Search

Martin hacker vores kunder

Arbejdet som pentester kræver stor viden og lyst til at tænke ud af boksen. Det kan vores Security Consultant Martin Christensen, og han rangerer højt på flere lister over internationale bug bounty-jægere. I dag lever han af sin hobby: Web-hacking.

Hvordan begyndte din interesse for hacking?

Med almindelig nysgerrighed og interresse for it. Jeg opdagede, at det var spændende i at lede efter sårbarheder. At bryde regler og tænke: “Hvad nu hvis jeg gør sådan her?” Så jeg begyndte at sætte usikre applikationer op og finde forskellige metoder til at kompromittere dem.

Så du lærte dig selv at hacke?

Ja, det kan man godt sige. Jeg blev selvfølgelig inspireret af mange dygtige folk undervejs. Men ja – hacking var langt hen ad vejen en hobby, som gradvist greb om sig. Jeg blev ved med at søge nye udfordringer og lære flere systemer, flere programmeringssprog, flere teknikker.

Hvornår begyndte du at se det som en levevej?

Det var efter, jeg i 2013 deltog i et bug bounty-program arrangeret af AT&T. Her fandt jeg en SQL-injection, der gav adgang til en masse følsomme data. Den rapporterede jeg og blev godt betalt for det. Jeg blev også anerkendt i deres Hall of Fame, og det så godt ud på CV’et. Det var efter den oplevelse, jeg blev motiveret til at gå mere i dybden med hacking, så jeg kunne høste anerkendelse fra flere organisationer og på sigt leve af pentesting.

Så efter AT&T fortsatte du som bug bounty-jæger?

Ja. Siden da har jeg rapporteret mange sårbarheder i lignende programmer. Fx hos Marriott og U. S. Department of Defense. Lige nu rangerer jeg som nr. 4 hos Wells Fargo og nr. 7 hos Keybank. Men de pladser ændrer sig hele tiden, da der også er andre, som rapporterer sårbarheder. Mine placeringer kommer lidt an på, hvornår jeg får nye ideer, der fører til, at jeg finder noget.

Hvad er dit job i Orange Cyberdefense Danmark?

Til daglig arbejder jeg med at penteste vores kunders systemer. De sårbarheder, vi opdager, bliver vurderet på en skala fra 0 til 10 ud fra OWASP-framework’et og afleveret til kunden i en rapport. Hvis det er meget alvorlige sårbarheder – dvs. i kategorierne 9 eller 10 – bliver de rapporteret med det samme, så kunden kan lukke dem hurtigst muligt. 

Arbejder du i et team?

Ja, vi har hver vores specialer, som vi fordeler opgaverne efter. Mit er web-hacking. Vi arbejder primært for danske kunder, men deltager også i internationale opgaver efter behov. Det kommer lidt an på opgave-flowet.

Er der bestemte sårbarheder, som er mere udbredte end andre?

Ja. En af de sårbarheder, jeg har fundet en del gange, er “Cross Site Scripting”. Dvs. at man ikke har taget højde for, at hackere kan finde på at indsætte javascript-kode i eksempelvis søge- eller dialogfelter på ens website. På den måde kan man eksekvere kode i andre folks browser, når de går ind på webserveren. Det kan også ske via upload af en fil. Hvis der ikke er styr på input-valideringen, kan man uploade kode, som giver adgang til webserveren og derfra til resten af netværket. Konfigurationsfejl er også årsag til en del sårbarheder. Fx hvis der ikke er sat HttpOnly- og Secure-flag i session cookies.

Hvad skal man kunne for at blive professionel pentester?

Man skal have gode analytiske evner, og godt kendskab til de systemer, man angriber. Man skal også forstå de programmeringssprog, systemerne er skrevet i. Det er vigtigt at have en bred forståelse, fordi man bevæger sig på tværs af forskellige systemer og programmeringssprog. Man skal synes, at jagten er det sjove – og at regler er til for at blive brudt.

Hvad betragter du som din største succes?

Det var, da jeg blev anerkendt som ”Researcher of the Month” af det amerikanske militær. Jeg tjekkede min twitter hen på aftenen og så, at jeg havde fået titlen, efter jeg rapporterede, at de havde en web server, hvor login til databasen var offentligt tilgængelig i en debug-fil.

Hvad giver dig størst jobtilfredshed?

Arbejdsdage hvor jeg finder alvorlige sårbarheder. Når man sidder og angriber et system, og pludselig tænker: “Hvad nu hvis jeg gør sådan og sådan…?” – og det virker, og man har fundet et alvorlig problem. Dér går det hele op i en højere enhed.

Hvilke råd kan du give til andre, der gerne vil være pentester på dit niveau?

Kast dig ud i det. Lær en masse. Forsøg dig frem. Bliv ved med at holde dig opdateret, for der sker en masse nyt inden for hacking hele tiden.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.