Heiðarlegir hakkarar til varnar

Netör­ygg­is­mál eru Theó­dóri Ragn­ari Gísla­syni hug­leik­in enda nauðsyn­legt að huga að ör­ygg­inu þegar viðkvæm­ar upp­lýs­ing­ar eru ann­ars veg­ar. Fyr­ir­tæki hans, Def­end Ice­land, aðstoðar fyr­ir­tæki við að koma auga á veik­leik­ana svo hægt sé að tryggja að ekki verði gerðar netárás­ir sem geta valdið mikl­um skaða eða viðkvæm­um upp­lýs­ing­um stolið. Theó­dór hyggst auka sta­f­rænt ör­yggi Íslands og svo nýta þá reynslu víðar í hinum stóra heimi.

Fann mig í hakk­ara­heimi

Ímynd­in af hakk­ara er ung­ur og upp­reisn­ar­gjarn maður, ein­fari í hettupeysu sem veld­ur usla þar sem hann get­ur. Theó­dór kann sann­ar­lega að hakka, en pass­ar ekki inn í þessa staðalí­mynd, enda mætti kalla hann heiðarleg­an hakk­ara; mann sem nýt­ir kunn­áttu sína til að brjót­ast inn í tölvu­kerfi til góðs í því skyni að finna ör­ygg­is­veik­leika áður en árás­ar­hóp­ar gera það. Theó­dór seg­ist hafa byrjað ung­ur að hafa áhuga á for­rit­un, en allt hófst þetta með slæmu slysi þegar hann var á fjór­tánda ári.

„Það var sjötta janú­ar 1994 að ég stóð og beið eft­ir strætó með hópi af krökk­um úr Haga­skóla. Svo kom strætó og stopp­ar en hleyp­ir eng­um inn og ég er að banka í vagn­inn eins og fleiri. Stræt­is­vagna­bíl­stjór­inn varð eitt­hvað pirraður og keyrði af stað og ég rann und­ir bæði aft­ur­dekk­in. Ég möl­brotna, aðallega á mjöðm, fékk mikið af bein­flís­um í mig og var með mikl­ar inn­vort­is blæðing­ar. Þvagrás­in fór í sund­ur og þvag­blaðran skarst og ým­is­legt fleira. Ég var með meðvit­und all­an tím­ann, en missti mikið blóð. Ég veit ekki hvernig ég lifði þetta af,“ seg­ir Theó­dór. Hann seg­ir for­eldra sína hafa búið sig und­ir hið versta og kvöddu hann á spít­al­an­um.

„Ég hafði verið virk­ur í íþrótt­um, en ég var mjög lengi að jafna mig og var í end­ur­tekn­um aðgerðum í tvö ár á eft­ir. Það þurfti að setja mig sam­an aft­ur. Þannig að á þess­um tíma fór ég úr því að vera aktív­ur í skóla og íþrótt­um, yfir í að vera fast­ur heima. Ég var byrjaður að fá tölvu­áhuga en þarna fann ég mig á in­ter­net­inu,“ seg­ir Theó­dór og seg­ist ekki hafa getað mætt í skól­ann næstu tvö árin og var met­inn ör­yrki að hluta.

„Slysið hafði mik­il mót­andi áhrif á mig. Ég lærði þraut­seigju og það er ekki í mér að gef­ast upp. Og ég ber mikla virðingu fyr­ir líf­inu sem er mjög hverf­ult,“ seg­ir hann.

„Ég lærði for­rit­un og fann mig strax í þess­um hakk­ara­heimi. Ég var ein­stak­lega for­vit­inn og hafði gam­an af því að smíða hug­búnað og taka hann í sund­ur. Og ein­hvern veg­inn átti það meira við mig að taka hann í sund­ur og skilja hvernig sam­spil ör­gjörva og minn­is í tölvu virk­ar. Ég varð for­fall­inn hakk­ari á þess­um tíma, ung­ling­ur­inn sem var kannski ekki með þroskaða siðferðis­kennd,“ seg­ir hann og bros­ir.

„En fljót­lega fór ég að sjá að þarna væri eitt­hvað sem ég gæti unnið við,“ seg­ir Theó­dór sem jafnaði sig með tím­an­um og náði ágætri heilsu.

„Ég finn enn fyr­ir ein­hverj­um óþæg­ind­um, en læt það ekki trufla mig og er mjög aktív­ur.“

Notað til að hakka NASA

Strax á ung­lings­aldri fékk Theó­dór áhuga á tölvu­ör­yggi, eða skort­in­um á því.

„Mér fannst ekk­ert skemmti­legra en að finna ör­ygg­is­veik­leika og sanna hann með for­riti. Ég varð mjög góður í því mjög fljótt og smíðaði sjálf­ur for­rit sem voru síðar notuð til að brjót­ast inn í NASA og olli nokkr­um usla. Þessi orm­ur, sem var að nota mitt for­rit, sýkti tölv­ur úti um all­an heim. Ég var pínu stolt­ur af því að hafa smíðað þenn­an hug­búnað en fékk svo sam­visku­bit. Ég hef ekki gefið út svona for­rit op­in­ber­lega síðan þá,“ seg­ir Theó­dór og út­skýr­ir að á þess­um tíma, um alda­mót­in, hafi hóp­ur hakk­ara á heimsvísu ekki verið stór.

„Þetta var í raun hakk­ara­sam­fé­lag og þetta var leiðin til að skapa sér nafn og sýna að maður væri fær. Svo vildi það til að fólk var að leka þessu og dreifa út um allt og þetta endaði í hönd­un­um á þeim sem voru mein­fýsn­ir. Ég lærði heil­mikið af því að sjá að for­ritið mitt, sem ég hafði hannað í full­komnu sak­leysi, notað til að valda tjóni. Ég skildi það þá fyrst hversu mik­il áhrif það gæti haft að finna ein­hvern ör­ygg­is­veik­leika. Ég fann að þessu fylgdi mikið vald. Það hef­ur mótað minn starfs­fer­il alla tíð síðan af því að það hef­ur svo lítið breyst á þess­um 25 árum. Það eru enn ör­ygg­is­veik­leik­ar úti um allt, í öll­um hug­búnaðar-, net- og tölvu­kerf­um og á sama tíma er búið að staf­væða allt. Það þarf að finna þessa ör­ygg­is­veik­leika og laga þá áður en ein­hver mis­not­ar þá,“ seg­ir Theó­dór og seg­ir ekki hægt að horfa fram­hjá því að til séu und­ir­heim­ar þar sem hakk­ar­ar starfa í vafa­söm­um til­gangi.

„Það er ekki gott fyr­ir sam­fé­lagið að stinga hausn­um í sand­inn. Það er mik­il­vægt að varpa veik­leik­um upp á yf­ir­borðið, sem ör­ygg­is­tæki­færi. Ann­ars erum við auðvelt skot­mark; ég full­yrði það. Það er hægt að valda æv­in­týra­legu tjóni.“

Hafa þurft að greiða háar upp­hæðir

Hvað væri til dæm­is æv­in­týra­legt tjón? 

„Það fer eft­ir því hvað er mik­il­vægt fyr­ir þig. Fyr­ir orku­kerfið eru það kannski veitu­kerf­in og fyr­ir fjár­mála­kerf­in eru það lána­söfn­in eða viðkvæm­ar upp­lýs­ing­ar. Í heil­brigðis­kerf­inu eru það sjúkra­skrár,“ seg­ir Theó­dór og seg­ir að það sem yf­ir­leitt býr að baki árás­um sé von um gróða.

„Það eru lausn­ar­gjalds­árás­ir og gagnagísla­taka þar sem hakk­ar­inn brýst inn og tek­ur yfir net­kerfið, yf­ir­leitt í gegn­um ör­ygg­is­veik­leika. Ný­lega tók rúss­nesk­ur hakk­ara­hóp­ur, Akira, tölvu­kerfi HR úr um­ferð. Þeir ná þá stjórn og dreifa hug­búnaði á tölv­ur og dul­kóða gögn. Það sem svona aðilar gera oft­ast er að sjúga gögn út, oft viðkvæm per­sónu­greina­leg gögn og gagna­grunna, og hóta að birta þau. Þannig að pen­ing­ur er aðal­mark­miðið og þetta er að aukast gríðarlega,“ seg­ir Theó­dór og seg­ir mik­il­vægt að fórn­ar­lömb netárása greiði hökk­ur­un­um ekki fyr­ir að fá gögn­in til baka.

„Þónokk­ur fjöldi ís­lenskra fyr­ir­tæki hef­ur lent í þessu og ég veit til þess að ís­lenskt fyr­ir­tæki hef­ur greitt hátt lausn­ar­gjald til að ná aft­ur upp sín­um rekstri,“ seg­ir Theó­dór.

„Sum­ir borga og sum­ir verða að borga. Ef þú ert til dæm­is með fram­leiðslu­línu sem er hætt að virka og þeir eyddu öll­um af­rit­um, þá er ákvörðunin mjög erfið. Ég mæli auðvitað ekki með að borga því þá ertu bara að fóðra brans­ann. Þetta er skipu­lögð glæp­a­starf­semi og það er nóg af þess­um hakk­ara­hóp­um.“

Öryggis­vit­und það skemmti­leg­asta

Theó­dór ein­beit­ir sér nú að miklu leyti að sprota­fyr­ir­tæki sínu, Def­end Ice­land, þar sem reynsla hans og þekk­ing nýt­ist vel.

„Þessi hug­mynd teng­ist fortíð minni og þeirri vitn­eskju að ör­ygg­is­veik­leik­ar séu úti um allt og að ég vilji hvetja til ábyrgra til­kynn­inga og upp­götv­un­ar á ör­ygg­is­veik­leik­um í sam­fé­lag­inu svo við get­um komið í veg fyr­ir tjón,“ seg­ir Theó­dór og seg­ist hafa unnið að þessu í fimm ár.

„Þetta er erfið brekka; að út­skýra og sann­færa fólk um að þetta sé hin rétta leið, því ég er full­kom­lega sann­færður um það. En ég mæti oft tor­tryggni,“ seg­ir hann og seg­ir fólk ótt­ast orðið hakk.

„En verk­efnið snýst ekki um að hakka held­ur verja,“ seg­ir hann. 

„Ég vil búa til aðferðafræði sem er sam­fé­lags­lega drif­in vara þar sem við búum til sam­fé­lag fólks sem vill auka sta­f­rænt ör­yggi. Það eru þess­ir „heiðarlegu hakk­ar­ar“ eða ör­ygg­is­sér­fræðing­ar sem ég er að virkja í gegn­um lýðvirkj­un,“ seg­ir hann.

Við för­um að slá botn­inn í afar upp­lýs­andi viðtal við mann sem hef­ur brenn­andi áhuga á sínu starfi og vilja til að bæta sam­fé­lagið.

„Ég veit ekk­ert skemmti­legra en ör­yggis­vit­und og að fræða fólk um eitt­hvað sem ég hef nör­d­ast í í þrjá­tíu ár. Ég hef all­an minn fer­il reynt að auka skiln­ing en það er alls ekki nóg. Við verðum að bæta þetta. Eins og staðan er í dag erum við af­skap­lega auðvelt fórn­ar­lamb og því þurf­um við að breyta. Aukið sta­f­rænt ör­yggi er verk­efni sam­fé­lags­ins alls.“