– I praksis kan du veldig enkelt si at det er en del av yrket mitt, at jeg får betalt for å bryte meg inn. Men det er viktig å fram at det er for å sikre systemene. For å påpeke de svakhetene som finnes, slik at andre med skumlere hensikter ikke kan utnytte dem.
Christian August Holm Hansen (25) fikk full score i første runde av vår pågående konkurranse, der vi etter hvert skal kåre Norges beste sikkerhetsekspert.
Han er informasjonssikkerhetskonsulent i Watchcom. Der er sikkerhetstesting hovedoppgaven. Christian inngår i selskapets såkalte «tiger team» av penetrasjonstestere og sikkerhetskonsulenter.
De forsøker altså å bryte seg inn i kundens systemer i et avtalt spill for å avdekke sårbarheter.
Åpen kildekodeprosjektet Metasploit er et av de mer kjente verktøyene, som denne bransjen kan finne på å benytte seg av.
– Vi bruker en hel del ferdiglagede verktøy for å lette arbeidet. Det blir brukt en kombinasjon av automatiske verktøy, som kan avdekke noe, i tillegg til manuelle tester der man for eksempel kan gi applikasjonen det er snakk om input den ikke forventer. For deretter å observere hva applikasjoner gir tilbake. Slik kan man se hvor en applikasjon feiler og hvor det kan finnes et utnyttbart sikkerhetshull, sier Hansen.
Teknikken han snakker om er såkalt «fuzzing», noe du kan lese litt mer om i en eldre reportasje:
Liker variasjonen
Christian August tok sivilingeniørstudier innen kommunikasjonsteknologi ved NTNU i Trondheim, inkludert et studieopphold ved Eurécom i Frankrike.
– Oppholdet i Frankrike ga en praktisk tilnærming til teorien fra NTNU.
Variasjon i arbeidsoppgaver og kanskje en dose spenning han ikke vil fortelle om, er noe av det som tiltaler ham med yrkesvalget.
Han ønsker ikke å gå nærmere inn på kundenes utfordringer eller konkrete erfaringer fra jobben.
– Det som er mest spennende er at det er veldig varierende. Man kommer borti mye forskjellig, kanskje i motsetning til de som spesialiserer seg på en type programvare eller type utviklerjobb.
– Bratt læringskurve
– Hvorfor bør andre vurdere en karriere i IT-sikkerhetsbransjen?
– Det er en bratt læringskurve, men en spennende arbeidshverdag. I en stilling som min får man også en god kombinasjon av kontakt med både mennesker og teknologi.
– Hvor viktig er sertifiseringer, utdanning og det å kunne teorien for å løse arbeidsoppgavene dine?
– For meg personlig har nok utdannelsen vært essensiell, men det er absolutt ikke noe krav. Man kan lære seg disse tingene på egenhånd også, men IT-utdannelsen i bunn gir et godt og bredt grunnlag.
Hittil har oppgaven i den fortsatt pågående konkurransen vært temmelig teoretisk anlagt. Hvor viktig er den operative biten? Og hva slags kompetansemiks tenker du at Norges beste sikkerhetsekspert burde ha?
– Man trenger en helhet. Du er nødt til å ha forståelse for hvordan en bransje eller business fungerer generelt, samtidig som man må ha det teoretiske grunnlaget. Samtidig mener jeg det praktiske er veldig viktig.
Faglig påfyll er viktig
Som i de fleste IT-relaterte jobber må også sikkehetsfolk sørge for faglig påfyll. Det skjer både på jobb og på fritiden, vedgår Hansen.
Hos arbeidsgiveren inkluderer det tid både til teori, praktiske oppgaver så vel som det tekniske. De har også egne fagdager der testmiljøet velger egne tema.
– Typisk hvis en i teamet har noe kult han har prøvd ut, eller ønsker å prøve. Det er veldig viktig for å vedlikeholde kompetansen, for dette er en bransje som er i endring hele tiden.
Stikkord her er det evig galopperende trusselbildet.
– Mye av grunnen er nok at det i de senere årene er blitt mer penger i dette for kriminelle. Et godt eksempel er utpressingsvare (ransomware). Det er lettere tilgjengelig enn før og man kan kjøpe ferdig programvare som er skreddersydd for å utnytte sårbarheter.
Angrep i trygge omgivelser
Skal en holde seg oppdatert, finnes det mange ressurser på nett. Enten de koster noen kroner eller er gratis. Rådet til Christian August er å sjekke ut for eksempel nettstedet Vulnhub.
– Du laster typisk ned en virtuell maskin, så kan man prøve ut teorien i praksis i trygge omgivelser. Det inkluderer alt fra sårbare webapplikasjoner til buffer overflows, format string attacks, egentlig hele spekteret. En annen ressurs er å delta i diverse «capture the flag»-konkurranser, der man kan være med å konkurrere om å finne sårbarheter, samt løse logiske og tekniske sikkerhetsoppgaver.