Från att bli hackad som 12-åring till cybersäkerhetsexpert – möt Sam Eizad, medgrundare för Cyloq

Sam Eizad har ägnat mer än halva sitt liv åt att hitta sårbarheter i digitala system. Idag står han som en av medgrundarna till Cyloq, cybersäkerhetsbolaget som levererar offensiva säkerhetstester av högsta kvalitet och hjälper organisationer minska sina risker.

Sam Eizad har en bakgrund som sträcker sig djupt in i cybersäkerhetsvärlden. Men Sams resa till där han är idag började inte med en intressant utbildning eller ett jobb. Den började redan när han var 12 år, hemma vid datorn.  

“Jag blev hackad. Men istället för att bli rädd, blev jag nyfiken och undrade hur tog sig den skadliga koden in? Jag började fundera på vad jag hade gjort, vad jag laddat ner, och insåg att det var en viss fil som var boven. Sen började jag läsa på, googla och läsa på forum. Jag ville förstå hur allt fungerade."

När han var 15 år började han programmera hemsidor och det var också då han först blev intresserad av webbapplikationer. Något år senare började han aktivt delta i bug bounty-program där han letade brister i stora organisationer. När han såg Google på listan över företag som hade bug bounty program såg han det som en spännande utmaning och började leta sårbarheter.

“Jag satt länge och letade i Googles applikationer, till slut hittade jag en sårbarhet i en av deras tjänster. Och jag tänkte om Google har brister, så finns det säkert fler organisationer.”

Och då fortsatte han leta genom andra företag, och han deltog även i tävlingar där man letade säkerhetsbrister. Sedan dess har han aldrig slutat att jaga sårbarheter.  

Från nyfikenhet till effekt

Idag är han 29 och det är fortfarande samma nyfikenhet som driver honom, men en lite annan målbild.  

“Nu handlar det om att hjälpa organisationer att bli säkrare på riktigt. Det känns bra att våra kunder kan sova bättre för att vi hittade en kritisk sårbarhet i deras system.”

När Sam gör tester tittar han alltid först på åtkomstkontroller och behörigheter. Han söker efter de komplexa, dolda bristerna, sådana som kräver flera steg för att utnyttjas och som ofta passerar förbi både verktyg och tidigare tester.

“Jag börjar nästan alltid med åtkomstkontroller och behörigheter. Det är där det ofta brister, och där de mest kritiska sårbarheterna gömmer sig. Om en applikation har testats tidigare betyder det inte att den är säker. Många missar de sårbarheter som ligger gömda i specifika funktioner eller flöden.”

Även i större webbapplikationer är brister i behörighet och åtkomst en av de vanligaste sårbarheterna som uppstår i webbapplikationer. Fel i logiken kan göra att en användare får tillgång till andra användares data, eller till och med administratörsrättigheter. I molnmiljöer kan en felkonfiguration leda till en kritisk sårbarhet, och ofta har utvecklare bara följt standardkonfigurationer utan att veta att dessa sårbarheter existerar.

“De här bristerna hittas sällan av automatiserade verktyg. Det kräver manuell analys och att man vet vad man ska titta efter.”

När kvalitet får styra

Sam har sett mycket genom åren. Från otaliga system, till bristfälliga rapporter, tester som inte gått tillräckligt djupt och sårbarheter som borde ha upptäckts men inte gjorde det. Sam, tillsammans med Andreas Gjelset, grundade Cyloq som ett svar på ett branschproblem.

‍

"Vi såg för många tester där rapporterna var otydliga, bristerna inte gick att reproducera, eller där man inte visste om en sårbarhet faktiskt existerade i tjänsten. Vi ville göra det ordentligt. Hos oss samarbetar alla seniora testare under testerna för att hinna hitta så mycket som möjligt under den avsatta tiden. Varje sårbarhet vi rapporterar har en reproducerbar PoC, en konkret riskbedömning och tydliga rekommendationer för åtgärd."

På Cyloq testas varje system med inställningen att aldrig ta något för givet. Att något redan testats säger väldigt lite, för erfarenheten visar att tidigare tester inte alltid fångar allt.

"Vi har gjort tester där vi vet att andra varit inne innan oss. Trots att det inte tillkommit ny funktionalitet har vi hittat allvarliga sårbarheter."

Att leverera på den nivå Cyloq gör kräver mer än bara erfarenhet, det kräver disciplin, nyfikenhet och integriteten att aldrig nöja sig.

"Vi antar att varje system kan innehålla brister, oavsett hur många gånger det har testats innan. Vi kombinerar flera tekniker, delar idéer inom teamet, använder både verktyg och manuell analys. Och vi ifrågasätter alltid våra antaganden. Det är så man utvecklas."