I sikkerhedens tjeneste

32-årige Henrik Lund Kramshøj har dedikeret en stor del af sit liv til at skabe en sikker IT-infrastruktur til gavn for virksomheder og private internetbrugere. En dedikation som opstod på grund af en programmeringsfejl i en orm.

Af Dan Mygind
I november 1988 slap Robert T. Morris et selvreplikerende program løs på Internettet. Datalogen Robert T. Morris gjorde det som led i et eksperiment med såkaldte orme; programmer, der spreder sig over et netværk og reproducerer sig selv til maskiner koblet på netværket. Robert T. Morris's program viste sig imidlertid at indeholde en fejl, så programmet spredte sig langt hurtigere end han havde forventet. Tusindvis af VAX- og UNIX-maskiner på Internettet blev angrebet af ormen og resultatet blev at Internettet stort set blev lammet. Roberts orm, som blev navngivet Internet-ormen, fik uforvarende sat fokus på Internettets sikkerhedsproblemer. Men den gjorde mere end det. Den fik også afgørende indflydelse på Henrik Lund Kramshøjs liv. I 1988 gik Henrik Lund Kramshøj i gymnasiet på Metropolitanskolen og og var allerede på det tidspunkt interesseret i hacker-kulturen – blandt andet inspireret af film som Wargames. Henrik havde en Commodore 128 – men dog ikke noget modem. Først da han begyndte at læse Datalogi på Københavns Universitet i 1990, blev Internettet en del af hans liv. Men det afgørende vendepunkt skete i starten af 1990'erne. Her fandt Henrik nogle dokumenter - på Internettet - der detaljeret beskrev Internet-ormens opbygning. Henriks interesse for sikkerhedsproblematikker blev for alvor vakt. En interesse, der efterfølgende blev hans levevej.

Konsulent-nørden

Mere end 15 år efter Robert T. Morris slap sin orm løs, sidder Henrik Lund Kramshøj i catpipe systems kælderlokaler i København. Han sidder koncentreret og kigger på skærmen foran sig. Da jeg hilser på ham, kigger han op, rækker hånden frem og siger pænt goddag. Øjnene flakker tilbage til skærmen og han siger åndsfraværende: “Jeg var lige igang med – noget”. En klassisk nørd-kommentar på linie med “jeg-kommer-lige-om-fem-minutter”, hvorefter vedkommendes hovede forsvinder bag skærmen i hele og halve timer. Men Henrik vender dog blikket væk fra skærmen igen, og spørger om jeg vil have noget kaffe. På vej ud til kafferummet fortæller Henrik Lund Kramshøj, at han har sit eget firma, security6.net, men at han jævnligt er forbi catpipe systems, hvor han har et skrivebord. Det giver Henrik mulighed for at drøfte emner med folk som har samme interesser som ham: Sikkerhed, tcp/ip, unix og open source. “Det er rart at komme ud at møde folk, så man ikke sidder alene derhjemme” siger Henrik og understreger dermed indirekte, at han ikke er typen der kun befinder sig godt foran en skærm. Gennem sit arbejde som konsulent for virksomheder som IBM, WM-Data BFC, PriceWaterhouseCoopers og Neupart har han haft megen kundekontakt, hvilket gør at hans personlighed, foruden et nørd-gen, er præget af en veltalende konsulent. En veltalende konsulent, der vel at mærke takket været nørden, har indgående kendskab til sikkerhedsproblemer. Et indgående kendskab som vel egentlig også kan anvendes til misbrug?

Valget af den rette vej

Jo, men Henrik Lund Kramshøj lægger stor vægt på at anvende sin viden i den gode sags tjeneste. Eksempelvis er han forpligtet af et moralkodeks som lyder: “Beskyt samfundet, det fælles bedste og infrastrukturen. Optræd værdigt, ærligt, retfærdigt, ansvarligt og i overensstemmelse med loven.” Henrik fik forpligtelsen til at overholde ovennævnte moralkodeks i maj 2003, da han blev Certified Information Systems Security Professional (CISSP). CISSP-certificeringerne udbydes af den internationale sikkerhedsorganisation International Information System Security Certification Consortium( (ISC)² )og det er ISC²'s moralkodeks som Henrik er forpligtet af. Et moralkodeks som Henrik Lund Kramshøj finder i overensstemmelse med sine egne værdier. Henrik Lund Kramshøj erkender dog, at det nok var lidt tilfældigt at han havnede i den gode sags tjeneste. I starten var han jo blot fascineret af teknologien og hvad der var muligt at gøre. “Det var nok lidt tilfældigt hvilken vej jeg valgte. Jeg havde eksempelvis ikke et modem i starten og kom ikke i kontakt med de forkerte mennesker” siger Henrik, men mener samtidigt, at valget også var et spørgsmål om moral og etik. Og i Henriks tidlige ungdom var kampsport med til at præge hans opfattelse af moral og etik. “På det tidspunkt studerede jeg også kampsport og hvis man dyrker kampsport de rigtige steder, får man også en god opfattelse af hvordan man skal opføre sig”, uddyber Henrik Lund Kramshøj.

“Man kan ikke købe sikkerhed i en papkasse”

Gennem sin virksomhed security6.net, lever Henrik Lund Kramshøj i dag af at fortælle folk, hvordan de skal opføre sig - sikkerhedsmæssigt set. Henrik Lund Kramshøj foretager grundlæggende to ting: Sikkerhedsvurdering og Penetrationstest. Ved en sikkerhedsvurdering gennemgår Henrik Lund Kramshøj en virksomheds netværk, sammensætningen af servere, serverkonfigurationer, firewalls osv. for at vurdere sikkerhedsniveauet i en virksomhed. Penetrationstest er den gængse betegnelse i sikkerhedsmiljøet for en sikkerhedstest, hvor Henrik Lund Kramshøj prøver at hacke sig ind i et firmas IT-systemer for at undersøge hvor god sikkerheden er. Både sikkerhedsvurderingen og penetrationstesten munder ud i en rapport, hvor Henrik Lund Kramshøj beskriver hvilke mangler, der er fundet i virksomhedens IT-sikkerhed samt giver anbefalinger til at forbedre IT-sikkerheden. Ifølge Henrik Lund Kramshøj har mange virksomheder i dag skåret ned på sikkerheden, hvilket smitter af på opfattelsen af sikkerhed. ”Der er begrænsede ressourcer til rådighed til sikkerhed i dag. Mange tror, at man kan købe sikkerheden i en papkasse, men sikkerhed er meget mere end en firewall”, siger Henrik Lund Kramshøj og understreger at sikkerhed i højere grad skal betragtes som en proces, hvor man løbende udvikler en sikkerhedsstrategi – og får beskrevet virksomhedens sikkerhedspolitik. “Det er en god ide at få nedskrevet en sikkerhedspolitik. Det behøves ikke at være så avanceret, men når det først er skrevet ned hvad man må og ikke må, er det langt nemmere for virksomhedens IT-folk at forholde sig til”, siger Henrik Lund Kramshøj. Som et eksempel på at sikkerhed i høj grad er en løbende proces, nævner Henrik Lund Kramshøj, at mange virksomheder i dag har installeret firewalls, men ikke har nogen sikkerhedspolitik vedrørende bærbare pc'ere. “Det er jo fint nok, at man har sat firewalls op der beskytter mod angreb udefra, men hvad hjælper det, hvis en ansat har fået sin bærbare pc inficeret med en orm og derefter tilslutter den virksomhedens interne net? Så kan ormen jo sprede sig indefra. Det vil nok være en god ide at blokere trafikken indefra i det tilfælde.”

Open Source Metode som værn mod script-kids og industrispionage

Foruden at være optaget er IT-sikkerhed er Henrik Lund Kramshøj også aktiv i Open Source bevægelsen. Han anvender blandt andet Open Source Security Testing Methodology Manual (OSSTMM) når han udfører penetrationstest. Seneste version af OSSTMM er version 2.1, der er en 128 siders manual som beskriver en velstruktureret metode for penetrationstest. OSSTMM forsøger at afdække sårbarheder i en virksomheds IT-miljø, der kan afdækkes af mange forskellige typer hackere. I den ene ende af spektret findes script-kids, der er nysgerrige unge, der eksempelvis har hentet et port-scanningsprogram på Internettet og derefter går igang med at bruge det – uden rigtigt at have styr på hvad de laver. I den anden ende findes de professionelle hackere, der mod betaling laver industrispionage. Hvor script-kids'enes hacking er temmelig kaotisk og tilfældig, vil den typiske industrispionage være langt mere målrettet og struktureret. I en normal penetrationstest starter Henrik Lund Kramshøj med en port-scanning; ganske som en script-kid. Henrik Lund Kramshøj finder derefter ud af hvilke services (mailserver, webserver eller lignende) der er tilgængelige. Han forsøger så at bestemme hvilken software der er tale om og prøver at finde sårbarheder i den pågældende software. Hele tiden bliver penetrationstesten mere og mere specifik for den kunde, Henrik Lund Kramshøj arbejder for. En arbejdsform som en hacker på industrispionage også ville følge. Desværre har de dygtige, ondsindede hackere, ifølge Henrik Lund Kramshøj, rimeligt let spil i de danske virksomheder. “De daglige produktionsservere er der rimeligt styr på, men så kan der stå en test-server som ingen rigtig vil kendes ved eller som er sat op af en tidligere medarbejder. Den sidder på samme netværk og kan nås udefra. Sådan en server kan hackes og bruges som springbræt videre i virksomhedens IT-systemer, for nu er hackeren jo inde bag firewallen” siger Henrik Lund Kramshøj. Der er dog forskel på hvor god sikkerheden er i forskellige typer af virksomheder. Finansielle institutioner som banker og forsikringsselskaber har tradition for at have stor fokus på sikkerhed, ligesom andre virksomheder med mainframe-installationer, har tradition for gode sikkerhedsprocedurer, oplyser Henrik Lund Kramshøj.

E-mails med vedhæftede programmer giver håneret!

Som privatperson har Henrik Lund Kramshøj selvfølgelig også gode sikkerhedsprocedurer. Procedurer som andre kunne lære af. Eksempelvis lyder det på hans hjemmeside www.kramse.dk : “Send ALDRIG e-mail med vedhæftede eksekverbare filer! Hvis du sender mig EXE, SER, VBS, COM osv. vil du formentlig ende i mit ignore filter. Jeg vil håne dig og tænke dårligt om dig fremover” Det er svært at forestille sig den venlige Henrik Lund Kramshøj ligefrem håne folk, men jo; den er god nok ifølge Henrik selv. “Jeg kan måske godt være lidt brysk med hensyn til det, men det er jo utroligt, at de samme ting dukker op igen og igen. Det er dårlig stil at sende eksekverbare filer”, siger Henrik og tilføjer, at han selvfølgelig er klar over, at der hele tiden kommer nye Internetbrugere til. Nye brugere som Henrik Lund Kramshøj selvfølgelig ikke vil håne, da de ganske enkelt ikke kender til Internettets faldgruber. De vil eksempelvis tro, at en mail med “Microsoft” som afsender og en vedhæftet eksekverbar fil rent faktisk er en opdatering fra Microsoft, og derfor aktiverer de programmet. Lykkeligt uvidende om at de rent faktisk har aktiveret Dumaru-virussen. Henrik Lund Kramshøj forsøger at forklare den slags brugere, at Internettet har udviklet sig fra en hyggelig, lille landsby til en storby med mørke gyder og kriminelle elementer. I storbyen skal man være opmærksom på, hvor man går, og hvad man tager imod!

Internet-storbyens infrastruktur bør udskiftes løbende

Analogien med udviklingen af Internet fra en lille hyggelig landsby befolket af idealister til en storby med lyssky personer, understreger en anden af Henrik Lund Kramshøjs pointer: At Internettets infrastruktur løbende må renoveres og tilpasses de nye krav. Nogle af Internettets protokoller var måske gode nok til den lille landsby, men i nutidens storby bør de udskiftes eller forbedres. Eksempelvis nævner Henrik Lund Kramshøj POP3-protokollen. POP3-protokollen anvendes af mail-programmer som eksempelvis Outlook Express til at hente mail hos Internetudbyderne. Hver bruger har sit eget brugernavn og et hemmeligt password, der sendes til Internetudbyderen, hver gang man checker for mail. Problemet er blot at brugernavn og password sendes i klar tekst, så enhver kan læse dem. Det er i dag muligt at anvende en krypteret form af POP3 (POP3 over Secure Socket Layer (SSL) – ganske som det kendes fra eksempelvis https som er http over ssl og eksempelvis anvendes af Internetbankløsninger), men der er ikke mange Internetudbydere, der tilbyder den krypterede pop3-protokol.

Ormen, der bed sig fast

Der er ingen tvivl om at Henrik Lund Kramshøj er meget engageret i sikkerhedsproblematikken. Mere end 15 år efter Robert T. Morris slap sin Internet-orm løs har den afstedkommet noget positivt. Sikkerhedsaspektet har bidt sig fast i Henrik Lund Kramshøjs bevidsthed, og han arbejder konsekvent på at give sit bidrag til en mere sikker IT-verden.