tillvägagångssätt?
Christoffer: Absolut, det finns många olika system, produkter, lösningar och mjukvaror som kan penetrationstestas. På det övergripande planet är metodologin densamma, men sen finns det många specigika skillnader som vi får hantera på olika sätt. Vi tar också i beaktning vilken typ av angripare vi skulle kunna ha att göra med, och hur stor del av programkoden de har tillgång till.
Vad är det mest spännande uppdraget ni jobbat med?
Michael: Alla uppdrag är spännande, ena dagen jobbar jag kanske med ett stort företagsnätverk och försöka hitta ingångar där, och nästa dag försöker jag hacka mig in i en bil eller en liten Internet of Things-pryl så som en robotdammsugare. Variationen gör jobbet spännande!
Christoffer: Jag var med och gjorde ett pentest av en fysisk kringutrustining, där vi behövde utveckla ett anpassat exploitation script från grunden för att kunna utnyttja den upptäckta sårnarheten. Det visade sig vara en grundläggande del av lösningen, och det krävdes en fullständig omarbetning av utrustningen för att minska sårbarheten.
Olav: Att avslöja kritiska sårbarheter i Cisco Jabber var vädligt spännande, projektet lärde mig hur ansvarsfullt avslöjande fungerar, och jag fick värdefulla insikter i hur sårbarheter i säkerhet hanteras i stora företag. Jag lärde mig också om risker kopplade till att bygga upp appar som körs lokalt med hjälp av webteknik och sårbarheterna som kan komma med det.
Just nu arbetar jag med att granska ett internt nätverk. I den här typen av granskning har jag tillgång till kundens interna nätverk och försöker hitta sårbarheter och konfigurationsfel som en angripare kan använda för att öka sina privilegier i nätverket. I liknande arbeten upptäcker vi ofta allvarliga sårbarheter och konfigurationsfel och vi kan ofta ta kontorll över hela nätverket på bara några dagar. Detta blir till stor hjälp för kunden när man arbetar vidare med säkerheten i nätverket.
Är det någon skillnad på hur Combitech jobbar med pentester i de nordiska länderna?
Christoffer: Vi arbetar alla efter samma riktlinjer när vi gör pentester, men vi kan förstås alltid lära av varandra, i allt från tillvägagångssätt till presentationer.
Olav: Det finna alltid mindre skillnader i teknik, metodologi och verktyg. Att vara del av detta professionella nätverk är väldigt givande och ger oss alla möjlighet att ta del av varandras erfarenheter. Att vi arbetar över gränserna i Norden ger verkligen mervärde åt våra kunder. Jag tycker mycket om att arbeta med mina nordiska kollegor och hoppas göra det än mer i framtiden!
Det måste vara viktigt att ha koll på teknik, trender och sårbarheter – hur gör ni för att utveckla er kompetens och hålla er up to date?
Christoffer: I en snabbföränderlig värld är det förstås jätteviktigt. Jag brukar hålla mig à jour med nyheter och trender på Twitter, där min feed oftast är fylld med nya sårbarheter, tekniska sammanfattningar och tankar kring olika Infosec-ämnen. Utöver det försöker jag delta i några Capture The Flag-tävlingar och genomgå nya certifieringsutbildningar.
Michael: Vi får tid varje vecka för kompetensutveckling. Detta är extra viktigt för oss eftersom mjukvaran ändras hela tiden, vår sektor utvecklas mycket snabbt. Jag deltar precis som Christoffer i CTF-tävlingar.
Ja Michael, du är engagerad i Midnight Sun CTF – kan du berätta lite mer om det?
CTF är en tävling, en form av gamification. Tävlingarna utgår från att någon har byggt ett system som är sårbart på något sätt och man ska som tävlande hitta denna sårbarhet, utnyttja den och få en flagga som visar på att man löst uppgiften. Detta sker oftast på tid och det lag som löser uppgiften snabbast får flest poäng. Midnight Sun CTF är Sveriges största och högst rankade CTF-tävling där några av de bästa lagen i världen kommer till Sverige för att tävla. Jag har varit med och lett SAAB och Combitechs sponsorlag.
CTF tävlingar och uppgifter är utmärkt kompetensutveckling då detta är ett sätt att få praktiskt kunskap och få testa på sårbarheter i verkligenheten och sedan att få dela kunskap och erfarenhet med dem man tävlar med, och emot.
Om ni fick penetrationstesta vad som helst – vad skulle det vara? Vad är drömtestet?
Olav: Mitt “drömpentest” skulle vara ett system som involverar både IT-säkerhet och fysisk säkerhet. Det skulle kunna vara att pentesta en uttagsautomat, ett flygplan, ett kamerasystem eller ett kärnkraftverk. Säkerhet är speciellt viktigt i dessa typer av system och sårbarheter här öppnar upp för Hollywoodlikannde hackerattacker.
Christoffer: Jag är specillelt intresserad av produkters och hårdvarors säkerhet. Så att få testa ett stort sammankopplat nätverk av enheter och enheterna i sig, det skulle vara otroligt intressant.
Michael: Hmm, en satellit hade varit coolt. Men drömtestet är nog ändå ett stort företagsnät då nätverk och nätverks infrastruktur är min specialitet.
Hur blir man en pentestare?
Olav: Jag började tidigt. Mitt intresse för datorer började med videospel, jag blev fort mer intresserad av hur de fungerade än av att spela dem. I tonåren lärde jag mig programmering och började skapa mina egna onlinespel. Jag började intressera mig för säkerhet efter att ha läst ”hackerberättelser” och tittat på presentationer från säkerhetsconferensen Defcon. Mitt intresse tog mig till en Master med specialisering i informationssäkerhet.
Om du vill bli penteraste skulle jag rekommendera att du börjar med att studera Linux och lära dig programmering. Försök skaffa dig erfarenhet från verkligheten, antingen som voluntär eller genom praktik. Och förstås, håll dig uppdaterad och fortsatt nyfiken.
Hur ser ni på framtiden, vad jobbar ni med om tre år? Hur ser karriärmöjligheterna ut inom yrket?
Michael: Jag kommer med 100% sannolikhet jobba med detta även om tre år. Jobbet är så varierande från dag till dag och uppdrag till uppdrag, jag tröttnar aldrig! Man samlar på sig erfarenhet för varje test man gör, och kan sen specialisera sig på ett område.
Christoffer: Det är helt klart en växande bransch. Alla måste anpassa sig till förändringar och ny teknologi, som i sin tur förstås öppnar upp nya möjliga sårbarheter. Det gör att vi fortsatt har ett högt behov av att arbeta med säkerhet. Om tre år ser jag mig själv arbeta med penetrationstester och forstätta utforska nya och befintliga områden inom ämnet.
Olav: Jobbet som pentestare utvecklas constant, och jag tror att vi kommer spela en än viktigare roll i säkerhetslandskapet i framtiden. Jag ser fram emot att forstätta arbeta med spännande projekt, förhoppningsvis tillsammans med mina nordiska kollegor på Combitech.