Har forsøgt at hacke Danske Bank i over 3 år: "For mig er det et fantastisk job"

3. apr. 2024

6 min

På scenen holder Savvas Kechagias et USB-stik op i luften. Det ligner ethvert andet. Han sætter det i en laptop, som en af Danske Banks ansatte netop har brugt til at logge ind på Facebook med. Da USB-stikket er sat i, åbner en lille kommandoprompt i venstre hjørne og noget uforståelig tekst skrives automatisk ind. Et par sekunder efter er kommandoprompten lukket.

”Job done. If the demo-gods help us, I have already hacked you,” siger Savvas Kechagias.

Fra en anden laptop viser Savvas Kechagias nu, hvordan han kan logge ind på den pågældendes Facebook-konto. Det tager få sekunder. Så nemt kan det gøres med et USB-stik og lidt kode.

Det udløser en klapsalve i salen i Litauen, hvor Savvas Kechagias i en live demo viser forskellige måder, man kan blive hacket på. Hele seancen, der kan ses på YouTube, viser et udsnit at de metoder, Savvas Kechagias bruger til at hacke Danske Banks it-systemer.

Det har han gjort i over 3 år nu. Han er white hat hacker eller etisk hacker, på det røde offensive hold i Danske Bank. Hans arbejde ligner i høj grad det, som en potentiel hacker kunne udføre, men med den afgørende forskel, at han arbejder etisk og har samtykke fra Danske Banks ledelse til det.

”Vi spiller hackere og forsøge at bryde ind i Danske Banks forskellige systemer og infrastruktur. Det gør vi så realistisk som muligt. Vi forsøger at tænke som hackere, og kan lejlighedsvis og i særlige tilfælde se bort fra nogle af de politikker og compliance-krav, som andre ansatte altid skal følge,” siger han.

(Artiklen fortsætter efter boksen)

Savvas Kechagias, etisk hacker på det røde hold hos Danske Bank.

Adrenalinkick uden at kunne ryge fængsel

Danske Bank har både et rødt og et blåt hold, begreber som er lånt fra den militære verden – hvor et hold angriber (rød), mens et andet forsvarer (blå).

Savvas Kechagias er født og opvokset i Grækenland, men tog efter sin græske diplomuddannelse som computeringeniør en kandidatgrad på DTU i it-sikkerhed.

Det ledte til et job i Danske Bank som etisk hacker og fast bopæl i Danmark.

Det er en noget anden jobbeskrivelse end stort set alle andre i Danske Bank. Der er samlet 7 etiske hackere på det røde hold ansat hos Danske Bank, som arbejder på at bryde igennem de digitale forsvarslinjer.

”Etisk hacking kombinerer adrenalinen og fornøjelsen ved at bryde ind i systemer, men uden al stressen med at kunne blive fanget og sat i fængsel,” siger han.

”For mig er det et fantastisk job. Det er svært og udfordrende at få succes, men når det sker, er tilfredsstillelsen meget høj.”

Her er videoen, hvor Savvas Kechagias i en live demo i Litauen viser, hvor let man kan blive hacket.

”En bank er det ultimative mål for enhver hacker. Det er meget vanskeligt at gøre, og der er mange penge at få ud af det. Derfor er det et yndet mål for hackere."

- Savvas Kechagias, etisk hacker på det røde hold hos hos Danske Bank.

Det ultimative mål

Der er en god grund til, at Danske Bank som en af få danske virksomheder har ansat etiske hackere.

Landets største bank bliver ramt af mere end 4.000 mere eller mindre avancerede angrebsforsøg hvert år.

Det fortalte Danske Banks it-sikkerhedschef Lance McGrath for nylig i et interview i Børsen.

“Her forsøger folk at gøre noget meget specifikt ved banken. Det kan være at sende mails til folk baseret på deres rolle i banken, eller at de angriber systemer, som de ved, at vi bruger,” fortalte han.

Ifølge Savvas Kechagias er det naturligt, at en bank er genstand for forsøg på at blive hacket.

”En bank er det ultimative mål for enhver hacker. Det er meget vanskeligt at gøre, og der er mange penge at få ud af det. Derfor er det et yndet mål for hackere,” siger han.

En del af forsvaret hos Danske Bank består dermed i at lade de 7 etiske hackere slå og banke forskellige steder i it-landskabet for at finde den skrue, der er løs eller den mur, der ikke kan holde, inden det er de rigtige hackere, der finder det.

Men det er ikke en triviel opgave, når man som Danske Bank dels har et højt it-sikkerhedsniveau, dels et meget stort it-landskab.

”Vi skal designe meget specifikke og unikke angrebsmønstre for at bryde igennem. Det er ikke ligetil. Vi skal omgå utallige sikkerhedsforanstaltninger,” siger han.

Savvas Kechagias fortæller, at det røde hold typisk bruger almindelige kendte værktøjer, som de fleste ville kunne få adgang til, og som fx kan bruges til at scanne et netværk eller en specifik computer. Desuden skriver de selv forskelligt kode, som kan hjælpe i angrebsscenarierne.

Her er den letteste vej ind

Hvis ikke det røde hold deltager i en større operation inden for et specifikt område med et særligt formål, handler arbejdet om at identificere sårbarheder, udnytte dem og se, hvor langt man kan komme ind i Danske Banks kritiske systemer.

Det er både det sjoveste og mest udfordrende, siger Savvas Kechagias.

”Det sværeste ved vores job er at finde sårbarheder. Vi er hele tiden nødt til at tænke anderledes, fordi sårbarhederne bliver rettet meget hurtigt, og it-sikkerheden generelt optimeres. Der er ikke en metode eller værktøj, som hele tiden virker.”

Et angreb kan fx tage udgangspunkt i en fejlkonfiguration eller en sårbarhed i en lille del af et system.

Men oftest er det letteste vej ind via svage adgangskoder eller tekstfiler med fortrolige oplysninger på ansattes virtuelle skriveborde, forklarer han.

”Det er vores lavthængende frugter. Og når vi først er kommet igennem det første lag, er det oftest blot et spørgsmål om tid og teknik at kunne bryde længere og længere ind og få fat på de rigtigt kritiske sager,” siger han.

Savvas Kechagias, etisk hacker på det røde hold hos Danske Bank.

Etisk hacker

Det røde holds angreb overvåges internt af Danske Bank af fx en chefarkitekt eller afdelingsleder, der er ansvarlig for de systemer, der bliver angrebet.

Men det er ikke sådan, at Savvas Kechagias og hans kollegaer ender med at stjæle eller ændre på noget i systemerne.

”For os handler det ikke om at få fat på adgangsoplysninger eller personlige data, som jo er rigtige uetiske hackeres mål. Det er nok for os og andre kollegaer, der arbejder med aspekter af vores it-forsvar at bevise, at vi er nået inden for rækkevidde og kunne have stjålet noget data.”

Til sidst udarbejder det røde hold en rapport og sender til det blå hold og andre relevante kollegaer og administratorer, som er ansvarlige for de påvirkede systemer, så eventuelle fejlkonfigurationer og sårbarheder bliver rettet, forklarer han videre.

Hvor svært er det at hacke Danske Banks it-systemer?

”Sikkerheden er meget høj. Det vil være i periferien af et område, som vi oftest har held til at finde sårbarheder i. Større sårbarheder bliver meget hurtigt rettet. Så generelt vil jeg sige, at sikkerheden hos Danske Bank og givetvis hos andre finansielle institutioner er meget høj," svarer han.

Har du et råd til medarbejdere i den finansielle sektor?

”It-sikkerheden og advarselssystemerne er i dag ofte så gode, at det tit er nok, hvis man følger virksomhedens retningslinjer. Men passwords, og jeg ved det lyder kedeligt, er et vigtigt punkt. Man bør undgå at bruge den samme adgangskode flere steder, og man bør med fordel få sig en passwordmanager.”

”For it-administratorer er det meget de samme råd, men de bør især følge bedste praksis i forhold til kodepraksis, systemadministration, -vedligeholdelse og opdatering.”

”Udviklingen går enormt hurtigt, som vi lige nu ser med AI. Så man er nødt til at holde sig opdateret med de seneste teknikker og trusler. Stopper man med det, bliver det meget nemmere at være hacker i fremtiden,” siger Savvas Kechagias.