7 July 2021
I rollen som etisk hacker i Orange Cyberdefense Norge jobber Ragnhild Sageng med å teste sikkerheten hos norske selskaper ved hjelp av sosial manipulasjon. I august dro hun til DEF CON i Las Vegas hvor hun holdt et foredrag om jobbens etiske problemstillinger. Denne uken holdt hun foredrag om det samme temaet på Black Hat Europe i London.
Etter først å ha studert helse- og sosialfag, skiftet Ragnhild Sageng fokus til IT-bransjen, hvor hun blant annet jobbet med drift og support i Viken fylkeskommune. Etter tre intensive år med fulltidsstudier, kombinert med en fulltidsjobb og det å bli mor til tre barn, har hun nå landet i en jobb som innebærer både menneskelig psykologi og IT.
Som etisk hacker og penetrasjonstester i Orange Cyberdefense Norge har hun spesialisert seg i sosial manipulering innen IT-sikkerhet. Dette handler om å bruke psykologiske virkemidler for å manipulere brukere av IT-systemer, med mål om å svindle personer eller selskaper. Dette er noe Ragnhild og kollegaene hennes tester og lærer opp sine kunder i.
Denne erfaringen har ført til en stor interesse for det menneskelige aspektet i disse prosessene. Om det de driver med er etisk forsvarlig.
– Når man snakker om sosial manipulasjon i denne bransjen handler det ofte om hvordan vi lurer folk. Det er war stories. Men hva med å tenke litt utenfor boksen? Vi ønsker jo å teste folk, men er vi etisk ansvarlige nok når vi gjennomfører tester ute hos kundene? Jeg rekker på en måte opp hånden og sier; har vi tenkt på dette her? For å videreutvikle industrien er dette et tema som burde fått mer oppmerksomhet, sier Ragnhild Sageng.
Dette er ikke bare tanker hun har hatt for seg selv, mens hun har fortsatt sitt arbeid som før. Dette har resultert i et foredrag om jobbens etiske problemstillinger, som hun denne uken har hatt på Black Hat Europe i London. Dette er et internasjonalt annerkjent cybersikkerhetsevent, som tilbyr den mest tekniske og relevante forskningen som har blitt produsert gjennom året. Etter presentasjonen på Black Hat utbryter Ragnhild:
– Jeg følte jeg var ganske nervøs, men folk var interesserte i temaet og mange har stoppet meg og spurt spørsmål og vært engasjerte både før og etter presentasjonen, så jeg er veldig fornøyd!
Ragnhild har også høstet internasjonal annerkjennelse for sin presentasjon rundt dette temaet tidligere i år da hun ble akseptert som speaker til DEF CONi Las Vegas i august.
DEF CON er en av verdens eldste og største hacker-konferanser, som arrangeres i Las Vegas USA, hvert år. Her samles hackere og IT-sikkerhetsfolk fra hele verden for å lære av hverandre og sette ting på dagsorden i det globale fagmiljøet. Konferansen er delt inn i ulike villages, som har ulike tema. Ragnhild tenkte at Social Engineering Village var en perfekt arena for å dele sine perspektiver med den riktige målgruppen.
– Jeg sendte inn en søknad med en beskrivelse av hva jeg ønsket å snakke om, hvordan jeg ønsket å snakke om det og hvilken problemstilling jeg ønsket å ta for meg. Det at juryen valgte meg som én av seks til å holde et innlegg der, blant nærmere 100 søkere, var utrolig stort, sier hun.
Ragnhild satte seg dermed på flyet til Las Vegas for å delta på den 30. utgaven av DEF CON den 11. - 14. august i år.
I foredraget «The aftermath of a social engineering pentest. - Are we being ethically responsible?» satte hun spørsmål ved om vi tar godt nok hånd om pentesterne som tester, menneskene som blir testet, og om vi sørger vi for at selskapet behandler dem riktig etterpå. Det var også dette foredraget hun holdt under denne ukens Black Hat i London.
– Med pentesting kan man finne sikkerhetshull og konkludere med at det var noe som var konfigurert feil. Men når vi tester mennesker vil jo det føre til at de feilet som mennesker. De kan føle at de feiler selv, i motsetning til at det er et teknisk system rundt dem som har feilet. Man kan føle at man har blitt lurt og kanskje føle seg dum, forklarer hun.
Alle vil naturligvis ikke ta dette personlig. Men pentestere vet ikke hvilke mennesker de tester, hvilket ståsted de har i livet og hvor de er mentalt.
– Se for deg verste scenario: hvis man har testet en person som kanskje føler de har holdt livet sitt sammen med gaffatape, og dette er siste strået som tipper dem over kanten. Hvordan vil man da, som pentester, føle det? Dette blir ikke så ofte diskutert. Det er nettopp derfor jeg ønsket å sette det på agendaen. Det er et oversett aspekt av det vi holder på med.
Hun snakket også om hensiktsmessig grensesetting overfor selskapet som har bestilt testen.
– Hvis selskapet vil ha navnene til personene som gikk på et phishingforsøk. Er det nødvendig? Andre vil kanskje teste de fem lederne de har. Er det etisk forsvarlig å teste så få, når de kan resonnere seg frem til hvem som gikk på forsøket? Hvor går grensen, og hvor mye skal vi beskytte kunden mot seg selv? Vi er et rådgivende organ som skal sørge for at testen gjennomføres på en ansvarsfull måte, og ikke bare gi dem det de vil ha.
– Jeg har ikke alle svar på spørsmålene jeg stilte i foredraget, men for meg er det viktig at dette er et tema som får mer oppmerksomhet, forklarer Ragnhild.
Ragnhild innrømmer at hun var litt nervøs før hun skulle ut på scenen. Én ting er å holde en presentasjon for noen som ikke kjenner fagfeltet, men det å skulle snakke foran en sal full av spesialister på området, er noe helt annet.
– Heldigvis ble foredraget godt mottatt. Jeg måtte stå og svarte på spørsmål lenge etter jeg egentlig var ferdig, og det tar jeg som et godt tegn. Folk kom bort for å snakke med meg dagen etter også. Det var fint å se at så mange var engasjert i temaet, at det var viktig for flere, sier hun.
Under årets DEF CON var det om lag 80-90 personer fra den norske it-sikkerhetsbransjen tilstede. Ragnhild håper at hennes budskap nådde frem til mange av dem, slik at det kan bidra til en positiv utvikling i bransjen hjemme i Norge.
– Internasjonalt begynte man med sosial manipulasjon i pentesting for 10-15 år siden, så dette er fortsatt relativt nytt. Og Norge henger dessverre litt etter, sammenlignet med veldig mange land. Det er noen etiske retningslinjer som bør følges, men det finnes ikke noen bransjestandard som må følges. Det burde det kanskje være.
Kanskje er det gjennom konferanser som DEF CON og Black Hat Europe, hvor noen av bransjens skarpeste hoder deler sine tanker og perspektiver, at noe slikt kan få grobunn til å vokse frem.
– Arenaer som dette setter dagsorden i bransjen, så det blir spennende å følge med på utviklingen videre. Jeg har ihvertfall veldig lyst til å være med på DEF CON og Black Hat Europe igjen. Det kan godt hende jeg har noe mer på hjertet innen neste år, avslutter Ragnhild Sageng, etisk hacker og pentester i Orange Cyberdefense Norge.
Foredraget til Ragnhild på DEF CON kan du se her.