Affärsresenären_logga_2017_svart

IT-säkerhet för affärsresenären

Allt större del av våra liv utspelar sig på nätet – inte minst för oss som tillbringar många dagar av året på språng. Affärsresenären fick möjlighet att ta en online-kaffe med David Jacoby – en världsledande ”god hackare” och IT-säkerhetsexpert på Kaspersky. Han berättade om sin historia om att på dagarna vara en vanlig skånsk pojke men på kvällarna byta identitet och dyka ned i nätets underjordiska värld till att bli verklighetens Lisbeth Salander.

För ett par år sedan fick många av oss telefonsamtal från personer som utgav sig att arbeta på Microsoft, Google, Apple eller någon annan stor IT-jätte. Vi fick höra att vår dator var drabbat av virus och de kunde hjälpa oss att få bort det.
 
Ett av offren var IT-säkerhetsforskaren David Jacoby – vilket var otur för bedragarna. För medan han lät dem hacka sig in på hans dator spelade han in deras telefonsamtal, och lät datorn dokumentera den pågående nätverkstrafiken, så att han kunde ta reda på var angriparna befann sig och vilka de var.
 
David publicerade sedan all information på IT-säkerhetsföretaget Kasperskys tekniska blogg, och några veckor senare så fick han ett samtal från Europol som läst bloggen och ville ha mer information.
 
Ytterligare några månader senare får David ännu ett samtal. Denna gången från en polismästare i Indien som personligen ville tacka David för hans insats. Nu satt de kriminella bakom lås och bom, tack vare den tydliga bevisningen som David samlat in.
 
Det var långt ifrån den enda gången som David Jacoby använde sin hackarkunskap för att göra nätet säkrare. Men hur kommer det sig att en vanlig grabb från Skåne blev en av världens ledande IT-säkerhetsexperter? Låt oss backa bandet.
 
Som ”god hackare” reser du världen runt för att föreläsa om IT-säkerhet, och under de senaste åren har svenskarna fått se dig på bland annat TV4 Nyhetsmorgon, SVT Nyheter, Stoppa Tjuven, Aftonbladet TV och nästan i all tryckt media där du delat med dig av dina kunskaper för att få oss att bli säkrare på nätet. Men hur kommer det sig att du blev hackare? Växte du upp i mörkt rum bland datorer?
 
– Haha, nej min uppväxt var inte särskilt mörk. Jag hade en helt vanlig uppväxt i vanlig skånsk by. Jag idrottade mycket, hade usla betyg, trimmade min moped, drömde om att bli stuntman men på kvällarna umgicks jag med andra hackers. Jag kommer från en familj där både min bror och far är väldigt aktiva med datorer, brorsan är spelprogrammerare och min far system- och nätverkstekniker. Det fanns inte så mycket kvar för mig än att ”förstöra” det som de byggde upp.
 
Hur började du hacka?
 
– Detta var ju innan Internet fanns. Men man kunde ansluta sitt till en annan dator, till en BBS – Bulletin Board System, en slags digital anslagstavla där man kunde skicka och läsa meddelanden till andra användare och ladda ned filer. Av nyfikenhet började jag ansluta pappas dator till BBS:er, och på några av dem pratades det IT-säkerhet och hacking. Där kände jag mig hemma direkt.  Det roliga i detta är att ingen riktigt kände till detta, jag hade kompisar som inte visste att jag höll på med datorer över huvud taget. En av mina tidiga flickvänner var ”säker på att jag var en datornörd” – ord hon med tiden fick äta upp.
 
Vad var det som fick dig att känna dig hemma i hackergrupperna?
 
– Att ingen frågade vem man var, vilket kön man hade, vilken ålder man hade utan istället var det kunskap om hacking och programmerade som bestämde vilken status man hade. För att verkligen förtjäna hög status kunde man inte bara ta del av vad andras kunskap utan var också tvungen att ge tillbaka till de andra.
 
Gjorde du det?
 
– Ja, och så började jag vid väldigt tidig ålder att skriva artiklar i underjordiska tidningar som spreds på dessa digitala anslagstavlor. Artiklar som kunde handla om nyupptäckta sårbarheter eller tekniska analyser av säkerhetsrelaterade saker. Jag var med och grundade flera hackar-grupper också, som exempelvis SweHack och den omtalade gruppen #hack.se.
 
– Jag råkar veta att du under de här åren även blev omskriven i boken Svenska Hackare, Generation 500, och ditt passfoto prydde även framsidan av i tidningen ”Säkerhet och Sekretess” kartläggning av Sveriges 10 ”farligaste” hackare. Hur tog steget därifrån till att bli IT-säkerhetsexpert?
 
– Det var i ettan på gymnasiet. Jag var en cigarettrökande, skejtande filur, kom försent till första datorlektionen. Läraren frågade om det var jag som var David Jacoby. Jag blev skiträdd, gnydde fram ett försiktigt ja.  Då tittade han strängt på mig och sa: Då kan du ta och gå ut igen för du har redan fått ditt betyg. Jag fattade ingenting, men det visade sig att ryktet hade spridit sig i skolan, att jag kunde datorer. Efter någon vecka fick jag min egen dator i datorsalen som jag med skolans tillstånd hackade loss på. Efter någon månad började kommunens IT-chef komma till skolan för att be om hjälp för att säkra upp deras nätverk genom att fråga vilka sårbarheter vi hade hittat.
 
Vad hände sen?
 
Under gymnasiet hittade jag en del sårbarheter i företagssystem vilket resulterade att jag började extraknäcka som säkerhetskonsult, men det stora steget tog jag ironiskt nog när mitt passfoto var på framsidan av tidningen ”Säkerhet och Sekretess”. Efter det blev jag erbjuden att föreläsa om hackingkulturen på Networks & Telecom-mässan i Älvsjö. Då började min karriär inom IT-säkerhet. Jag fick massor av jobberbjudanden och till slut hamnade jag i Karlskrona och fick vara med att bygga upp ett företag som heter Outpost24 och efter det hamnade jag på IT-säkerhetsföretaget Kaspersky, där jag fortfarande jobbar. Under resans gång har jag mer och mer insett att man, för att verkligen kunna bygga säkerhet, inte bara kan förlita sig på teknik. Man måste få med sig människorna som ska använda tekniken, och därför har föreläsandet om IT-säkerhet blivit allt viktigare för mig.
 
Många av oss skulle nog tro att det finns en motsättning mellan att vara hackare och IT-säkerhetsexpert – gör det inte det?
 
– För mig handlar båda rollerna om att vara kreativ och skapa lösningar, metoder, tekniker som förbättrar den IT vi har idag. Om ett företag vill göra sitt system säkrare så måste man först ta reda på vilka brister systemet har.
 
Hur gör du när du tar reda på detta?
 
– Det finns massor av olika sätt. Oftast gör jag så kallade penetrationstest eller säkerhetsanalyser där jag tar mig in i ett system för att se vilka sårbarheter som finns och vilka vägar in man måste stoppa till. Jag beter mig som en hackare, helt enkelt. Fast på företagens beställning.
 
Du delar, som sagt, ofta med dig av råd om hur både företag och privatanvändare ska bli säkrare på nätet. Vad bör man som affärsresenär främst tänka på när det kommer till IT-säkerhet?
 
– IT-säkerhet handlar inte bara om en produkt eller tjänst. Det handlar primärt om att tänka sig för. Jag brukar göra en jämförelse med att skaffa sig ett vapen. Det kan skydda en mot rån – men om man inte ser sig för när man korsar en väg så kan man bli påkörd av en bil ändå. 
 
– Mer konkret så bör man inte återanvända samma lösenord överallt. Se också till att ha de senaste säkerhetsuppdateringarna till alla dina program – och tänk efter innan du klickar på länkar för kampanjer och liknande! Gör man detta så gör man det betydligt svårare för hackare att hitta på bus på ens dator. För företag är det annorlunda och lite mer komplicerat.
 
Davids kunskapsdelande har inte bara gjort honom till rådgivare till några av världens största företag, det har även tagit in honom i kulturvärlden då han varit rådgivare för både böcker och filmer. Hans mest omfattande kulturuppdrag skedde när författaren Lagercrantz skrev Millennium-trilogin; då vände han sig till sin namne Jacoby, för att få hjälp med allt som hade med datorer, teknik, hacking och Lisbeths mystik att göra.
 
Vad var den största utmaningen för dig under arbetet med Millennium?
 
– Att försöka förenkla ganska avancerad teknik och krigsföring. Mycket av det som Lisbeth Salander gör är ganska avancerade hack – och samtidigt som vi ville göra dem lätta att förstå för läsarna så ville vi inte att de skulle framstå som ren science fiction. Hela tanken att ha mig som rådgivare var att inkludera autentiska hack som faktiskt går att göra och inte något som man bara ser i hollywoodfilmer. Och det vet jag att de gör – för jag kan faktiskt göra dem i verkligheten.
 
Skulle man då kunna säga att det är du som är verklighetens Lisbeth Salander?
 
– Ja, haha, det skulle man nog. Du dricker kaffe med Lisbeth Salander.