Vil du bli en del av PwCs unike cybermiljø?

10/12/21

Playback of this video is not currently available

3:43

Se hvordan vårt Red Team jobber med cybersikkerhet

Tekstet på norsk.

Cyberteamet i PwC har vokst mye de siste årene, og vi vil ha flere på laget! Hos oss jobber folk fra hele verden. De er samfunnsvitere, ingeniører, økonomer, advokater og hackere og sammen bekjemper de cyberkriminalitet hos de største virksomhetene i Norge. 

Har du lyst til å jobbe med oss? Vi ser etter deg som brenner for datasikkerhet. Du har et klokt hode og et godt hjerte. Du våger å tenke nytt. Kanskje er du hacker. Eller du er samfunnsviter som vil løse verdens viktigste problemer? Eller kanskje har du en helt annen bakgrunn? Vi vil gjerne snakke litt med deg! 

Meld din interesse

Nico beskytter bedrifter mot hackere: – Det jeg gjør er egentlig ulovlig.

I løpet av et år finner Nicolai Grødum og teamet hans hundrevis av sikkerhetshull i Norges største virksomheter.

– Er dere klare? Det tar 8 minutter fra vi kjører angrepskoden til alarmen går. Så må blue team reagere, sier Nico til Martin Herrmann og de andre hackerne i blue team og red team. 

– Shit! No alarms were fired when we ran the attack code after we included our modifications, sier Herrmann som er fra Tyskland og snakker best engelsk. 

De sitter i cyber-rommet til PwC. På veggene henger fem store skjermer. På bordet står en plante som får vann fra en champagne-flaske, via et hjemmesnekret selv-vanningssystem. Og en dinosaur med myk pels som sist hacket adgangskortet til administrerende sjef i PwC. 

– Viktig å ha det gøy på jobben!, er mottoet til Nicolai Grødum, teknisk direktør i red team.  

Gjenskaper ransomware-angrep hos en stor norsk bedrift

Red Teamet skal teste sitt eget program for å dumpe ut passord fra en maskin de har brutt seg inn på, og så sammenligne med programmet Mimikatz. Hensikten med dette er å se om de kan omgå sikkerhetsmekanismene til Microsoft Defender og Defender ATP for ikke å bli oppdaget. De gjenskaper noe som skjedde da en kunde ble utsatt for ransomware.

Fem ansatte jobber med pc

– Under øvelsen fant vi nye sårbarheter og kreative måter for å beskytte kundene vi jobber for. Det viktigste er kanskje samholdet vi skaper. Gjensidig tillit mellom teamene er viktig for å skape et trygt miljø hvor folk får muligheten til å utvikle seg samtidig som de vet at alle heier på hverandre, forteller Schou Straumsheim midt i bildet). Nico og fem andre var med digitalt på skjermer.

Screenshot fra program

Red Teamet forsøker ulike teknikker for å dumpe minnet i forsøk på å finne passord til privilegerte brukere. Det testes med både egne, skreddersydde verktøy, så vel som offentlig tilgjengelige "hacker tools", men blir gjentatte ganger oppdaget av Blue Teamet.

Skjermdump fra hacker-øvelse med red team og blue team

Red Teamet bruker et nytt verktøy for å kartlegge nettverket fra maskinen de nettopp har brutt seg på. Blue Teamet blir overrasket over at bare bruddstykker av aktiviteten fanges opp av deteksjonsmekanismene som de har satt opp. Tilbake til tegnebrettet!

Må tenke som en kriminell

– Det som skiller jobben min fra de fleste andre, er at det jeg gjør egentlig er ulovlig. Vi skal jo oppføre oss som kriminelle. Hvis noen andre hadde gjort dette kunne de havnet i fengsel. Vi innhenter alle tillatelser før vi setter i gang og har dermed et frikort å vise til hvis vi blir tatt. Det er veldig mye å ta hensyn til i en slik jobb, og den etiske delen av å være hacker står alltid først. Kundene skal vite at de kan stole på oss, forteller Grødum.

Den profesjonelle hackeren har blitt spurt om å gå over til den mørke siden. Han kunne trolig gjort det stort som kriminell. 

– Det har vært folk jeg ikke kjenner som har spurt meg om ting. Som jeg ikke vil jobbe med. Jeg distanserer meg så langt fra det. Jeg vil ta de valgene som gjør at jeg får det best mulig i livet, svarer Grødum.

Tar hackerne på fersken

Grødum og teamet har kommet over mange alvorlige sikkerhetsfeil. 

– En gang kom jeg meg inn i et system og fant ut at jeg ikke var der inne alene. Da skal jeg innrømme at jeg kjente på sjokket, sier den snille hackeren, og fortsetter: 

– Jeg har kommet meg inn på steder hvor jeg har fått tak i svært alvorlige ting og avdekket feil hvor det kunne gått galt. Hackeren forteller at han har hatt kontroll over alt fra store verdier, utenlandsbetalinger, telefoni, videoovervåkningssystemer, kundelister, mailkontoer, kalendere og hatt full administratortilgang til bedrifter. 

– Det sjokkerer meg ikke lenger at vi får tilgang til slikt. Det er faktisk ganske vanlig. Men jeg blir overrasket over hvor enkelt vi kan få tak i alle disse tingene. Vi vil jo gjerne tenke at ting er på stell og at vi ikke finner noe, sier han.

En av verdens klokeste IT-hoder

Det er ikke bare på jobb at Nico finner ut av ting. Han er den moderne MacGyver som ser muligheter i alt. Han kan ikke sitte på et fly uten å oppdage sikkerhetshull i datasystemet. Han finner passordet ditt. Han står på Google og Microsoft sine Hall of Fame-lister for å ha varslet om alvorlige sikkerhetsfeil. En lørdagskveld med en nyåpnet vinflaske oppdaget han feil på norske varmeovner.  

– I løpet av første glasset fant jeg ut at jeg kunne styre andre ovner og lage egen software. De som hadde implementert denne, hadde hoppet over sikkerhet, forteller han. Nico ringte da selskapet og hjalp dem med å få gjort de riktige tingene. Lille julaften kom sjefen i selskapet på døra hans med en haug varmeovner som takk for hjelpen. 

Fra bomber til roboter

– Bestefar lærte meg å lage ugressaltbomber, sier Nicolai Grødum som startet å jobbe som kjemiker. Hjemme hos han er alt koblet til nett med en egen server i kjelleren. Han hadde monitorering av alarmsystemet ti år før Rema 1000 sin «open the door»-reklame. Han bygger egne motorer, som dør til støvsugeren som han snakker med. 

– Alexa er god på lyspærer, så min server utgir seg for å være det, forteller Grødum og ramser opp noe av det som er koblet til nett og stemmesensor hjemme: lysene, ytterdøra, vaske og støvsuger-robot, garasjeport, blinkende juletrelys, prosjektor osv. Man skjønner tegninga.

Nicolai Grødum og 3D-maskinen

Nicolai lagde 3D-maskin før det ble vanlig. Med den printer han shotglass, ugler, Yoda og annet.

Brukte førstegangstjenesten på å feilsøke kopimaskina

Nicolai kjedet seg i militæret. Han søkte etter feil på den store, fancy kopimaskinen. Til slutt fikk han full kontroll på den og hvordan den fungerte inni. Han fant ut at han kunne endre på det folk skrev ut og kopierte, men turte aldri å gjøre noe i praksis. 

Han fant ut hvordan han kunne ta over alle Outlook-kalenderne i hele verden

Grødum gjorde en feil under programmering. Det var starten på en merkelig oppførsel i Exchange-serverne som gjorde at han fikk tilgang til verdens Outlook-kalendere. Han måtte så klart finne ut av hva som hadde skjedd, og tenkte at det kan umulig være designet for dette. 

– Jeg blir litt som en hund som får tak i et lite ben, forteller Nicolai som kom på Microsofts «list of honor». Han fant et annet sikkerhetshull hos Google og havnet på æreslisten der også. 

 

Nicolai Grødum foran stor skjerm

– Det som skiller jobben min fra de fleste andre, er at det jeg gjør egentlig er ulovlig. Vi skal jo oppføre oss som kriminelle, sier Nicolai.

Slo på kaffetrakteren med sms i 1997 – og giftet seg med ei han sendte fake mail til

I 1997 lagde han SMS-tjeneste før det fantes. Han kunne slå på kaffetrakteren med SMS. SMS-en gikk til en tjeneste som videresendte e-post, e-posten gikk til en server som tok den imot og åpnet CD-skuffen hvis meldingen hadde riktig kodeord. CD-skuffen slo på kaffetrakteren. Han sendte også mail til noen jenter på studiet om at de pratet for mye i timen. Han sendte det fra en fake avsender så det så ut som det var foreleseren. 

– Jeg er gift med hun ene i dag. Så sjekketrikset fungerte, smiler han.

Blue team + red team=purple team

Dagens øvelse var å gjenskape et datainnbrudd som DarkSide gjennomførte mot en norsk bedrift. PwCs incident response team hjalp dem med å håndtere ransomware-angrepet. Hackerne brukte fire timer fra de brøt seg inn til de hadde lykkes med å spre løsepengeviruset og dermed satte de store deler av virksomhetens IT-systemer ut av spill. 

– Ved å gjenskape samme IT-infrastruktur som det kunden hadde i lab-miljøet vårt kan vi kjøre angrepet «på nytt» for å se på hvilke tiltak som hadde vært mest effektive, som vi igjen kan ta med oss ut for å hjelpe andre kunder. Denne typen øvelser er viktig for at vi kan lære på tvers av teamene, sier Jan Henrik Schou Straumsheim som er cyber-direktør og jobber sammen med Nico. 

– Red-teamet blir bedre når de skjønner hvordan blue-teamet jobber, og vice versa. Når vi blander teamene på denne måten kaller vi det «purple teaming», forteller han. 

Les om cyber-offiseren Jan Henrik her.

Nicolai Grødum

Nicolai Grødum

  • Leder PwCs Red Team, og jobber daglig med å bekjempe cyberkriminalitet 
  • Har jobbet i PwC siden 2019
  • Før han begynte i PwC jobbet Nicolai med softwareutvikling og SecDevOps i TANDBERG og Cisco Systems
  • Fun fact: Ridder av Cornu Aureum - linjeforeningen til Siv.ing. kjemi på NTNU

Nysgjerrig på PwC? Meld din interesse

Vi vil gjerne komme i kontakt med deg dersom du har relevant erfaring og er nysgjerrig på å jobbe i PwCs cyberteam.

Obligatoriske felter er markert med stjerne(*)

Ved å gi oss din e-postadresse har du akseptert å ha lest vår personvernerklæring og samtykker i at vi behandler dine data i henhold til denne. Dersom du på noe tidspunkt ikke lenger skulle ønske å motta informasjon fra oss, kan du sende oss en e-post via vår Kontakt oss-side.