Nico beskytter bedrifter mot hackere: – Det jeg gjør er egentlig ulovlig
I løpet av et år finner Nicolai Grødum og teamet hans hundrevis av sikkerhetshull i Norges største virksomheter.
– Er dere klare? Det tar 8 minutter fra vi kjører angrepskoden til alarmen går. Så må blue team reagere, sier Nico til Martin Herrmann og de andre hackerne i blue team og red team.
– Shit! No alarms were fired when we ran the attack code after we included our modifications, sier Martin som er fra Tyskland og snakker best engelsk.
De sitter i cyber-rommet til PwC. På veggene henger fem store skjermer. På bordet står en plante som får vann fra en champagne-flaske, via et hjemmesnekret selv-vanningssystem. Og en dinosaur med myk pels som sist hacket adgangskortet til administrerende sjef i PwC.
– Viktig å ha det gøy på jobben!, er mottoet til Nicolai Grødum, teknisk direktør i red team.
Gjenskaper ransomware-angrep hos en stor norsk bedrift
Red Teamet skal teste sitt eget program for å dumpe ut passord fra en maskin de har brutt seg inn på, og så sammenligne med programmet Mimikatz. Hensikten med dette er å se om de kan omgå sikkerhetsmekanismene til Microsoft Defender og Defender ATP for ikke å bli oppdaget. De gjenskaper noe som skjedde da en kunde ble utsatt for ransomware.
Red Teamet forsøker ulike teknikker for å dumpe minnet i forsøk på å finne passord til privilegerte brukere. Det testes med både egne, skreddersydde verktøy, så vel som offentlig tilgjengelige «hacker tools», men blir gjentatte ganger oppdaget av Blue Teamet.
Red Teamet bruker et nytt verktøy for å kartlegge nettverket fra maskinen de nettopp har brutt seg på. Blue Teamet blir overrasket over at bare bruddstykker av aktiviteten fanges opp av deteksjonsmekanismene som de har satt opp. Tilbake til tegnebrettet!
Må tenke som en kriminell
– Det som skiller jobben min fra de fleste andre, er at det jeg gjør egentlig er ulovlig. Vi skal jo oppføre oss som kriminelle. Hvis noen andre hadde gjort dette kunne de havnet i fengsel. Vi innhenter alle tillatelser før vi setter i gang og har dermed et frikort å vise til hvis vi blir tatt. Det er veldig mye å ta hensyn til i en slik jobb, og den etiske delen av å være hacker står alltid først. Kundene skal vite at de kan stole på oss, forteller Nicolai.
Den profesjonelle hackeren har blitt spurt om å gå over til den mørke siden. Han kunne trolig gjort det stort som kriminell.
– Det har vært folk jeg ikke kjenner som har spurt meg om ting. Som jeg ikke vil jobbe med. Jeg distanserer meg så langt fra det. Jeg vil ta de valgene som gjør at jeg får det best mulig i livet, svarer Nicolai.
Tar hackerne på fersken
Nicolai og teamet har kommet over mange alvorlige sikkerhetsfeil.
– En gang kom jeg meg inn i et system og fant ut at jeg ikke var der inne alene. Da skal jeg innrømme at jeg kjente på sjokket, sier den snille hackeren, og fortsetter:
– Jeg har kommet meg inn på steder hvor jeg har fått tak i svært alvorlige ting og avdekket feil hvor det kunne gått galt. Hackeren forteller at han har hatt kontroll over alt fra store verdier, utenlandsbetalinger, telefoni, videoovervåkningssystemer, kundelister, mailkontoer, kalendere og hatt full administratortilgang til bedrifter.
– Det sjokkerer meg ikke lenger at vi får tilgang til slikt. Det er faktisk ganske vanlig. Men jeg blir overrasket over hvor enkelt vi kan få tak i alle disse tingene. Vi vil jo gjerne tenke at ting er på stell og at vi ikke finner noe, sier han.
En av verdens klokeste IT-hoder
Det er ikke bare på jobb at Nico finner ut av ting. Han er den moderne MacGyver som ser muligheter i alt. Han kan ikke sitte på et fly uten å oppdage sikkerhetshull i datasystemet. Han finner passordet ditt. Han står på Google og Microsoft sine Hall of Fame-lister for å ha varslet om alvorlige sikkerhetsfeil. En lørdagskveld med en nyåpnet vinflaske oppdaget han feil på norske varmeovner.
– I løpet av første glasset fant jeg ut at jeg kunne styre andre ovner og lage egen software. De som hadde implementert denne, hadde hoppet over sikkerhet, forteller han. Nico ringte da selskapet og hjalp dem med å få gjort de riktige tingene. Lille julaften kom sjefen i selskapet på døra hans med en haug varmeovner som takk for hjelpen.
Fra bomber til roboter
– Bestefar lærte meg å lage ugressaltbomber, sier Nicolai Grødum som startet å jobbe som kjemiker. Hjemme hos han er alt koblet til nett med en egen server i kjelleren. Han hadde monitorering av alarmsystemet ti år før Rema 1000 sin «open the door»-reklame. Han bygger egne motorer, som dør til støvsugeren som han snakker med.
– Alexa er god på lyspærer, så min server utgir seg for å være det, forteller Nicolai og ramser opp noe av det som er koblet til nett og stemmesensor hjemme: lysene, ytterdøra, vaske og støvsuger-robot, garasjeport, blinkende juletrelys, prosjektor osv. Man skjønner tegninga.
Brukte førstegangstjenesten på å feilsøke kopimaskinen
Nicolai kjedet seg i militæret. Han søkte etter feil på den store, fancy kopimaskinen. Til slutt fikk han full kontroll på den og hvordan den fungerte inni. Han fant ut at han kunne endre på det folk skrev ut og kopierte, men turte aldri å gjøre noe i praksis.
Han fant ut hvordan han kunne ta over alle Outlook-kalenderne i hele verden
Nicolai gjorde en feil under programmering. Det var starten på en merkelig oppførsel i Exchange-serverne som gjorde at han fikk tilgang til verdens Outlook-kalendere. Han måtte så klart finne ut av hva som hadde skjedd, og tenkte at det kan umulig være designet for dette.
– Jeg blir litt som en hund som får tak i et lite ben, forteller Nicolai som kom på Microsofts «list of honor». Han fant et annet sikkerhetshull hos Google og havnet på æreslisten der også.
Slo på kaffetrakteren med SMS i 1997 - og giftet seg med ei han sendte fake mail til
I 1997 lagde han SMS-tjeneste før det fantes. Han kunne slå på kaffetrakteren med SMS. SMS-en gikk til en tjeneste som videresendte e-post, e-posten gikk til en server som tok den imot og åpnet CD-skuffen hvis meldingen hadde riktig kodeord. CD-skuffen slo på kaffetrakteren. Han sendte også mail til noen jenter på studiet om at de pratet for mye i timen. Han sendte det fra en fake avsender så det så ut som det var foreleseren.
– Jeg er gift med hun ene i dag. Så sjekketrikset fungerte, smiler han.
Blue team + red team=purple team
Dagens øvelse var å gjenskape et datainnbrudd som DarkSide gjennomførte mot en norsk bedrift. PwCs incident response team hjalp dem med å håndtere ransomware-angrepet. Hackerne brukte fire timer fra de brøt seg inn til de hadde lykkes med å spre løsepengeviruset og dermed satte de store deler av virksomhetens IT-systemer ut av spill.
– Ved å gjenskape samme IT-infrastruktur som det kunden hadde i lab-miljøet vårt kan vi kjøre angrepet «på nytt» for å se på hvilke tiltak som hadde vært mest effektive, som vi igjen kan ta med oss ut for å hjelpe andre kunder. Denne typen øvelser er viktig for at vi kan lære på tvers av teamene, sier Jan Henrik Schou Straumsheim, som er cyber-direktør og jobber sammen med Nico.
– Red-teamet blir bedre når de skjønner hvordan blue-teamet jobber, og vice versa. Når vi blander teamene på denne måten kaller vi det «purple teaming», forteller han.
Cyberteamet i PwC har vokst mye de siste årene, og vi vil ha flere på laget! Hos oss jobber folk fra hele verden. De er samfunnsvitere, ingeniører, økonomer, advokater og hackere og sammen bekjemper de cyberkriminalitet hos de største virksomhetene i Norge.