- Penger er et betalingsmiddel som er flytende. Samvittigheten din er derimot noe du må leve med resten av livet, sier Ragnhild "Bridget" Sageng, pentester og "social engineer" i Orange Cyberdefense Norge, til kode24 i Las Vegas.
Det er en gjev kamp om å bli valgt ut til å holde foredrag på Defcon, en av verdens største sikkerhetskonferanser. En av dem som slapp gjennom nåløyet var norske Sageng.
I helga holdt hun foredraget "The aftermath of a social engineering pentest - are we being ethically responsible?" i den populære delen av konferansen kalt "Social engineering community village".
Sageng definerer selv social engineering som "kunsten å overtale andre til å gjøre det du vil de skal gjøre".
Norske Equinor Pwn Team vant over 200 konkurrenter i hacke-konkurranse
Vant konkurranse i USA
Sageng er opprinnelig utdannet IKT-driftsoperatør og har jobbet rundt 14 år i yrket, ofte i forbindelse med IT-support og IT-infrastruktur. Hun forteller at hun alltid har vært interessert i psykologi og antropologi. Etterhvert fikk hun høre om social engineering og leste seg opp på fagfeltet.
På videreutdanningen i cybersikkerhet hadde en av professorene spesialisert seg i faget, og tipset henne om en phishing-konkurranse ved Temple University i USA. Sageng vant.
- Jeg tenkte: "Wow, at man faktisk kan jobbe med dette her". I sikkerhetsfeltet er det mange veier man kan gå, men jeg fant ut at det var dette som ga meg noe.
Norske Melvin fortalte om eget angrepsverktøy på Defcon: - Ekstremt moro
Slik er et typisk oppdrag
Siden den gang har hun jobbet som social engineer på si. I fjor ble Sageng fast ansatt som penetrasjonstester i Orange Cyberdefense, med social engineering som spesialfelt.
Ifølge henne kan et typisk oppdrag være en phishing-test. Her sender hun ut e-poster og kartlegger hvor mange går på dem. Dette kan også skje via SMS eller telefonsamtaler. Men det kan også være fysiske pentester, der hun gjerne gjør litt Open Source Intelligence (OSINT) i forkant.
- Du bruker OSINT-en og ser om dette kan gi deg tilgang til for eksempel et serverrom. I løpet av research-en har du kanskje funnet ut at du kan gå utkledd som en serviceperson, en kollega fra en annen by, eller en leverandør. Det handler rett og slett om å bruke teknikker til å få mennesker til å stole på deg, sier Sageng.
- Blir du ikke nervøs når du gjør pentester?
- Veldig. Man kan jo si at det er et ekstremt adrenalinsjokk for kroppen. Du går jo inn og er livredd for å bli tatt. Samtidig er det jo bra å bli tatt, da dette betyr at bedriften er oppmerksomme, sier hun.
kode24 på Defcon: - Allerede før jeg kommer fram har jeg klart å "hacke" meg selv
Viktig med en etisk bevissthet
I foredraget trekker Sageng fram at det er viktig å ha en etisk bevissthet innenfor social engineering.
- Vi er mennesker, ikke nuller og enere. Når du pentester og går etter det menneskelige elementet, kan de som blir utsatt for testen føle at de feiler som individer. Da er det ekstra viktig med en sterk etisk bevissthet. Du vet aldri hvordan den andre siden kan reagere.
Sageng viser til at det ofte er salgsavdelingene som selger inn pentestene.
- De må være bevisste på hvilke kunder de ønsker å ha. Det er viktig at de som skal gjøre jobben føler at jobben er OK å gjøre. Derfor må det være noen som beskytter dem fra å havne i en etisk klemme. Man må kunne si nei til et oppdrag, selv om man taper penger, sier hun.
78 prosent frykter dataangrep: - Vi er definitivt et utsatt mål
Alle kan falle for det
- Har du noen tips til norske utviklere?
- Det som er greia med social engineering, er at alle kan ende opp med å falle for det. På samme måte som med tofaktor og barrierer som hindrer uønsket tilgang, er det er viktig ha iverksette gode kontrollmekanismer innenfra, som hindrer folk i å falle for social engineering, sier Sageng
Slike kontrollmekanismer kan inkludere smarte systemer som sjekker mønstre for pålogging, for eksempel steder og tidspunkter, slik at man kan detektere unormale hendelser. Dette kan oppdage "credentials" som har kommet på avveie, for eksempel via phishing eller "adversary in the middle attack".
- Og påminnelser til brukere i systemer, for eksempel dette med påminnelse om å følge policy, sier Sageng.
Marius har jakta feil siden han var 13 år: - Mange utviklere tar snarveier
Gir en oppfordring til nordmenn
Sageng legger til at et eksempel på en fysisk kontroll mot social engineering, kan være en avgrensning som slipper én og én person inn i lokalet.
På denne måten kan ingen holde døren åpen for andre.
- Hvordan har Defcon vært for deg?
- Det har vært som en drøm. For en social engineer er det fantastisk å oppleve samholdet som er her. Du trenger ikke å være ekspert, eller hacker, du kan komme hit uansett hva. Så lenge du er interessert er folk åpne og det er et godt miljø å komme inn i, sier hun.
- Defcon er en opplevelse som jeg synes at flere nordmenn bør få øynene opp for.