Har forsøgt at hacke Danske Bank i over 3 år: "For mig er det et fantastisk job"
Savvas Kechagias arbejder som etisk hacker i Danske Bank. Hans job går ud på at finde sårbarhederne og hullerne, inden de rigtige hackere gør det. Det er et arbejde fyldt med adrenalin, men uden al stressen med at kunne ende i fængsel, siger han.
Adrenalinkick uden at kunne ryge fængsel
Danske Bank har både et rødt og et blåt hold, begreber som er lånt fra den militære verden – hvor et hold angriber (rød), mens et andet forsvarer (blå).
Savvas Kechagias er født og opvokset i Grækenland, men tog efter sin græske diplomuddannelse som computeringeniør en kandidatgrad på DTU i it-sikkerhed.
Det ledte til et job i Danske Bank som etisk hacker og fast bopæl i Danmark.
Det er en noget anden jobbeskrivelse end stort set alle andre i Danske Bank. Der er samlet 7 etiske hackere på det røde hold ansat hos Danske Bank, som arbejder på at bryde igennem de digitale forsvarslinjer.
”Etisk hacking kombinerer adrenalinen og fornøjelsen ved at bryde ind i systemer, men uden al stressen med at kunne blive fanget og sat i fængsel,” siger han.
”For mig er det et fantastisk job. Det er svært og udfordrende at få succes, men når det sker, er tilfredsstillelsen meget høj.”
Her er videoen, hvor Savvas Kechagias i en live demo i Litauen viser, hvor let man kan blive hacket.
Det ultimative mål
Der er en god grund til, at Danske Bank som en af få danske virksomheder har ansat etiske hackere.
Landets største bank bliver ramt af mere end 4.000 mere eller mindre avancerede angrebsforsøg hvert år.
Det fortalte Danske Banks it-sikkerhedschef Lance McGrath for nylig i et interview i Børsen.
“Her forsøger folk at gøre noget meget specifikt ved banken. Det kan være at sende mails til folk baseret på deres rolle i banken, eller at de angriber systemer, som de ved, at vi bruger,” fortalte han.
Ifølge Savvas Kechagias er det naturligt, at en bank er genstand for forsøg på at blive hacket.
”En bank er det ultimative mål for enhver hacker. Det er meget vanskeligt at gøre, og der er mange penge at få ud af det. Derfor er det et yndet mål for hackere,” siger han.
En del af forsvaret hos Danske Bank består dermed i at lade de 7 etiske hackere slå og banke forskellige steder i it-landskabet for at finde den skrue, der er løs eller den mur, der ikke kan holde, inden det er de rigtige hackere, der finder det.
Men det er ikke en triviel opgave, når man som Danske Bank dels har et højt it-sikkerhedsniveau, dels et meget stort it-landskab.
”Vi skal designe meget specifikke og unikke angrebsmønstre for at bryde igennem. Det er ikke ligetil. Vi skal omgå utallige sikkerhedsforanstaltninger,” siger han.
Savvas Kechagias fortæller, at det røde hold typisk bruger almindelige kendte værktøjer, som de fleste ville kunne få adgang til, og som fx kan bruges til at scanne et netværk eller en specifik computer. Desuden skriver de selv forskelligt kode, som kan hjælpe i angrebsscenarierne.
Her er den letteste vej ind
Hvis ikke det røde hold deltager i en større operation inden for et specifikt område med et særligt formål, handler arbejdet om at identificere sårbarheder, udnytte dem og se, hvor langt man kan komme ind i Danske Banks kritiske systemer.
Det er både det sjoveste og mest udfordrende, siger Savvas Kechagias.
”Det sværeste ved vores job er at finde sårbarheder. Vi er hele tiden nødt til at tænke anderledes, fordi sårbarhederne bliver rettet meget hurtigt, og it-sikkerheden generelt optimeres. Der er ikke en metode eller værktøj, som hele tiden virker.”
Et angreb kan fx tage udgangspunkt i en fejlkonfiguration eller en sårbarhed i en lille del af et system.
Men oftest er det letteste vej ind via svage adgangskoder eller tekstfiler med fortrolige oplysninger på ansattes virtuelle skriveborde, forklarer han.
”Det er vores lavthængende frugter. Og når vi først er kommet igennem det første lag, er det oftest blot et spørgsmål om tid og teknik at kunne bryde længere og længere ind og få fat på de rigtigt kritiske sager,” siger han.
Etisk hacker
Det røde holds angreb overvåges internt af Danske Bank af fx en chefarkitekt eller afdelingsleder, der er ansvarlig for de systemer, der bliver angrebet.
Men det er ikke sådan, at Savvas Kechagias og hans kollegaer ender med at stjæle eller ændre på noget i systemerne.
”For os handler det ikke om at få fat på adgangsoplysninger eller personlige data, som jo er rigtige uetiske hackeres mål. Det er nok for os og andre kollegaer, der arbejder med aspekter af vores it-forsvar at bevise, at vi er nået inden for rækkevidde og kunne have stjålet noget data.”
Til sidst udarbejder det røde hold en rapport og sender til det blå hold og andre relevante kollegaer og administratorer, som er ansvarlige for de påvirkede systemer, så eventuelle fejlkonfigurationer og sårbarheder bliver rettet, forklarer han videre.
Hvor svært er det at hacke Danske Banks it-systemer?
”Sikkerheden er meget høj. Det vil være i periferien af et område, som vi oftest har held til at finde sårbarheder i. Større sårbarheder bliver meget hurtigt rettet. Så generelt vil jeg sige, at sikkerheden hos Danske Bank og givetvis hos andre finansielle institutioner er meget høj," svarer han.
Har du et råd til medarbejdere i den finansielle sektor?
”It-sikkerheden og advarselssystemerne er i dag ofte så gode, at det tit er nok, hvis man følger virksomhedens retningslinjer. Men passwords, og jeg ved det lyder kedeligt, er et vigtigt punkt. Man bør undgå at bruge den samme adgangskode flere steder, og man bør med fordel få sig en passwordmanager.”
”For it-administratorer er det meget de samme råd, men de bør især følge bedste praksis i forhold til kodepraksis, systemadministration, -vedligeholdelse og opdatering.”
”Udviklingen går enormt hurtigt, som vi lige nu ser med AI. Så man er nødt til at holde sig opdateret med de seneste teknikker og trusler. Stopper man med det, bliver det meget nemmere at være hacker i fremtiden,” siger Savvas Kechagias.