Emil hackede et af Danmarks største energiselskaber – så ansatte de ham
Emil Gurevitch hackede SEAS-NVE og fik job i Silicon Valley. Som sikkerhedsingeniør arbejder han med at forhindre hackerangreb som det verdensomspændende WannaCry-angreb, der i weekenden har ramt mere end 230.000 computere i 150 lande.
Da Emil Gurevitch første gang lykkedes med at knække koden til sin elmåler en aften i slutningen af 2013, havde han ingen anelse om, at det under 12 måneder senere ville lande ham et job på den anden side af jorden i Silicon Valley og en løncheck på den gode side af 50.000 kr.
Kun udstyret med en bærbar computer og en optisk sender til at kommunikere med den digitale elmåler via infrarøde signaler var det lykkedes ham at bryde ind i systemet hjemme fra sin lejlighed på Frederiksberg. Og med en simpel kommando ville han kunne lukke måleren ned og afbryde strømmen, hvis det var dét, han ville – men Emil Gurevitch’ mål var større end blot at hacke sin egen elmåler.
”Første skridt var at overtage min egen måler. Derfra ville jeg forsøge at se, hvor langt ud i netværket, jeg kunne komme, og hvor mange andre målere, jeg kunne få kontrol over,” fortæller den 29-årige hacker og sikkerhedsekspert i dag, hvor han er hjemme i Danmark for at tale ved en it-konference i Øksnehallen i København.
Annonse
Et halvt år forinden var Emil Gurevitch blevet kontaktet af lektor Christian Damsgaard Jensen fra DTU, hvor han læste IT med specialisering i sikkerhed. Han tilbød ham muligheden for at hacke – eller penetrationsteste, som det hedder på fagsprog – energiselskabet SEAS-NVE’s nye digitale ’smartmålere’, som selskabet et par år forinden havde rullet ud i mere end 400.000 hjem over hele Sjælland.
”Da jeg blev tilbudt opgaven at angribe et elmålersystem, sagde jeg ja med det samme. Det var drømmespecialet for mig,” siger Emil Gurevitch.
SEAS-NVE, som er Danmarks største andelsejede energiselskab, var blevet ringet op af en journalist, der ville vide, hvor god sikkerheden var i deres nye målersystem. Det havde afdelingschef i målerafdelingen Bo Danielsen svært ved at svare på, og derfor kontaktede han Christian Damsgaard Jensen og bad ham finde en, der kunne angribe målerne, inden potentielt fjendtlige hackere fik samme idé. Valget faldt på Emil Gurevitch.
Sammen med SEAS-NVE fastlagde de nogle grundregler. Det skulle være så realistisk som muligt, og Emil Gurevitch skulle undersøge, hvor langt ind i energiselskabets målersystem han kunne komme hjemme fra sin egen stue, uden at nogen kunne se, hvad han foretog sig. Han blev udstyret med en smartmåler, men derfra måtte han selv finde ud af, hvordan han skulle få adgang til netværket.
”Det lyder åndssvagt, men det første, man tjekker, er, om der er et indlysende password. Og hvis du snakker med hackere i dag, er der rigtig mange, der får adgang til deres mål bare ved at sidde og gætte, fordi mange stadig ikke har lært, at man ikke bare kan have ’123456’ som kode,” siger Emil Gurevitch.
Annonse
Men helt så nemt var det ikke at bryde ind i elmåleren. Næste skridt var derfor at forsøge at opsnappe adgangsnøglen i processen, fra den indtastes og sendes videre til måleren, der enten godkender eller afviser den. Her lykkedes det Emil Gurevitch at finde et sikkerhedshul.
”Det svarer til, at du har en meget avanceret nøgle, men en primitiv lås, som er nem at dirke op,” forklarer han.
Det kom bag på SEAS-NVE, at det lykkedes Emil Gurevitch at hacke deres smartmåler, og det bekymrede Bo Danielsen, at det ikke var sværere at udføre et angreb mod den. Som næste skridt i projektet blev Emil Gurevitch derfor rykket ud af sin lejlighed og ind på SEAS-NVE’s testlab, hvor han kunne få adgang til et system med 25 målere og se, om det kunne lade sig gøre at angribe flere på samme tid.
”Hvis jeg kunne lægge to målere ned, var det ikke så stort et problem, men hvis jeg fx kunne slukke for dem alle, ville der være grund til bekymring,” siger han.
”Det viste sig, at netværket, som målerne var koblet til, var sikret bedre, end jeg troede. Men alligevel lykkedes det mig at finde en designfejl, der gjorde, at jeg kunne hacke mig ind og kontrollere alle 25 målere – altså hele nabolaget.”
Resultatet af Emil Gurevitch’ projekt var lettere foruroligende for SEAS-NVE, der havde fået påvist store sikkerhedsproblemer i deres smartmålersystem. Næste skridt var at forsøge at overtage en såkaldt datakoncentrator i netværket, som ville give Emil Gurevitch adgang til ca. 500 målere på samme tid, men inden han kom i gang, besluttede Bo Danielsen at afbryde projektet for at få udbedret de fejl, der allerede var fundet. Emil Gurevitch skrev en rapport, som blev hans speciale, og kort tid efter tog han og Bo Danielsen kontakt til Networked Energy Services (NES), der er SEAS-NVE’s amerikanske smartmåler-leverandør.
Sammen tog de til Silicon Valley, hvor Emil Gurevitch fremlagde sine resultater for udviklerne af smartmåleren og fortalte, hvordan sikkerhedshullerne i selve måleren kunne lukkes. Men designfejlen, der havde gjort det muligt for ham at overtage flere målere, var mere kompliceret, og derfor besluttede Bo Danielsen at ansætte Emil Gurevitch som projektleder med ansvar for sikkerheden i smartmålerne hos SEAS-NVE og udstationere ham hos NES.
”Når man som hacker, eller ’pen-tester’, tager kontakt til en virksomhed og gør dem opmærksomme på, at der er huller i deres sikkerhed, er de i bedste fald sjældent særligt modtagelige, og i værste fald truer de en med sagsanlæg, hvis man ikke holder sig fra deres system. Men NES var anderledes åbne, og det blev ikke bare et sideprojekt, hvor jeg kunne sidde og trille tommelfingre for mig selv ovre i hjørnet. Der var et helt team af ingeniører, som arbejdede dedikeret med at udbedre de fejl, jeg havde fundet,” fortæller Emil Gurevitch, der arbejdede for SEAS-NVE fra sommeren 2014 til efteråret 2015.
Emil Gurevitch kan ikke huske, hvornår han begyndte at interessere sig for computere. Men han kan huske hvor. Hans far er tandtekniker, og i kælderen i barndomshjemmet i Brønshøj havde han sit laboratorium, et lokale fyldt med avancerede maskiner og støv fra de tandkroner- og broer, som han sad og lavede med sin plasmaskærer. Men laboratoriet fungerede også som computerrum, for Emil Gurevitch’ far var med sønnens ord en computernørd. I laboratoriet stod den ene kasse med reservedele til computere efter den anden, og Emil Gurevitch sad ofte og kiggede på, mens hans far sad og programmerede. Allerede i 13-årsalderen begyndte han selv at programmere sine egne, små computerprogrammer.
”Jo mere jeg lærte om, hvad man kunne med en computer via helt simple kommandoer, desto mere fascineret blev jeg. Dengang jeg startede, var hacking ret nyt, men der var nogle fora på nettet, hvor jeg brugte en del tid, fordi jeg var interesseret i programmering og computerspil, og på nogle af dem var der også folk, som skrev om it-sikkerhed. Det første, jeg lærte, var, hvordan jeg kunne hacke de ting, jeg selv havde programmeret på min egen computer, og jeg tænkte, at hvis jeg kunne det, så kunne jeg også hacke andre programmer,” fortæller han.
Som 15-årig kom Emil Gurevitch med i en researchgruppe, hvor han og andre hackere mødtes via chatprogrammet IRC og talte om it-sikkerhed, fandt sikkerhedshuller i software og byggede programmer, der kunne hjælpe dem med at udnytte de svage punkter. Emil Gurevitch er stadig en del af gruppen i dag, men han kender ingen af de andre medlemmer i virkeligheden. Anonymitet er vigtigt som hacker.
”Jeg ved i princippet ikke, om de er danskere, tyskere eller amerikanere, for vi har den regel, at vi ikke taler med hinanden om vores personlige liv. Men ud fra måden de skriver på, kan man godt gætte sig til, hvilken del af verden, de er fra,” siger Emil Gurevitch.
Udførte I konkrete hackerangreb?
”Man bliver ikke god til at hacke, hvis man ikke gør det i praksis, så ja, vi afprøvede en masse ting. Jeg vil ikke gå for meget i detaljer, men som teenager cyklede jeg fx rundt til virksomheder i nabolaget, satte mig ude foran og forsøgte at bryde deres wifi-netværk eller på anden måde komme ind i deres software. Ofte virkede det ikke, og så måtte jeg køre hjem igen og finde ud af, hvad jeg så skulle gøre.”
I dag arbejder Emil Gurevitch i NES’ europæiske afdeling i Polen. Da projektet med at forbedre sikkerheden i SEAS-NVE’s smartmålere var afsluttet, blev han tilbudt et job som sikkerhedsingeniør hos NES på det team i den amerikanske virksomhed, der har ansvar for at udvikle sikkerheden i målersystemet, som anvendes i en række lande – primært i Europa.
Men fordi Emil Gurevitch ikke havde et arbejdsvisum, var han nødt til at forlade Silicon Valley og tage til Europa for at arbejde et år, så han kunne kvalificere sig til et udstationeringsvisum. Det venter han stadig på i dag, men forventer at vende tilbage til USA i løbet af 2017. I mellemtiden fortsætter han sit arbejde på det polske kontor med at forbedre sikkerheden i NES’ målere.
Hvorfor er et energiselskab et interessant mål for hackere?
”Det er det først og fremmest, fordi man potentielt kan kontrollere den strøm, der leveres til dets brugere. Et system som SEAS-NVE’s smartmålere er i mine øjne kritiske infrastruktur, og når du snakker kritisk infrastruktur, snakker du også terrortrusler. Et eksempel på et af de største angreb mod et energiselskab var, da en gruppe hackere, formentlig russiske, lykkedes med at slukke strømmen hos over 200.000 mennesker i det østlige Ukraine i december 2015. Den slags angreb kan have store konsekvenser.”
Hvad er den nemmeste vej ind i en computer eller et system for hackere i dag?
”Det er at ’phishe’, hvilket vil sige, at jeg fx sender mails ud med en vedhæftet fil, der ligner, at det kommer fra chefen, bestyrelsen eller noget helt tredje. Så snart en person klikker på den fil, resulterer det typisk i, at jeg får adgang til vedkommendes computer, passwords osv., og så kan jeg hacke mig ind derfra. At udnytte menneskelige fejl er en af de nemmeste og mest effektive metoder for hackere, og genbrug af password er fx en af de største syndere, når det kommer til manglende it-sikkerhed. I rigtig mange tilfælde får jeg også adgang til en persons email, hvis jeg fx har fået fat i passwordet til vedkommendes konti på sociale medier.”
Hvor sårbar er dansk infrastruktur over for hackerangreb, fx mod energiselskaber?
”Vi har endnu til gode at se et rigtigt hackerangreb på vores smartmålere, men der er ingen grund til at tro, at det ikke kan lade sig gøre. Angreb som det i Ukraine er meget sjældne, fordi de kræver enormt mange ressourcer, men det er også noget af det, der er sværest at sikre sig imod, og der har været hackerangreb mod danske energiselskaber. En mere hyppig form for hacking, som jeg tror, at vi skal være mere bekymrede for, er kriminelle, der vil tjene penge på dårlig sikkerhed, fx ved at lave ransomware-angreb. Det vil sige, at man ”kidnapper” filerne på computerne på fx et hospital, i en bank eller et elselskab og kræver penge for at låse dem op igen. Og der er rigtig mange virksomheder eller offentlige institutioner, hvor it-sikkerheden ganske enkelt er for dårlig og fuld af huller. I USA var der nogle hackere, der stjal journaldata, og i det tilfælde er hospitalerne som regel så desperate, at de ender med at betale hackerne, fordi lægerne ganske enkelt ikke kan behandle patienter og redde liv uden adgang til deres journaler. De har ikke noget valg – problemet er bare, at hvis de betaler, så gør hackerne det igen og igen.”
Lige nu fylder det store WannaCry-hackerangreb, der har ramt mere end 230.000 computere i 150 lande, meget i medierne. Kommer det bag på dig, at en lille gruppe hackere har kunnet gennemføre så stort et angreb?
”Når angreb i den størrelsesorden lykkes, kommer det altid som en overraskelse, også selv om mange it-sikkerhedseksperter har advaret om, at det kunne ske. Hackerne har bombarderet computere med phishing-mails, men det sker mange tusinde gange hver eneste dag i hele verden, og derfor er det overraskende snarere, at de har formået at udnytte et hul i Windows, som har gjort, at deres virus har kunnet sprede sig ekstremt hurtigt. Egentlig lukkede Microsoft sikkerhedshullet med en opdatering i marts, men fordi der altid går noget tid, før alle får opdateret deres computere, har hackerne stadig kunne angribe det svage punkt. Det interessante ved dette angreb er, at det er NSA (amerikansk sikkerhedstjeneste, red.), som har udviklet værktøjet til at udnytte sikkerhedshullet i Windows. Men det blev lækket på nettet ved en fejl og faldt lige ned i skødet på hackerne.”
Hvad kan virksomheder og offentlige institutioner gøre for at undgå, at det sker igen?
”Det vigtigste er, at de husker at tage backup, at de tester den backup jævnligt for at sikre, at den virker, og at de husker at holde deres systemer opdateret. Egentlig er det meget simpelt: Hvis alle havde opdateret deres Windows, ville WannaCry-virussen ikke have spredt sig nær så hurtigt. Derudover bør de gøre deres medarbejdere opmærksomme på, at de skal tænke sig om to gange, før de åbner en mistænkelig mail – også selv om det ser ud som om, at den kommer fra deres chef.”
Tror du, at vi kommer til at se flere af den slags angreb i fremtiden?
”Ja, det er jeg sikker på. Lige nu er det en rigtig god forretning for hackere at lave ransomware-angreb, fordi gevinsten er meget stor, i forhold til hvor meget det kræver at gennemføre angrebet. Der er allerede nogle, som har betalt løsesummer til WannaCry-hackerne for at få deres filer tilbage, og der er nogle researchere, der har fundet frem til, at de på nuværende tidspunkt har tjent omkring 39.000 dollars (ca. 260.000 kr., red.). Det lyder måske ikke af så meget, men når man tænker på, hvor lidt de har skulle gøre, fordi de fik det hele foræret af NSA, er det en ret god timeløn. Så længe det bliver ved med at være en god forretning for hackere at lave ransomware-angreb, og så længe gevinsten er så stor i forhold til det arbejde, der kræves, vil der kun komme flere angreb som det, vi oplevede i weekenden.”