Han er 22 år og har allerede en master fra NTNU. Nå er han på Norges landslag, som skal kjempe mot 35 andre land under EM i hacking.
Jonny Ngo Luong kommer fra Lillehammer, men studerte i Trondheim. Nå er han ferdig med studiene og bor med sin mor i Lillelhammer. Denne helgen besøkte han broren sin i Trondheim for å delta på konkurranser som en del av forberedelsene til EM.Jon Herland
For første gang arrangeres European Cyber Security Challenge (ECSC) i Norge. Det kalles også «EM i hacking», og skjer denne uken i Vikingskipet på Hamar. Jonny Ngo Luong (22) kjemper på det norske landslaget.
Fakta
European Cyber Security Challenge 2023
Når: 24-27 oktober
Hvor: Vikingskipet i Hamar
Antall påmeldte land: 36
Arrangør: NTNU
--------------------------------------------
Konkurransen er åpen for publikum, og det er gratis inngang.
- Jeg satt ganske ofte på PC og spilte spill allerede i barnehage-alder. Da var det maks to timer om dagen, hadde mamma bestemt. Så fra start var jeg interessert i spill, sier Luong.
Videre utforsket han hvordan man faktisk kan lage spillene.
- Jeg lærte meg koding gjennom det. Så ble jeg nysgjerrig på Linux-verdenen og lærte Unix-systemet, sier Luong.
White hat hacker
Luong vil trolig falle inn under kategorien «white hat hacker». Han sier at han ikke driver med innbrudd i datasystemer.
- Jeg har ikke gjort noe galt, jeg er veldig forsiktig med det. Selv om det kan høres kult ut, så er det litt skummelt å gjøre noe du ikke bør gjøre.
White hat hacker er en etisk hacker i motsetning til en black hat hacker som ikke er etisk. I tillegg finner du hackere med grå (noe mellom white og black hat hacker), grønne (nybegynnere), røde (bruker uetiske metoder for å oppnå rettferdighet, à la Robin Hood) og blå (hacker for å hevne seg på folk) hatter.
- Kan du bryte deg inn i et system uten å legge fra deg spor?
- Jo, jeg kan jo det, men ikke hvilket om helst system. Det kommer veldig an på hvordan systemet er bygget opp, og om det er store sårbarheter. Facebook, for eksempel, er det nesten umulig å bryte seg inn i for meg, sier han.
Vil ha mange ulike spesialister
For å bli kvalifisert til landslaget har Luong vært med og vunnet flere kvalifiseringsrunder tidligere i år.
Sammen med de ni andre som har blitt tatt ut på landslaget utfyller de forskjellige roller og egenskaper, ikke ulikt et fotballag.
- Oppgavene er delt i ulike kategorier: Lockpicking, webbaserte teknologier, kryptografi, der du må løse matteproblemer, og generelle kryptografiske problemer og implikasjoner, forteller Luong
På uttaket til landslaget ønsker man å finne spesialister innen alle de ulike kategoriene.
- Alle må kunne litt av alle kategoriene, men det hjelper å bli spesialist i en kategori også. Jeg er spesialist på webkategorien, sier han.
Leter etter flagget
I år har 36 land meldt seg på arrangementet i Vikingskipet. Hvert lag består altså av ti deltakere mellom 16 og 24 år som sitter isolert fra omverden og skal løse oppgaver. Kun kapteinen har lov til å kommunisere med folk utenfra (de som arrangerer spillet).
- Alle konkurransene er en form for capture the flag (CTF) som egentlig er en fysisk aktivitet. Den går ut på å kapre flagget til motstander og ta det med tilbake til basen din. Men i stedet for å gjøre det fysisk, så gjør vi det digitalt, forklarer Luong.
CTF er gjerne en hobby for folk som liker å løse problemer eller bli flinkere i cyber-sikkerhet. «Flagget» er i denne sammenhengen en tekst som er gjemt inne i et system.
- Tanken er at du skal bryte inn i systemet og finne ut hva flagget er. Det kan være passord til admin-brukeren, eller en hemmelig oppskrift eller hemmelig fil gjemt dypt inne i PC-en eller i et system. Så angriper vi systemet på den måten vi mener er best for å få ut flagget, sier Luong.
En typisk weboppgave kan være implementasjonsfeil.
- Tenk deg en login-nettside, der du må logge inn og kan registrere en bruker. Problemet er at i stedet for å logge inn vanlig, så kan du jukse litt med tegnene og hoppe ut av kodelogikken, og logge inn som admin i stedet for din egen bruker. Når du har tilgang til admin, så kan du videre få tilgang til andre systemer internt i applikasjonen. Så går dypere og dypere i systemet. Det høres kanskje komplisert ut, men noen av oppgavene er ganske simple.
Trengs bredere engasjement i Norge
Fakta
Jonny Ngo Luong (og mamma)
Bosted: Lillehammer
Alder: 22
Utdannelse: Master i informatikk ved NTNU Trondheim (2023)
Firma: Omega Point Norge
For å forberede seg har han og landslaget hatt flere samlinger sammen med veiledere og samarbeidspartnere for å lære om og trene på forskjellige temaer.
- Det er mye av det samme som når jeg forbereder meg til mattekonkurranser. Jeg søker oppgaver. Dessuten deltar vi på landslaget på ulike konkurranser og løser de ulike problemer som finnes. Når vi hører om en ny sårbarhet, så går vi inn og forklarer hver eneste komponent for hvordan denne sårbarheten ble til, hvordan man kan beskytte mot den og hvordan man kan utnytte den. Det er veldig mye god informasjon på nettet, som man kan bruke for å få litt mer kunnskap.
- Hvem tror du kommer til å vinne i år?
- Danskene vant i fjor. De er veldig sterke fordi de har et mye større miljø. I Norge er det mange flinke folk, men kunnskapen er ikke spredt nok. Vi trenger et bredere engasjement, men det hadde vært veldig stas å vinne, sier Leong.
- Kom, bli med!
Han er del av et lite, men voksende miljø rundt NTNU i Gjøvik som prøver å heve den generelle interessen for hacking. Derfor er han med å arrangere konkurranser på NTNU i Gjøvik.
- Vi prøver å gamifisere hacking generelt. På NTNU finnes det minst to studentforeninger som arrangerer konkurranser annenhver uke hvor alle kan være med. Jeg er med å arrangere noen av dem, og det er bare å komme, oppfordrer Luong.
Ikke forlat PCen din
Når man snakker om hacking tenker de fleste på «black hat»-typen. De som vil prøve å bryte seg inn i ditt datasystem for å stjele informasjon, penger eller identiteten din.
Eksempler på dette kan være både å sende phishing-eposter, der man prøver å lure noen til å trykke på en lenke, eller man kan fysisk sette en USB-pinne i en maskin. Hvor vanlig sistnevnte er kan ikke Luong si sikkert.
- Det vet jeg faktisk ikke, men USB er det vi kaller en attack-vektor, som er én av flere metoder, eller kombinasjon av metoder, man benytter for å bryte seg inn på systemer.
- Det har tidligere vært saker som har skapt bekymring rundt å plugge inn telefonen din på offentlige steder. Ville du ladet telefonen din på T-banen?
- Ja, den er der for at vi skal kunne bruke den.
- Hva med cookies, er det noe folk burde bekymre seg for?
- Nei, de er ofte funksjonelle. Det er ikke så farlig om de finner ut hva jeg putter i handlelistene dine. Men heldigvis, når hackingen har utviklet seg, så har også beskyttelsesmekanismene utviklet seg.