Från pojkrums-hacker till etisk säkerhetsexpert
Det som började med en dator, några rader kod och en önskan om att ta hämnd och återta kontrollen, ledde till en resa präglad av kriminalitet, fängelse och till slut etisk hacking. I dag hjälper Marius Jordet verksamheter att täppa till säkerhetshål och skydda andra från sådana som han en gång var.
Från svart till vit hatt: Marius Jordet har förvandlat sin kriminella bakgrund som hacker till något som gynnar IT-branschen. Foto: Privat
Marius är inte ofta på fest. Det har han heller aldrig varit. Ända sedan han var liten har han låtit sin förkärlek för kodning blomstra från pojkrummet. En barndom präglad av utanförskap gjorde dessutom valet mellan kodning och socialt umgänge enkelt. Så när undertecknad frågar honom vad han svarar när ”folk på fester frågar vad du jobbar med”, påpekar han att den frågan lika gärna kan dyka upp utanför festliga sammanhang. Och då är svaret i grunden enkelt:
– Datagrejer.
Han ler lite och tillägger:
– Om jag ska förklara det lite mer utförligt så är mitt jobb samma sak som en elak hacker. Skillnaden är att kunderna kommer till mig och ber mig att granska deras säkerhet genom att jag kliver in i rollen som en elak hacker. Jag hittar säkerhetshålen innan någon annan gör det.
I fackspråk kallas det för en etisk hacker. Eller att ”bära vit hatt” i IT-säkerhetsvärlden. Men den hatten har inte alltid varit kritvit – snarare kolsvart, enligt Marius, som har tillbringat större delen av sitt liv med att bryta sig in i digitala system. Först som en hämndlysten tonåring, sedan som kriminell och nu – efter avtjänat straff – som en av landets mest eftertraktade etiska hackare. Det sistnämnda är lätt att bekräfta. Femton minuter in i samtalet har Marius redan fått tio förfrågningar.
Visserligen kan det ha hjälpt att han höll ett föredrag om IT-säkerhet på Näringslivsdagen i Oslo dagen innan, men Marius kan ändå bekräfta att det inte råder någon brist på uppdragsförfrågningar.
När reCAPTCHA blir en bakdörr
Och ja – dessa uppdrag. Vad går de egentligen ut på?
Uppdragen Marius får handlar både om att avslöja svagheter genom att ta sig in i företags säkerhetssystem och uppträda som en verklig hacker för att se om systemen brister, och om att utbilda de anställda i hur hacking går till och vilka konsekvenser det kan få. På så sätt fungerar han som en IT-säkerhetsrådgivare med praktisk och skräddarsydd erfarenhet ända ut i fingertopparna, baserat på de fynd han gör i den aktuella verksamheten. Dessutom följer han kontinuerligt med på vad som är ”nästa stora grej” inom hacking – trender som utvecklas obehagligt snabbt.
– Just nu är det reCAPTCHA-phishing som tar fart, kan han avslöja, samtidigt som han förklarar hur denna phishing-attack fungerar:
En falsk sida ber dig ”lösa” I’m not a robot. När du följer instruktionerna som dyker upp, som att trycka Windows+R och klistra in kod, ger du angriparen full tillgång till datorn. Därefter skickas du vidare till den riktiga webbplatsen – utan att du märker någonting alls.
– Det ser otroligt trovärdigt ut. Och folk går rakt i fällan.
Phishing-angrepp
Ett phishing-angrepp är ett digitalt bedrägeriförsök där en angripare utger sig för att vara en trovärdig avsändare – vanligtvis en bank, arbetsgivare, offentlig myndighet eller en välkänd tjänst – för att lura dig att göra något du inte borde.
Så avslöjar han sårbarheter hos kunderna
Om ingen ska gå i fällan, utan i stället akta sig för den, är Marius bra att ha vid sin sida – eller snarare högst upp, får man väl säga. När han går praktiskt till väga för att simulera ett phishing-angrepp börjar han alltid i företagsledningen:
– Jag träffar ledningen först. Sedan bygger jag en spear-phishing-kampanj som är skräddarsydd för företaget. Det är viktigt att så få som möjligt känner till den. Därefter skickar jag ut mejlen under en överenskommen tidsperiod – ofta under en dag.
Efteråt får kunden en rapport som visar:
- hur många som angav användarnamn och lösenord
- vilka enheter som var mest sårbara (mobilen är ofta värst)
- vilka åtgärder som bör prioriteras framöver
Detta är ett exempel på ett enklare uppdrag som vissa kunder anlitar Marius för. Andra kunder hyr in honom under flera månader eller år.
En uppväxt bakom tangentbordet
Okej, så med andra ord (som phishing, reCAPTCHA, MFA, DMARC, SPF, DKIM och spoofing – mer om det längre ner) är Marius exceptionellt skicklig när det gäller siffror, kod och att sätta sig in i en digital brottslingens tankesätt och drivkrafter. Hur hamnade han i den här rollen? Var han alltid nyfiken på teknik, eller kom intresset för säkerhet senare?
– Du måste nästan få historien från början, säger han.
För att förstå någon som förstår riktiga hackare med cyniska intentioner måste vi spola tillbaka till Marius uppväxt, då hacking var både hobby och tillflykt.
– Det jag gillade mest var att sitta hemma och hålla på med hacking. De som var elaka mot mig i skolan hackade jag. Kanske lite fel att säga, men hackingen fick mig att känna mig ”bättre än andra”, eftersom det var något jag behärskade.
Hacking blev både hämnd, känslan av att lyckas och en identitet för en pojke som upplevde utanförskap och mobbning i skolan.
Från ransomware till ansvar
Med åren utvecklades färdigheterna. Samtidigt försvagades moralen. Marius gick från att hacka klasskamrater till att låsa ner datasystem i företag utomlands – ransomware, som det kallas – långt innan det blev allmänt känt.
Pengarna var drivkraften. Men också känslan av kontroll.
– Jag lärde mig vilka länder jag behövde skicka pengarna genom för att de inte skulle stoppas. Och det var så enkelt att jag tänkte att jag kunde leva på det här. Det var helt enkelt så jag resonerade då.
Han beskriver den här perioden med en saklighet som kommer av distans. Ett förflutet han inte längre känner igen sig i – helt utan empati. Det var ett annat liv. En annan Marius.
Vändpunkten i livet
Så hände något. Han blev pappa – och med det förändrades perspektivet.
– Då började jag tänka annorlunda. Jag såg mig själv utifrån för första gången.
Förändringen kom inte över en natt. Men den kom. Gradvis. Genom relationer som gav trygghet. Människor som mötte honom med förståelse. Och till slut genom ett fängelsestraff som tvingade fram ett val.
År 2019 hade han avtjänat sitt straff. Och var redo för ett annat liv. Den Marius han har utvecklats till i dag: en eftertraktad etisk hacker som arbetar för både små företag och några av Nordens största verksamheter. Han föreläser, bygger säkerhetskultur och stoppar attacker innan de sker.
Bad om ursäkt till offren – blev kunder
Efter avtjänat straff och med återfunnen empati i bagaget ringde han alla företag han hade bedragit och bad uppriktigt om ursäkt. Det ledde till att flera av offren till slut blev kunder.
– Jag vet inte riktigt vad som har hänt med mitt liv de senaste åren, säger han, innan han tillägger:
– Men det tog fart. På ett bra sätt.
Han beskriver det inte som ett mirakel. Bara som ett liv där misstagen han gjorde blev till erfarenhet – och erfarenheten blev till värde.
Bad om ursäkt – fick kunder: Helt utan avsikt blev många av Marius offer också hans kunder efter avtjänat straff. Foto: Gond Productions
Etisk hacker – utrustad med hög empati eller bara en ovanligt skicklig metodskådespelare?
Han var kanske utan empati tidigare, men har tagit med sig fragment från sitt tidigare liv som kriminell till sin fördel och bytt ut den svarta hatten mot en vit. Etisk hacking handlar om att förstå angriparna bättre än de förstår dig.
– De flesta anställda i ett företag gör inte misstag för att de är naiva – utan för att de är stressade, har mycket att göra eller vill vara hjälpsamma. Det är just detta angripare utnyttjar: mänsklighet.
Och det är därför utbildning, en trygg kultur och goda rutiner är minst lika viktiga som brandväggar och tekniska system, menar Marius.
Hacking handlar om mer än klassiska cyberbrottstekniker som vi ser i Hollywoodfilmer. Det handlar om att utnyttja den sårbarhet vi människor bär på genom att vara – ja, just människor – i kombination med tekniska svagheter.
– Det handlar om att förstå människor, rutiner och små tekniska svagheter som tillsammans kan få stora konsekvenser. Det handlar om att vara kreativ, inte ond, förklarar Marius.
En blandning av naivitet och en ”skit-i-det”-mentalitet i många företag
Detta är ett intrikat och avancerat område i ständig utveckling, som nordiska verksamheter tar skrämmande lätt på, menar Marius.
– Det som skrämmer mig mest är ”skit-i-det”-attityden i många företag. Folk tänker: ”Ingen hackar oss, vi är ju bara bageriet på hörnet.” Det är jantelagen i praktiken – inom IT-säkerhet, säger han och lägger till en av de tydligaste metaforerna i hela intervjun:
– Det är som att köra bil utan säkerhetsbälte för att man tänker: Jag krockar ju aldrig. Ända tills man faktiskt gör det – och orsaken är ofta något man själv inte kan kontrollera.
Människor och processer är den största svagheten inom IT-säkerhet
Att det finns mycket inom IT-säkerhet som vi inte kan kontrollera är något vi alla borde erkänna. Hotbilden finns överallt, oavsett hur stor eller liten verksamheten är. Bland de största svagheterna Marius ser i nordiska företag är just människorna och processerna – till stor del för att tekniken har blivit bättre, medan rutiner och medvetenhet inte har hängt med. Han utvecklar:
– Ett bra system kan alltid kringgås om människor lämnar ifrån sig nycklarna. En del av problemet är också att vi litar blint på att tekniken ska försvara oss, innan han ställer den retoriska frågan:
– Vad gör vi när tekniken sviker?
Svaret på hur illa det kan gå får han gång på gång genom sina uppdrag – men nyligen genomförde han en granskning som inte liknade någon annan. Granskningen gällde en applikation där en annan ”hacker” (alltså en etisk låtsashacker) haft full åtkomst och genomfört månatliga tester.
Det hör också till historien att ”hackern” representerade samma företag som hade utvecklat lösningen – något som i sig är en svaghet. När Marius påbörjade genomgången slutade det med att han behövde flera dagar enbart för att dokumentera fynden.
– Det var så mycket allvarligt att jag ärligt talat inte förstår hur detta kunde gå under radarn. Administratörslösenordet låg lagrat i klartext, och jag hittade sårbarheter som i praktiken var ”zero-days” från 10–15 år tillbaka. I applikationen fanns det flera hundra användare (företag), som i sin tur hade mycket känsliga uppgifter om sina egna kunder. Sammantaget var detta ett mycket speciellt och oroande fall. Det visar kanske tydligt varför man bör låta en tredje part granska säkerheten.
”Zero-days”
Inom IT-säkerhet betyder ”zero-day” (ofta skrivet zero-day exploit eller zero-day vulnerability) en sårbarhet i ett system, programvara eller hårdvara som är okänd för tillverkaren och ännu inte har åtgärdats – och därför saknar tillgänglig uppdatering/patch.
Marius främsta råd i kampen mot dataattacker
Om Marius fick ge ett enda råd till ett företag som vill förbättra sin IT-säkerhet är svaret lika rakt och tydligt som på en befälsskola:
– Börja med identitetssäkring. Se till att ha korrekt konfigurerad MFA, bra åtkomststyrning och säkra konfigurationer. Därefter: utbilda de anställda, ta fram en ordentlig beredskapsplan och öva på den regelbundet.
Han tillägger:
– Och kanske viktigast av allt: använd en oberoende tredje part för att utvärdera er säkerhet. Lita inte blint på en och samma IT-partner som både ska sälja dig brandväggen och bedöma om den är sårbar – det är en inbyggd intressekonflikt som ofta ger falsk trygghet.
På frågan om hur han ser på utvecklingen av IT-säkerhet som disciplin de kommande fem åren svarar han:
– Mycket mer AI-drivna attacker – särskilt deepfakes och automatiserad social manipulation. Bättre verktyg för försvar, men också mer komplexa angreppsytor. Identitet och åtkomst blir viktigare än allt annat. Och jag tror att vi kommer att få fler riktade attacker mot små och medelstora företag med god ekonomi, men svag säkerhet.
Alla hattar av – i alla färger – för Marius. Det är precis sådana röster som IT-branschen i Norden behöver, nu, i framtiden och framöver!
Och allra sist… Eftersom du har läst hela vägen hit har du antingen djup kunskap – eller ett starkt engagemang – i ämnet. Antingen behöver du detta, eller så gör du det inte. Oavsett: vi har tagit fram en liten ordlista med grundläggande begrepp inom IT-säkerhet.
Ordlista för centrala IT-säkerhetsbegrepp
Phishing: Digitalt bedrägeri där angripare utger sig för att vara en trovärdig avsändare för att stjäla information eller pengar.
reCAPTCHA: Skiljer människor från robotar för att förhindra automatiserat missbruk av formulär och tjänster.
MFA (Multi-Factor Authentication): Extra inloggningssäkerhet som kräver mer än bara lösenord.
DMARC: Skyddar din domän mot falska e-postmeddelanden genom att verifiera avsändaren.
SPF: Nej, inte solskyddsfaktor. SPF anger vilka servrar som har tillåtelse att skicka e-post för din domäns räkning.
DKIM: Bekräftar att e-postens innehåll är äkta och inte har ändrats under överföringen.
Spoofing: Förfalskning av avsändaridentitet för att utge sig för att vara någon annan.
Shadow IT: Oauktoriserade IT-verktyg som används utanför organisationens kontroll.
Security by default: Lösningar som är säkra från start utan behov av manuella säkerhetsval.
Black hat: Aktörer som utnyttjar sårbarheter för egen eller kriminell vinning.
White hat: Etiska säkerhetsexperter som testar system för att identifiera svagheter.
Zero-days: Okända säkerhetshål som utnyttjas innan de har åtgärdats.
Nmap: Verktyg för att kartlägga nätverk, öppna portar och exponerade tjänster.
Metasploit: Verktyg för att testa hur kända sårbarheter kan utnyttjas i praktiken.
Burp Suite (Pro): Professionellt verktyg för säkerhetstestning av webbapplikationer.
Behöver du hjälp?
Vi kan assistera dig med att hitta den bästa konsulten för dig. Kontakta oss så löser vi det tillsammans.