Velkommen til Lørn.tech, en lærings dugnad om teknologi og Samfunn med Silvija Seres og venner.

Silvija Seres: Hei og velkommen til Lørn. Jeg er Silvija Seres og dagens tema er cyber security. Gjesten min er Vegard Guttormsen fra Cybereason, velkommen!

Vegard Guttormsen: Tusen takk!

Silvija: Vegard, du har egentlig hjulpet oss å finne flere gode venner innenfor cyber security og brenner veldig for temaet i praksis, så det kommer vi til å utforske sammen. Men før vi gjør det, kan du si to ord om hvem Vegard er? 

Vegard: Vegard er en kar som brenner for innovasjon, teknologi, læring, deling. Min fellesnevner profesjonelt i min tidligere karriere har vært at jeg har tatt innovative nye selskaper og introdusert de inn i det norske markedet. Innenfor ulike type ting, men fellesnevneren har ofte vært programvare altså Software. Cybereason er min siste gigg, som er et innovativt selskap med sin opprinnelse fra Israel, men vi flyttet selskapet over til USA etterhvert. Men vi gjør ting på en annen måte enn alle andre aktører innenfor cyber, som gjør at vi med færre ressurser raskere kan detektere og finne ut om man er under angrep eller har vært hund angrep og hva kan jeg gjøre for å stoppe, blokkere, isolere og fikse. Også se hva har storylinen vært, hvor kom de inn, hva gjorde de, hvor gikk de osv. Så det er vår plattform. En stor adferdsanalyse-motor for å konkret knyttet på cyber, hvor vi bruker moderne teknologi som grafteknologi. Masse AI og maskinlæring for å analysere enorme datamengder i santid. Fordi i cyber er det sånn at speed is of essence i den forstand at hvis du er under angrep, så ønsker du å stoppe «the bad guys» så tidlig penetrasjon som overhodet mulig. Og ikke at de har vært i nettverket ditt 99 til 200 døgn, som man kan da lese om i ulike rapporter. Det er det er det vi driver med. 

Silvija: Du snakker om sånne ord som angrep, kan ikke du hjelpe oss å forstå litt hva som er de vanligste angrepene innenfor cyber security i praksis? 

Vegard: Så lenge du har en device med en mikroprosessor så kan den programmeres, og det betyr at den kan hackes. Om det er en smart meter som står og måler strømmen på huset ditt, eller om det er en mobiltelefon eller en Laptop spiller ingen roll for angriperen. 

Silvija: Hvordan gjør de det? 

Vegard: Angriperen bruker veldig ofte kjente verktøy. Det kan ligge for eksempel i Microsoft tjeneste, ulike type administrasjon og operations verktøy som ligger der. De bruker noen av de tingene som allerede ligger på duppeditten din til å kommunisere med noe som de produserer for at de kan laste ned det vi kaller for «payload». En eller annen form for en ondartet kode

som blir lastet ned, og akkurat i det tidspunktet de penetrerer, da er det mest støy. Så det de prøver å gjøre veldig raskt er å innjekte en annen prosess som likevel summere går. Og på laptopen din eksempel, når du bruker Firefox så kommunisere Firefox med nettet, og ingen operatør ville ikke funnet det merkelig at Firefox har connections til internettet. Det vil si at man kanskje injiserer en prosess i Firefox for å skjule seg bak den.

Silvija: Og den prosessen kan da lytte til mine data og stoppe ting på datamaskinen min? 

Vegard: Det er litt avhengig av hva du gjør. Men Lockheed Martin som driver med våpensystemer og mye annet. De introduserte for et antall år tilbake noe de kaller en «kill chain», og det betyr at det er en del non-negotiable atferdsmessige ting knyttet til cyber attack. Så teknikkene og verktøy kan endre seg fra gang til gang, men atferdsmessig så søker en attacker seg igjennom den samme prosessen, atferdsmessig. Det betyr at de infiltrerer, deretter ønsker de å eskalere privilegier. Og før de kommer så langt må de gjøre en form for recon hvor de ser hvem som rapporterer til hvem i denne virksomheten og hvor det foregår informasjonsflyt osv. Også eskalereer de privilegiene fra din brukerkonto til kanskje admin på din laptop, og gjennom det får de tilgang til andre type verktøy og muligheter. Så flytter de seg lateralt, altså sidelengs over på en annen maskin. Så kan de injesere andre prosesser for å gjøre det vi kaller command and control. Det å ha mulighet til å ringe hjem til seg selv, og det å hente ned nye typer payloads eller nye typer skadevarer. Og det ultimate formålet til en hacker kan jo være miljømessig. Så det kan være syk aktivist i natt så de har en miljømessig vinkling på det. De kan være en såkalt Hacktivist, at de har en miljømessig vinkling på det de driver med. 

Silvija: Man kunne sagt at wikileaks var noe sånt?

Vegard: Ja, det er litt avhengig av hva ståsted man har. De kan være kriminelle, altså de gamle gutta som gikk inn i banken og sa «hendene i været» i gamledager. De gjør jo ikke det lengre. Et av de mest kjente bankranene som skjedde i fjor, mange millioner dollar, det ble ikke avfyrt et eneste skudd, alt var basert på cyber. Det kan være at de er ute etter konkurrentinformasjon. Det kan være kunder, politikk, nasjonal sikkerhet. Så det kan være en rekke forskjellige motiver bak den som gjør det. Man er ikke lenger guttungen med tjukke briller, svart t-skjorte og Redbull som sitter nede i bomberommet. Dette her er høyst reelt. Teknikkene og verktøyene som ble brukt av Cozybear og Lazybear når de hacket det demokratiske partiet i USA, som er mye omtalt og som folk har hørt om. Fordi 75 000 e-mails ble avdekket. Og det ble også avdekket gjennom det at demokratiske partiet hadde en preferanse av Hillary Clinton fremfor andre kandidater. De plantet ett spørsmål på forhånd sånn at når hun kom inn i studio og ble stilt et spørsmål så var hun allerede forberedt. Disse teknikkene som de her relativt avanserte russiske hacking-gruppene brukte er fullt tilgjengelig med metoder og teknikker i dag. Og det kan enten brukes ved hjelp av helt kjente modeller, eller man kan gå på darkweb og bestille det for 5-10 dollar. Og for hackere så er det også er ROI-betraktning. Hva er innsatsfaktoren jeg må putte ned i forhold til rate of suksess.

Silvija: Så vi burde gjøre det litt dyrt for dem? 

Vegard: Vi må gjøre det dyrt for dem. Også må vi sørge for at hvis du opererer under en forutsetning av at du er under angrep kontinuerlig, så istedenfor å agere og reagere til noe som allerede har inntruffet, så skal du jakte. Og det er det gjør at Cybereason skiller seg ut også. Vi har dette enorme datacenteret, og det gir oss muligheten til å drive med det vi kaller proactive threat hunting. Det vil si at vi jager bad actors fra et adferdståde i nettet ditt, eller dine partnere sine nettverk. 

Silvija: Du venter ikke på å se effekten av hva de har gjort, du prøver å se om du kjenner dem igjen «på gangen». 

Vegard: Du opererer med en forutsetning av at de er der. Også så er det nærmeste omvendt hypotesetesting. 

Silvija: En av de tingene jeg digger med dere er at dere gjør dette veldig praktisk. For du sa dette er tilgjengelig og hvem som helst kan bruke det. Tilgjengelig og tilgjengelig fru blom, det er ikke alle som føler seg komfortable med og prøve å leke litt cyber security og hackerverktøy. Men dere har workshops hvor folk kan lære seg hvordan man for eksempel kan ta over kamera i en telefon. Hvor fort kan man gjennomføre en sånn øvelse?

Vegard: Vi kaller det en attack simulation. Og det vi gjør er at viser med en moderne metode hvordan du kan bli under angrep. Og det tar 45 minutter. Så i løpet av 45 minutter så vil kunder, folk og organisasjoner lære seg ekstremt mye om hvordan det 21. århundrets trusler ser ut og hvordan de verktøyene man bruker ser ut. Og hvilke muligheter man har for å beskytte seg. 

Silvija: Man kan lære mye av å lese bøker og sånt, men det man lærer best av er å få leke litt med ting. Hvis du skulle anbefale en bok eller ett nyhetsbrev. Hvor ville du sendt dem for å begynne å skrape litt i overflaten av cyber security.

Vegard: Hvis de er inn i bøker så kan man lese en bok som heter «Stuxnet», og hvis man ikke liker boken men vil gå direkte til filmen så tror jeg man kan søke på YouTube og finne filmen der. Også vil jeg anbefale en podcast-serie på Spotify som heter «Malicious life» som er veldig god rundt cyber. 

Silvija: Hva er den ene tingen folk skal huske fra samtalen vår?

Vegard: Hjelpen er nær. Ved å dele informasjonen og snakke sammen kan vi skape en informasjonsflate som er sterkere og kan slå ut the bad actors. Så istedenfor å sitte på hver vår tue så må vi prate sammen og komme sammen for å lære mer.

Silvija: Vegard Guttormsen fra Cybereason. Tusen takk for at du kom hit og inspirerte oss til å begynne å leke litt med cyber security i praksis.

Vegard: Takk for at jeg fikk komme. 

Silvija: Og takk til dere som lyttet. 

Du har lyttet til en podcast fra Lørn.tech, en læringsdugnad om teknologi og samfunn. Følg oss i sosiale medier og på våre nettsider Lørn.tech