Martijn Sprengers’ job hos KPMG er at udfordre virksomheders digitale og fysiske forsvarsværker. En dag fik han til opgave at forsøge at afbryde produktionen hos et olie- og gasselskab et sted i Europa. Både digitalt og fysisk.
I 2014 fik Martijn Sprengers og tre andre specialister i cybercrime og informationssikkerhed fra revisions- og rådgivningsvirksomheden KPMG i al hemmelighed til opgave at trænge ind i et stort olie- og gasselskab og afbryde produktionen på en lokalitet i Europa. Opgaven var stillet af en højtplaceret leder i olieselskabet. Kun ganske få andre i selskabet vidste besked.
»Vi skulle vise, at vi kunne lægge produktionen ned. Vi måtte også gå ind fysisk, hvis vi kunne,« siger Martijn Sprengers.
Den slags opgaver er ikke usædvanlige for KPMGs team af cyber-specialister, der arbejder over hele verden. Mange store virksomheder hyrer dem til at teste robustheden af deres sikkerhedssystemer og beder dem om at forsøge at trænge ind i virksomheden fysisk eller digitalt, altså ved at hacke sig ind.
Og når det gælder hacking er Martijn Sprengers på hjemmebane. Han har hacket siden, han var 14 år, da han begyndte at hacke computerspil, fordi det var sjovere end at spille på computer. Hacking er som en sport for ham. En uimodståelig udfordring. I dag er han 28 år og hacker stadig. Nu blot som ansat hos KPMG.
»Min hobby er blevet min levevej. Jeg får penge for at hacke og risikerer ikke at blive straffet for det,« konstaterer Martijn Sprengers, der nu på sjette år arbejder hos KPMG.
Kun fantasien, straffeloven og de rammer, han aftaler med virksomhederne, sætter grænserne for hans arbejde.
Med olieselskabet aftalte Martijn Sprengers, at KPMG-teamet havde fire måneder til opgaven, som blev gennemført i slutningen af 2014 og begyndelsen af 2015. I praksis skulle de dog ikke afbryde produktionen, men blot bevise, at de havde haft muligheden for at gøre det.
»Vi begyndte med en digital rekognoscering. Vi kortlagde sandsynlige veje ind og listede en række formodninger og spørgsmål. Hvem var nøglepersonerne i virksomhedens IT-afdeling? Hvem havde adgang til hvad? Vi fandt relevant information og tegnede mindmaps,« siger Martijn Sprengers, der har læst datalogi, kryptografi og computersikkerhed og har to kandidatgrader.
Google og Linkedin er uvurderlige kilder til den slags informationer. Også til at finde ud af, hvilket antivirusprogram, olieselskabet brugte. KPMG-teamet vidste, at de senere ville sende deres egen virus ind i olieselskabets netværk og skulle være sikre på, at den ikke blev opdaget. Martijn Sprengers kan selv skrive de virusprogrammer, der skal bruges til den slags opgaver. Det tager typisk få dage at skrive et virusprogram helt fra bunden. Skal han derimod lave en ny variant af en eksisterende virus, tager det blot få minutter.
Derefter gik Martijn Sprengers i gang med fysisk rekognoscering for at få viden om virksomhedens IT-netværk og adgangsforholdene. Sammen med en kollega kørte han ud til adressen, hvor produktionsstedet lå. Med sig havde de forskelligt udstyr, som kan købes på nettet for næsten ingen penge.
»Vi sad i bilen cirka 200 meter fra bygningerne, og med en stor antenne opfangede vi virksomhedens wi-fi-netværk. Vi fandt telefonnummeret til help-desken og fik adgangskoden til netværket,« siger Martijn Sprengers.
Desværre for de to KPMG-folk gav det dem ikke adgang til de vitale dele af netværket. Martijn Sprengers var nødt til at komme ind i kontorbygningen. Han henvendte sig i receptionen og spurgte, om han måtte benytte toilettet.
Mens han var indenfor i virksomheden, filmede han med et kamera, han havde i brystlommen på sin jakke. Her havde han også en lille scanner, som scannede virksomhedens netværk og lagrede informationerne.
Tilbage på det nærmeste KPMG-kontor kunne Martijn Sprengers ud fra scanningerne konstatere, at olieselskabet havde masser af wi-fi-hotspots, men at forbindelserne ikke var gode. Det var nyttig viden, der snart efter bragte ham og en kollega indenfor igen.
De kom ind under påskud af, at de var ingeniører, der skulle måle wi-fi-netværket. De blev taget godt imod.
»De sagde: Godt, I kommer, for vores wi-fi er virkeligt dårligt,« siger Martijn Sprengers.
De blev begge bedt om at vise pas og blev registreret som virksomhedens gæster.
»Vi bruger oftest vores egen identitet, for vi kan jo altid efterfølgende slette oplysningen, når vi har fået adgang til IT-systemet,« siger Martijn Sprengers.
De havde planlagt deres besøg, så de kunne arbejde i fred, mens de ansatte var til frokost.
De plantede en hacking-enhed i virksomhedens netværk. Den tapede de fast bag en radiator. På den måde fik de skabt en bro til det interne netværk og kunne få flere oplysninger og identificere mulige angrebspunkter.
Men de måtte arbejde hurtigt. Frokostpausen var på 30-45 minutter, og de skulle også have adgang til nogle computere, så de kunne plante deres virus.
De fleste computere var låst, men fire computere var enten ikke låst eller også stod adgangskoden til computeren skrevet på en lap papir, som lå lige ved computeren.
De nåede lige at installere deres virus, og så var det med at komme videre med deres fiktive målinger af wi-fi-netværket, så de ansatte ikke fattede mistanke.
Virusen blev aktiv i det øjeblik, de fire medarbejdere loggede på efter frokost. Den var designet, så den hvert andet minut sendte beskeder til en server, som Martijn Sprengers kontrollerede.
»Jeg havde nu fire maskiner under kontrol, og jeg kunne bruge de beskeder, computerne sendte, til at sende kommandoer tilbage ind i systemet,« siger han.
Desværre for KPMG-teamet havde brugerne af de fire computere ikke administratorrettigheder, så foreløbig fik teamet kun adgang til oplysninger om netværksstruktur, interne processer og de ansattes kalendere. De var endnu ikke i nærheden af det industrielle styringssystem.
Samtidig løb de ind i et andet problem. De havde mistet adgangen til det interne netværk og var nødt til at komme ind i virksomheden igen, så de kunne få deres hacking-enhed forbundet med netværket. Denne gang var de lige ved at blive opdaget.
Tilfældigvis var der en medarbejder fra IT-afdelingen i receptionen, da de kom tilbage. Han undrede sig over, hvorfor de kom tilbage og tilkaldte virksomhedens sikkerhedsfolk.
»I sådan et øjeblik må man bare improvisere. Vi sagde, at de første målinger ikke var gode nok, og at vi var nødt til at gentage dem. Vi lovede at sende en rapport med vores målinger senere på dagen, og så blev vi lukket ind. Vi var heldige. Hvis de havde bedt om at se vores arbejdstilladelse eller en kontrakt, så havde vi været på den,« siger Martijn Sprengers.
Mens de foregav at lave nye wi-fi-målinger, så de, at deres hacking-enhed var faldet på gulvet. Tapen havde løsnet sig på grund af varmen fra radiatoren.
»Ingen havde taget notits af den, så vi lagde bare vores hacking-enhed på et bord og tapede den fast med en besked om ikke at røre den,« siger Martijn Sprengers.
Og der blev den liggende. Rapporten, de havde lovet at sende, lavede de ved at kopiere en målerapport, de fandt på nettet. De ændrede blot nogle datoer og logoer, og så blev den godtaget af olieselskabet.
Men de manglede stadig at få administratorrettigheder. Gennembruddet kom en dag, da en besked tikkede ind hos Martijn Sprengers. En medarbejder med administratorrettigheder havde logget på en af de inficerede computere hos olieselskabet.
For Martijn Sprengers kunne beskeden næsten ikke været kommet på et dårligere tidspunkt. Han var inviteret som gæsteforelæser på et universitet og stod foran et hold studerende, som han skulle til at undervise. Han måtte tage en hurtig beslutning for at komme ud af kattepinen. Han gav de studerende kaffepause og sagde, at lektionen var udskudt med 15 minutter.
Martijn Sprengers skyndte sig at åbne sin hacking-computer og kopierede administratorens password.
»Fra det øjeblik havde vi administratorrettigheder i olieselskabets netværk. Vi var endnu ikke inde i det industrielle styringssystem, men nu var det mere sandsynligt, at vi ville få adgang,« siger Martin Sprengers.
Det var et afgørende øjeblik, og det kriblede i Martijn Sprengers for at afprøve den nyerhvervede adgang, men han kunne ikke lade eleverne vente længere på deres undervisning.
Samtidig var han nødt til at være forsigtig med at bruge den nye adgang. Han måtte ikke blive opdaget. For så var det slut. Derfor loggede han først på sent om aftenen, når han formodede, at administratoren var logget af. Flere aftener i træk forsøgte han at trænge helt ind i styringssystemet. En nat ved totiden gik hans kommandoer kun langsomt igennem, og pludselig blev han smidt af systemet. Han troede, at det skyldtes en netværksfejl og forsøgte flere gange, men blev hver gang smidt af. Han var opdaget, men det fandt han først ud af senere. IT-folkene viste sig at være på arbejde på grund af en nødsituation.
»Det var ærgerligt. Jeg tror, at hvis jeg havde haft en time mere, så havde jeg været der, men jeg var ikke forsigtig nok,« siger Martijn Sprengers.
Til gengæld nåede Martijn Sprengers og resten af teamet i mål med den fysiske del af opgaven. Sammen med en kollega tog han tid på, hvor lang tid vagten brugte på sin runde. De undersøgte også overvågningskameraerne og beregnede, at de havde 20 minutter til at planke det to meter høje pigtrådshegn, løbe ind til installationerne og plante deres bevis på, at de havde været inde. De slog til aftenen efter. Pigtrådshegnet forcerede de ved at bære handsker og hænge et tykt tæppe over det øverste af hegnet.
»Vi gav os selv 15 minutter, så vi ikke risikerede noget. Vi løb ind og åbnede nogle kabinetter, som ikke var låst. Der plantede vi nogle flyers som bevis på, at vi havde været inde,« siger han.
På disse flyers var der en QR-kode, som ledte til KPMGs hjemmeside, men der var også et link, som udløste en virus.
»Det var en lille bonus,« som Martijn Sprengers siger med et skævt smil.
Efter 12 minutter og 28 sekunder var de ude igen.
Missionen var gennemført.
For olie- og gasselskabet blev KPMG-teamets resultater et signal om, at de måtte forbedre deres sikkerhed både digitalt og fysisk.
For Martijn Sprengers blev det også et lærerigt forløb.
»Efterfølgende måtte to mand i olie- og gasselskabet bruge tre døgn for at finde ud af, hvad vi havde lavet og få lukket os ned. Det var ret interessant for mig at se, hvad de havde fundet, og hvordan de havde opdaget os. Men de fandt ikke ud af det hele,« siger han med et lille triumferende smil.
I den såkaldte post mortem-analyse kunne han se, hvilke dele af deres digitale indtrængningsforsøg,virksomheden havde afdækket, og hvordan IT-indbruddet var blevet opdaget.
Noget af det, virksomheden fandt ud af, var, at der var en KPMG-ansat involveret i indbruddet. Martijn Sprengers kollega havde nemlig glemt at slette de personlige pasoplysninger, han gav, da han sammen med Sprengers blev registreret i receptionen hos olie- og gasselskabet i forbindelse med deres fingerede målinger af wi-fi-netværket.
At Martijn Sprengers og KPMG-teamet ikke kom helt i mål med hackingdelen af deres opgave hos olie- og gasvirksomheden, er undtagelsen nærmere end reglen. Succesraten for KPMGs hacker-simulanter er høj.
»Det er meget få gange, at vi ikke lykkes. Det er mere et spørgsmål om, hvor mange forskellige metoder,vi skal afprøve, inden det lykkes. Det kan lade sig gøre i næsten alle tilfælde. Det er et spørgsmål om opdagelsesrisikoen, hvor aggressiv man vil være ,og hvor lang tid man vil bruge på at finde den helt rigtige vej ind.
Det er nemt at hacke. Det har jeg altid sagt. For at være en god hacker skal man blot være udholdende og vild med teknologi. Det svære er at forblive uopdaget og ikke efterlade sig spor. Det kræver erfaring og viden om, hvordan virksomheder fungerer,« siger Martijn Sprengers.
Alligevel mener han, at det stadig er nemmest at trænge fysisk ind i en virksomhed.
»Det er stadig lettere at lave fysiske angreb end digitale angreb. Men måske står vi ved et vendepunkt efter det, der skete i december sidste år. Da lykkedes det hackere at afbryde strømforsyningen i det østlige Ukraine. Det, tror jeg, vi kommer til at se mere af i fremtiden, hvis ikke IT-sikkerheden bliver taget alvoligt,« siger Martijn Sprengers.
DAGENS AFSTEMNING:
