Han jager nettets banditter

Inspirationen til jobtitlen er hentet i det vilde vesten. Vi tænker på hatten på hovedet hos hjulbenede, vejrbidte cowboys, der med en glødende smøg i mundvigen og seksløberen i hånden sikrede et minimum af lov og orden i støvede småbyer. Western-legenderne eller heltene, som de var i Hollywoods version, bar som regel hvide Stetsons, der signalerede mænd af rette støbning. Mænd med orden i værdierne og hår på brystet. Hvorimod skurkene, Billy the Kid, Calamity Jane og mange andre, bar sorte hatte.

På mange måder er den digitale verden en moderne udgave af det vilde liv på prærien for et par hundrede år siden. Moderne virksomheder og organisationer opererer i en ureguleret verden, hvor cyberskurke konstant forsøger at nedbryde deres mest følsomme nervesystemer i angreb, der kan have betegnelser som phishing, malware og ransomware.

Virksomhederne bruger milliarder af kroner i forsvaret mod digitale angreb og spionage. En analyse fra konsulenthuset Deloitte viser, at forsvarsudgifterne i den finansielle sektor allerede udgør 10.000 kroner per medarbejder om året. Ifølge en stikprøveanalyse fra Dansk IT forventer 76 procent af de adspurgte it-chefer flere digitale angreb de kommende år, og det er her, at folk som Mikkel Frohn kommer ind i billedet. Han er et it-supertalent, der har gjort det til sin levevej at hjælpe virksomheder og myndigheder i kampen mod digitale angreb. Mikkel Frohn er en ’white hat hacker’.

”Man kan vel bruge en analogi til en låsesmed. Jeg bevæger mig rundt på nettet og tjekker, at alle døre er låst forsvarligt,” siger han.

Mikkel Frohn ligner ikke den gængse stereotyp på en it-nørd. Han tager imod i vinrød rullekrave og sorte jeans, er slank som en palme og har øreringe og en sort piercing under læben. Euroman møder ham i toppen af Nørrebros nyeste vartegn, Nordbro. Et 100 meter højt tårn med boliger, hvor Mikkel Frohn fra sin lejlighed kan skue ud over det meste af København som Saurons øje skuer ud over Tolkiens univers. Heldigvis er han ikke mørkets fyrste, men en ung fyr, der er ekspert i at overskue avancerede it-systemer og finde de fejl, andre ikke ser. The hacker mindset, som han kalder det.

”Man skal kunne sætte sig ind i, hvordan en bad guy tænker uden selv at være en bad guy. Du skal have den samme fantasi som dem, ellers tror man bare, at tingene er sikre nok. Det er en evig kamp, hvor man altid er et lille skridt bagud, fordi vi skal lukke alle tænkelige huller, mens din modstander bare skal finde ét. Derfor skal du både være teknisk stærk og super kreativ,” siger Mikkel Frohn.

Det tekniske talent kommer hjemmefra. Hans mor er ph.d. i geofysik og har forsket i Higgs-partiklen ved CERN i Schweiz. Faren arbejder som sin søn med it-sikkerhed. Mikkel Frohn skrev sin første linje kode som fireårig, og sin første computer fik han som seksårig. Gennem spil fik Mikkel Frohn gradvist dybere indsigt i, hvordan computere og databaser fungerer. Op gennem folkeskolen og i gymnasiet programmerede han i Java, studerede sårbarheder i programmeringssprog og deltog i hacking-konkurrencer, hvor han kæmpede med og mod andre om at bryde ind i servere og systemer.

”Noget af det, som var rigtig sjovt dengang, var de opgaver, som handlede om kryptografi. For at forstå, hvordan kryptografi virker, skal du forstå en del matematik. Kryptering er kompliceret. Det fascinerede mig. Jeg har nok altid været ret stærk til logisk tænkning, systematisk udredning og den slags opgaver.”

I 2018 rakte hans interesse for kryptografi og talentet til en plads på det danske cyberlandshold, der er et projekt under Forsvarets Efterretningstjeneste og blandt andet skal bidrage til større fokus på it-sikkerhed hos danske virksomheder og myndigheder. Her var Mikkel Frohn en af 10 deltagere, som blev udvalgt blandt 200 it-talenter og deltog ved EM i London.

Samtidig med sit studie på IT-Universitetet i København fik Mikkel Frohn sine første professionelle opgaver. Som 20-årig blev han hentet ind til et it-konsulentfirma, hvor han overvågede andre virksomheders netværk for at finde maskiner og systemer, der var kompromitteret. Han kan i dag ikke fortælle, hvilke virksomheder der var på kundelisten, da han er bundet af fortrolighedsklausuler, men der var tale om store danske virksomheder og myndigheder, forklarer han.

”Vi sad som vagter og fulgte virksomhedernes netværk. Lidt som G4S sidder og kigger på kameraovervågning. Det er det, man kalder ’the blue team’. Kort efter skulle jeg lave penetrationstest, hvor jeg skulle finde sårbarheder, som kunne udnyttes af ondsindede folk, og fortælle hvordan virksomhederne i givet fald kunne fikse de problemer, vi fandt,” siger Mikkel Frohn.

”Det er ikke min erfaring, at sikkerhed generelt bliver tænkt først, når virksomheder udvikler nye produkter som apps og hjemmesider, desværre. Sikkerhed koster penge og tid, og det er ikke målbart, at det er rentabelt, hvis du bruger 10 timer på at lave en feature, som gør et produkt mere sikkert. Nogle steder handler det også om, at udviklerne ikke tænker over sikkerheden. Lidt på samme måde som at du ikke kan læse korrektur på din egen artikel. Du skal have folk udefra til at gå tingene igennem,” siger Mikkel Frohn, der tidligere også har arbejdet for Politiet og Danske Bank.

Ifølge Mikkel Frohn er der stor forskel på erhvervslivets fokus på it-sikkerhed. Mens de store finanshuse og leverandører af infrastruktur har oppet sig de senere år, primært på grund af stram lovregulering, halter mindre virksomheder og styrelser og kommuner stadig efter. Han åbner sin pc for at demonstrere sin pointe. På skærmen af den sorte bærbare computer dukker Euromans navn op imellem det, der ligner kode. Det vender vi tilbage til.

I en kubistisk bygning af glas, beton og stål holder professor Carsten Schürmann til i et tætpakket kontor. Han er leder af Center for Information Security and Trust, en del af IT Universitet i København, hvor forskere og studerende arbejder med alle aspekter af cybersikkerhed. I 2017 skabte Carsten Schürmann overskrifter i amerikanske medier, da han hackede en valgmaskine i forbindelse med hackerkonferencen DEF CON.

”Obama blev valgt to gange på denne maskine,” smiler han og peger på en lysegrå, firkantet valgmaskine, der er købt på Ebay. Valgmaskinen er identisk med tusinder af maskiner, som amerikanerne skal bruge til det kommende præsidentvalg i november.

Gennem sin karriere har Carsten Schürmann mødt adskillige white hat hackers som Mikkel Frohn og er ikke et sekund i tvivl om, at disse internettets fejlfindere er deres vægt værd i bitcoins.

”White hat hackers er mennesker, som er udstyret med helt særlige tekniske evner. De er grundlæggende fascineret af teknologi og har typisk leget med computere, siden de var helt små. De ved instinktivt og gennem øvelse, hvordan computere og systemer virker, og hvor svaghederne er. Det er mennesker, som grundlæggende forsøger at forbedre it-systemer til vores fælles bedste, selv om jeg er sikker på, at mange af dem tidligere har haft en mørkere farve på hatten,” siger Carsten Schürmann:

”Børn og unge i dag er fascinerede af hacking. Jeg har ingen empiriske data for at sige dette, men det er min personlige erfaring og oplevelse. Efter jeg selv hackede valgmaskinen i USA og endte i alverdens medier, så jeg pludselig mig selv som baggrundsbillede på en af mine sønners vens computer. Kan du forestille dig det,” griner han rungende:

”De bedste hackere kommer ofte lige ud fra gymnasiet og bliver stille og roligt optaget af hacking og udfordringen i at bryde ind i stadig mere avancerede systemer. De oplever, at de med en relativ lille indsats kan trænge ind i andres it-systemer.”

Cybersikkerhed er et våbenkapløb på evner og teknologi. Angreb og forsvar. Hele tiden. Den moderne Billy the Kid er som regel en enlig fyr med navne som Soupnazi, Datastream Cowboy og Dark Dante, eller han, for det er oftest unge mænd, opererer i grupper som Anonymous eller i statsfinansierede grupperinger. Men virksomhederne gør det heller ikke altid svært nok for indtrængerne.

”Virksomhederne sender hele tiden nye, usikre produkter på markedet. De tænker, at det er godt nok, når bare produkterne virker i laboratorierne, og de vil gerne have produkterne så hurtigt på markedet som muligt – time is money. Konsekvensen er, at de først øger sikkerheden, når produkterne allerede er ude, hvilket er et stort problem. Det burde være omvendt,” siger Carsten Schürmann.

White hat hackere opererer ud fra det, man med god vilje kan kalde for ulønnet og uopfordret samfundstjeneste; de bryder ind i et system og afslører, hvad de har fundet over for ‘kunden’. Det er bare ikke altid lig med, at afsløringerne også bliver positivt modtaget. Carsten Schürmann henviser til en sag fra 2017, da it-konsulenten Esben Warming Pedersen fandt et sikkerhedshul i Frederiksberg Kommunes pladsanvisningssystem, der udvikles og drives af KMD. Esben Warming Pedersen kunne på få minutter skaffe sig ubegrænset adgang til CPR-numre i systemet, men frem for at anerkende ham for at opdage en potentielt alvorlig systemfejl, blev konsulenten anklaget for hacking. Først i oktober 2019 droppede politi og anklagemyndigheden sagen.

”White hat hacking er vigtigt, fordi hackerne hele tiden afprøver kvaliteten af systemer. Dette er måske endda mere vigtigt i Danmark, som ligger i top inden for digitalisering, men absolut ikke inden for it-sikkerhed. Danmark har investeret al sin energi i at løbe frem så hurtigt som muligt i digitaliseringen, og måske på grund af den høje grad af tillid i samfundet har det hidtil været ok, hvor man i andre lande ville være mere tøvende med at lægge følsomme data ud på nettet. Derfor burde mennesker, der kan opdage svagheder i systemerne, være personer, man hylder,” siger Schürmann, som har indført et krav om en klar skriftlig aftale i hænderne, før undervisere eller studerende bruger deres talenter for virksomheder eller andre eksterne, der henvender sig på universitetet om hjælp.

De færreste virksomheder har lyst til at fortælle om deres oplevelser med hacking. Spørg enhver journalist, der har forsøgt at grave i cyberangreb i dansk erhvervsliv. Døren er ikke bare lukket, den er forseglet med forklaringer om hensyn til sikkerheden og beskyttelse af forretningshemmeligheder. Og ifølge Carsten Schürmann gør danske virksomheder klogt i at have paraderne oppe. I sommeren 2017 blev A.P. Møller-Mærsk udsat for et hackerangreb, der ifølge koncernen kostede mellem 1,3 og 1,9 milliarder kroner. En virus, der gik under navnet NotPetya, ramte koncernen blandt andet som følge af menneskelige fejl.

”A.P. Møller-Mærsk var offer for et drive-by shooting,” siger Carsten Schürmann: ”Dette var et ransomware-angreb, som sandsynligvis ikke var rettet specifikt mod Mærsk, men alligevel gav koncernen massive problemer. Teknisk er det svært at komme ind i de fleste virksomheders systemer, hvis de er opdaterede og vedligeholdt, og derfor er den store udfordring ikke maskiner, men mennesker. Det er det, som er skræmmende: Du tror, du er ovenpå sikkerhedsmæssigt, og så har du en ansat, der åbner en mail med et forkert link og så: bang!”

Hans studerende har selv deltaget i flere eksperimenter i forbindelse med projekter, hvor studerende fx har uddelt USB-stik foran en virksomheds bygning for at komme ind i systemerne.

”Det var desværre intet problem,” konstaterer Schürmann tørt.

Tilbage hos Mikkel Frohn lyser Euromans navn op på skærmen. Ikke som hjemmeside, som de fleste kender den, men i kodesprog, hvor IP-adresser og lignede data afslører viden for de særligt indviede. Det er lidt som at se Dozer scanne The Matrix i filmen af samme navn, når Mikkel Frohns øjne spejder ned over tal og bogstaver på skærmen. Han tjekker blandt andet, om det vil være let at sende en falsk mail fra Euromans chefredaktør Karl Erik Stougaard – et almindeligt trick blandt hackere, som forsøger at lokke penge ud af uforsigtige medarbejdere. Til alt held for chefredaktøren og Euroman er serveren hosted hos Amazon, hvilket reducerer denne konkrete risiko betragteligt, fortæller Mikkel Frohn.

Vi prøver derfor med min egen hjemmeside (erikholmmedia.dk, red.), der er hostet hos en lille udbyder i Danmark. Det er ikke uden en vis nervøsitet, at jeg lader hackeren rode rundt på sitets kode. Mikkel Frohn smiler lidt og kigger op på mig.

”Trækker de automatisk pengene på et kort,” spørger han og gør mig pludselig lidt ekstra nervøs.

”Mange virksomheder køber et site eksempelvis til et event, og så glemmer de alt om det, ofte fordi de betaler over firmakortet. Når deres leasing af serveren eller domænet så udløber, kan ondsindede personer overtage det. Hvis det for eksempel er en bank, kan de personer, der overtager domænet, lave en eksakt kopi af sitet, hvilket kan bruges til at lokke NemID og andre bankoplysninger ud af de besøgende. Alternativt kunne man lave en kopi af siden, så virksomheden måske endda ikke selv opdagede, at der var sket noget udover den lille detalje, at de faktureringsoplysninger, der er oplyst nu, tilhører de ondsindede personer,” forklarer han.

En stor del af Mikkel Frohns arbejde sker i regi af virksomheder, der køber hans tekniske kunnen og krøllede hjerne. Jeg spørger, om han har eksempler på at have arbejdet som ulønnet white hat hacker lige som it-konsulenten, der fik adgang til CPR-numre i Frederiksberg Kommune. Han trækker lidt på det, før han svarer.

”Ja, men man skal sgu passe på med det, for du kan let komme i problemer. Jeg stoler ikke på, at der ikke er nogen som misforstår mine intentioner. Forstår du? Det er jeg meget varsom med, men jo, jeg har fundet flere steder, hvor jeg har advaret gennem en sikker kanal. Jeg sidder lige nu med en leverandør, som har en sårbarhed i et CMS-system, der bliver brugt af 10 millioner sites verden over. Det har jeg advaret dem om. Det svarer lidt til at advare Nike om en fejl i sålen på en populær sko. De svarede først, at det ikke var et problem, så sagde jeg: ’Jo, I har ikke forstået det, og hvis I ikke fikser fejlen inden for 90 dage, offentliggør jeg det, for ellers er der jo virksomheder, som bruger systemet og ikke ved, at den sårbarhed eksisterer.’ Nogle af de white hat hackere, jeg kender, offentliggør fejlene med det samme, de er totalt ligeglade.”

Det oplagte spørgsmål lurer. Har farven på Mikkel Frohns hat haft andre farver end hvid tidligere i karrieren? Han ser næsten lidt fornærmet ud:

”Nej. Det handler om moral og etik. Jeg er blevet spurgt om det 1.000 gange, og spørgsmålet kommer af manglede viden, fordi folk har mange billeder af hackere, der sidder i mørke rum og bryder ind i alt, de kan. Det er langt fra realiteten.”

Med sine tekniske evner er folk som Mikkel Frohn i høj kurs. Der er få mennesker med de nødvendige kompetencer, så mange virksomheder, myndigheder og organisationer hiver så meget i ham, at pengene burde vælte ind på kontoen. Men sådan er det ikke helt. I skrivende stund arbejder Mikkel Frohn 15 timer om ugen, fordi han er ved at springe ud som iværksætter sammen med en forretningspartner. De har udviklet et overvågningssystem, der kan fortælle, hvilke informationer mennesker og grupper med onde intentioner har om konkrete virksomheder.

”Det handler om at se, hvilke værktøjer, tanker og teorier hackerne bruger på de mørke sider af nettet. Du leverer bare navnet på en virksomhed, hvorefter mit system kan finde ud af, hvordan virksomhedens IT-infrastruktur ser ud. Her kan du få et kontinuerligt overblik og rette op på sårbarheder, før de udvikler sig til store sikkerhedsproblemer.”

For tiden holder han møder med investorer, der er interesseret i projektet.

”Nogle gange tænker jeg faktisk, at det, jeg laver, er en del af en ond spiral. Selvom vi er de gode. For virksomhederne er nødt til at investere mere og mere i deres it-sikkerhed, og heller ikke en white hat hacker kan stoppe alt. Det er umuligt. Den eneste måde at gøre en computer 100 procent sikker er ved at slukke den, tage stikket ud af kontakten og frakoble bluetooth og wifi. Og selv der, kan jeg være i tvivl.”

Se, hvad vi ellers skriver om: Job og Internettet