Han hackar för säkerhet

KTH-professorn och cybersäkerhetsexperten Pontus Johnson hackar ­system för att upptäcka säkerhetsluckor. Nu ska han hjälpa Försvars­makten att utbilda värnpliktiga cybersoldater för ”det femte slagfältet”.

Världens största bankrån genom tiderna ägde rum i februari 2016. Då lyckades en grupp hackare tränga sig in i det internationella betalningsorder­systemet Swift på Bangladesh centralbank.

Väl inne skickade de betalningsordrar till den mäktiga banken Federal Reserve som ligger mitt i Manhattans finansdistrikt. Sakta men säkert började transaktioner på totalt 1,1 miljarder dollar trilla in på olika konton i Sri Lanka och Filippinerna.

Men de skickliga hackarna hade gjort ett banalt misstag. Namnet på ett konto stavades ”fandation” i stället för ”foundation” vilket gjorde några nitiska tyska bankmän misstänksamma och överföringarna avbröts. Men ungefär 100 miljoner dollar hade vid det laget redan försvunnit.

– De hade lyckats hacka en hel bank, men stavat fel på ett ord … Otroligt, säger KTH-professorn och cybersäkerhets­experten Pontus Johnson.

Pontus Johnson

Ålder: 49 år.
Bor: Stockholm.
Gör: Professor på KTH.
Utbildning: Civil­ingenjör LTH, doktorsexamen KTH.
Familj: Frun Katarina och tioåriga dottern Siri.
Läser: Sandworm av Andy Greenberg.

Bankrånet är bara en av många riktigt stora ­cyberattacker som har inträffat under de senaste tio åren, berättar han, när vi möts på Wennergren center intill Odenplan i Stockholm.

– Samhället bygger digitala system i en hiskelig fart, och vi stoppar ner allt mer av våra verksamheter, tillgångar och ekonomi i dem. Men vi är oförmögna att göra systemen säkra. Våra måttligt stora huvuden klarar inte av det. Resursstarka ­företag som Apple lägger stor möda på att göra sina system säkra, men de stöter ändå på nya problem varje månad.

Säkerhetsbristerna är skälet till allt han gör. Här, i denna cirkelformade byggnad, driver han sitt företag Foreseeti vars företagsidé är att simulera attacker mot organisationers datornätverk i syfte att säkerställa dess säkerhet.

– Vi testar sårbarheten kan man säga. Inte helt olikt att krocktesta en bil.

Företaget är en förlängning av den forskning han bedriver på KTH, där man simulerar just angrepp mot nätverk för att i det långa loppet få en större förståelse för hur vi faktiskt kan bygga säkra digitala system. På skolan bedriver han också undervisning där hackning av program­varubaserade system är en central studieuppgift.

– Vi fick lite uppmärksamhet när vi testade att hacka robotdammsugare. De var otroligt enkla att ta kontroll över; vi kunde styra dem, filma med kameran och lyssna via mikrofonen. Vi har gett företaget en chans att rätta till problemet, men de har valt att inte göra det.

Tillsammans med Försvarsmakten jobbar han nu som projektledare för det nya Centret för ­cyberförsvar och informationssäkerhet som startas i januari 2020. I det ingår bland annat att ta fram en ny avdelning inom värnplikten som fostrar cybersoldater.

– De ska försvara landet på vad man inom Försvarsmakten kallar för ”det femte slagfältet”. Efter att strid genom tiderna bedrivits på land, till sjöss, i luften och i rymden förs de nu i allt större utsträckning i den digitala världen.

Hackare har med andra ord blivit en viktig yrkesgrupp i såväl samhälle som försvar. Men de har som bekant inte alltid haft samma status. 1983, när Pontus Johnson 13 år gammal fick sin första dator – ”en Texas instrument 99/4A”– var den ännu inte uppkopplad till internet.

– Den som ville hacka en dator då var tvungen att sitta vid den fysiskt, berättar han.

För egen del hade han ännu inte kommit i kontakt med hackning. Däremot ägnade han sig tidigt åt programmering, inspirerad av sin pappa som var professor inom tillämpad matematik. De datorspel som Pontus Johnson köpte på kassett var inte tillräckligt tillfredsställande, så i stället lärde han sig att bygga egna.

– Jag lade rätt mycket möda på ett spel som gick ut på att ett militärfartyg for runt på havet och kastade sjunkbomber för att stoppa ubåtarna som passerade under ytan. Men det var något av en besvikelse att det inte gick att göra lika snygga och snabba spel som de man kunde köpa med tekniken jag hade.

Senare i tonåren lärde han sig att ”cracka” program.

– Det vill säga skriva om koden så att jag kunde använda programmet utan att köpa licensen. Det första var ett matematikprogram som hette Maple. Jag lärde mig ett rätt o-intuitivt sätt att tänka, alltså att fundera över hur något kan gå fel i stället för hur det är tänkt att fungera.

Pontus tre karriärtips:

1. Försök hitta ett jobb som du verkligen tycker om (snarare än ett som maximerar karriären).

2. Försök hitta ett jobb med arbetskamrater som du verkligen tycker om.

3. Var reko (det är bättre för både självkänslan och karriären).

Alla hackares grundläggande förmåga, kan man säga. De första hackarna, däribland Apples grundare Steve Jobs, ägnade sig åt telefonbaserad hackning. Det gick ut på att lura telefonbolagens växlar med hjälp av en hemmagjord manick som gjorde det möjligt att ringa gratis.

När internet dök upp på bred front under 1990-talet blev hackning avsevärt enklare. Men fram till tidigt 2000-tal bestod den till stor del av ”hobbybaserade aktiviteter där folk hackade för att imponera på kompisar”, menar Pontus Johnson. Visst hackades tidningar, banker och militära nätverk. Men det går inte att jämföra med den professionalism och organisation som finns i dag.

– Det många företag och stater gjorde då var att åtala den enskilda person som genomfört intrången. Att lösa säkerhetsluckorna var de inte lika intresserade av.

I dag finns i stället ett avtalssystem mellan hackare och företag genom så kallade ”bug bounty­-plattformar”, där företagen villigt går med på att du hackar deras system – och dess­utom betalar dig för det. Men det under förutsättningen att du rapporterar in säkerhetsluckan till företaget så att de kan rätta till problemet och att du låter bli att stjäla eller förstöra något. Fenomenet har blivit en stor industri och en viktig pusselbit för de aktörer som vill ha god säkerhet.

– Jag har till exempel hackat Spotify, säger Pontus Johnson medan han trycker igång appen på sin mobil för att spela upp sin låt React. Den spelade han in för att kunna registrera sig som artist under pseudonymen Douglas Hall och därigenom hitta nya säkerhetsluckor i musiktjänsten.

– Jag skrev sedan en rapport och påpekade att det rimligen inte kunde vara meningen att man ska kunna göra det jag gjorde. De svarade väldigt snabbt att de skulle åtgärda problemet och sedan fick jag betalt.

Pontus Johnson kom i kontakt med säkerhetsfrågor när han via studier i teknisk fysik i Lund och på KTH började doktorera inom industriella informations- och styrsystem, till exempel elkraftverks driftövervakningssystem.

– Det här var ofta befintliga system som man plötsligt kopplade upp mot internet. Då blev det snabbt tydligt att de var fulla av säkerhetsluckor.

Just sådana infrastruktursystem är bland de allra viktigaste att skydda i samhället, konstaterar han. Stater kan stänga ner hela elkraftnät och på så sätt lamslå ett samhälle på nolltid.

– Tågtrafiken skulle stanna, biltrafiken likaså eftersom bensinpumpar drivs av el. Matleveranserna skulle därmed sluta komma. Sjukhus och kommunikationssystem skulle klara sig ett tag med reservgeneratorer som går på diesel, men snart skulle även de ta slut. Vattenpumparna drivs av el, så kranvatten skulle vi stå utan.

Människor skulle dö, menar Pontus Johnson. Ett starkt cyberförsvar kan därför anses vara av stor vikt i dagens digitala samhälle. Därför är det kanske inte är så konstigt att just han är en del av Försvarsmaktens nya satsning på cybersoldater.

– Den här nya typen av krigsföring har redan inträffat flera gånger, inte minst av Ryssland mot Ukraina. Det finns även bevis för att Ryssland har suttit med fingret över knappen i stora amerikanska elkraftnät, men avstått från att trycka. Åtminstone än så länge.