– Mit tidligere job foregik i en lukket efterretningsverden. I sagens natur var meget i det job hemmeligt, men selve disciplinen og analysemetoderne har jeg taget og overført til et open source-projekt, fortæller Johnny Vestergaard, da han sammen med sin forårskåde golden retriever har taget imod Prosabladets udsendte i sit parcelhus i udkanten af Fredericia.
Igennem de sidste tre år har Johnny som fritidsbeskæftigelse arbejdet med et open source-baseret projekt, som blev udvalgt til Googles verdensomspændende Summer of Code-initiativ i 2013. Her finder man de bedste projekter, som støttes økonomisk af Google.
– Jeg ser på, hvordan man kan lave værktøjer og honeypots, som skal gøre det superlet at spotte og beskytte sig mod ondsindede hackere, der angriber organisationer.
Digital lokkemad
Johnny Vestergaard har arbejdet på flere fritidsprojekter med honeypots, som baserer sig på open source. Conpot, Scada Honeypot og Glastopf er nogle af navnene. Hans eget fritidsprojekt hedder Bee Swarm. Det er et IDS (Intrusion Detection System), som anvender de såkaldte honeypots til at lokke angribere til. En honeypot - en honningkrukke - er en simuleret server, der anvendes som lokkemad for de angribere, som konstant scanner og angriber servere, der ligner attraktive angrebsmål på internettet.
– Normalt tager opsætningen af den slags systemer lang tid - de skal downloades, kompileres og konfigureres. Min tanke er her, at man har et meget simpelt management interface, så alt, man skal gøre for at oprette en honeypot, kræver ganske få klik i forhold til en traditionel opsætning, som kan tage mange timer, siger Johnny Vestergaard.
Selve lokkemaden stopper dog ikke ved blot at have en honeypot. Johnnys setup er mere snedigt.
– Jeg anvender honeypot-klienter, som simulerer brugere, der kommunikerer med honeypot'en for at gøre setuppet mere realistisk, forklarer han og klikker rundt på en visualisering af kommunikationen på sin laptop-skærm, hvor en angriber har skaffet sig adgang til en honeypot og forsøger at hacke systemet med systemkommandoer.
Det fritidsprojekt startede mere end et år, før ansøgningen blev afleveret til Google. Johnny deltog som mentor i Googles Summer of Code-arrangement i 2013, og han anbefaler danske studerende at arbejde med den slags projekter.
– Jeg var mentor for en dygtig indisk studerende på projektet sidste år. Jeg tror, at projektet er et eksempel på noget, man virkelig kan bruge i sit CV.
Johnny Vestergaard har hidtil selv lavet hovedparten af arbejdet, og han understreger, at der stadig er plads til mange forbedringer i Bee Swarm-projektet.
– Det kunne være en algoritme, der ud fra en automatisk netværksanalyse kan udarbejde et falskt skyggenetværk, som til forveksling ligner virksomhedens operative netværk, siger Johnny Vestergaard.
Angrebets anatomi
Fascinationen af digitale honningkrukker og anden lokkemad finder Johnny Vestergaard ikke i de involverede teknikker og kodningen.
– Teknikken er blot et værktøj. Det, jeg synes, er det virkeligt spændende, er, hvad der motiverer en angriber. Jeg kan godt lide at studere og analysere en angriber gennem længere tid, uden at han ved det.
Johnny Vestergaard viser en optagelse af et angreb frem, og man kan følge hackerens forsøg med at tiltvinge sig kontrollen over honeypot-serveren i den tro, at der tale om en virkelig server. Imens angrebet bliver afspillet, fortæller han:
– Min vinkel er, at man skal bruge så mange tricks som muligt for at vælte sin modstander - det skal blot ske inden for lovens rammer. Men hvis man altid spiller Mr. Nice Guy, så taber man. Ved at bruge vildledning kan man lokke angriberen til at gøre noget, som han egentlig ikke har lyst til og dermed afsløre ham.
Hvad kunne det være?
– At gøre hackeren sur, ved at de kommandoer, som han indtaster, ikke virker. Min honeypot er modificeret en smule, så han får nogle mærkelige fejlmeddelelser, og så bliver han hidsig. Det er supergodt. Almindeligvis siger man jo ellers, at man aldrig må gøre hackerne sure, for så går det helt amok, siger Johnny Vestergaard.
Han peger på, at det gælder om at "vende spillet" - angriberen har altid initiativet og fordelen ved at bestemme tid og sted. Ved at bruge honeypots og et udspekuleret psykologisk spil kan man som forsvareren vende spillet til sin egen favør.
– Er de sure nok, går de i fælden. Teknikken spiller en lille rolle. Det psykologiske spil er den største del af det, konstaterer han.
Når Johnny Vestergaard er oppe mod en erfaren modstander, opererer han med falske honeypots.
– Man lader et cluster af honeypots opføre sig meget som det, de er, mens et andet cluster af honeypots opfører sig mere realistisk, og det er der, man vil have angriberen hen, siger Johnny Vestergaard.
Det er et våbenkapløb.
