Er det egentlig i orden, når man på blogs som denne, deler viden om hvordan en hacker, i praksis angriber en infrastruktur? Spørgsmålet synes at dele vandene.
Personligt er jeg klar tilhænger af at dele en sådan viden, da det som oftest peger en i retning af, hvordan man skal beskytte sig mod disse angreb.
Et eksempel er mit indlæg om hvordan en hacker kan have glæde af NTDS.dit filer – og jeg har mere på vej af samme skuffe, med mindre nogen altså her kan overbevise mig om, at det ikke vil gavne sikkerheden “derude”.
Vi er alle i krig
En af de mest berømte militærstrateger gennem tiden, kinesiske Sun Tzu, skrev i sit værk “The Art of War”, at man skal kende både sig selv og sin fjende for at have succes i krig – og egentlig er analogien til krig ikke så dum endda.
Vi er alle konstant under angreb. Uanset hvor uinteressante vi kan synes at være for en angriber. For nogen er der næsten gået sport i at (bort)forklare hvor uinteressant deres systemer, data og netværk er for potentielle angribere, »Jamen, vi har jo slet ikke noget andre kan være interesserede i…«. Tænk igen!
Faktum er, at hvis vi bare har en enkelt computer, der er tilsluttet Internettet, så er der noget at komme efter for en hacker. Det er den virkelighed, vi lever i her og nu og som åbenbart er svær at acceptere for mange – både private og virksomheder. Der er også civile tab i denne form for krig.
Det synlige behøver vi ikke at tro på
Nogle ting skal vi se, før de bliver virkelige. Vi kan få at vide nok så mange gange, at “hackeren kommer“. Først når vi ser, hvor nemt det er, hvor konkret truslen er, har vi tendens til at handle. Hvorfor skulle vi blindt tro på de der “sikkerhedsspecialister”, de vil jo bare sælge konsulenttimer, ikke?
De bedste moderne kurser i IT-sikkerhed er baseret på, at kursisten lærer at kompromittere et større antal systemer. Man skal “Capture The Flag” (CTF) – udføre et reelt hack og stjæle de relevante data.
Når man først har lært, hvor nemt det er at dirke en almindelig lås op, så tænker man grundigt over hvilken type man sætter i sin egen hoveddør.
Med viden om os selv, dvs. vores egne systemer, ressourcer og data, så ved vi, hvad der skal beskyttes og hvordan vi har bygget vores sikkerhed op, herunder styrker og svagheder.
Med viden om fjenden, dvs. modstanderens tankegang, muligheder, værktøjer og metoder, så har vi en chance for at beskytte os selv effektivt.
Hva’ så med de svage sjæle?
Man skal måske ikke friste de såkaldt “svage sjæle”?
Min personligt holdning er, at hvis en given entitet er motiveret til at angribe en anden person eller virksomhed, så er der rig mulighed for at finde informationerne online, selv Youtube er et godt sted at starte. Alle ved hvordan man kan slå ihjel med en køkkenkniv, eller med de bare hænder for den sags skyld, men det betyder ikke, at vi render rundt og myrder i flæng.
At vi “tier stille” giver kun falsk tryghed, en form for “security through obscurity” – eller måske nærmere “security through ignorance”? Nej, hellere “råbe op” og skabe opmærksomhed. Så kan det være, at der bliver gjort noget ved tingene.
Hvad er din holdning?
Leave a Reply