Daniel Christensen har bestilt pizza fra Dominos til fem kroner. Han har fått en milliard kroner i skattefradrag hos Skatteetaten. Han har avslørt juks med konkurranser hos Stayclassy.
Han har kortere fortalt funnet og avslørt en rekke feil og mangler hos en rekke norske aktører de siste årene. Og det siste året lagt ut mye av det på sin TikTok, under navnet BobTheShoplifter.
- Jeg starta med TikTok for åtte-ni måneder siden som tull, men så ble det veldig fort seriøst da jeg mekka en video om et sikkerhetshull som gjorde at vi kom på forsida av lokalavisa, forteller Christensen til kode24.
@bobtheshoplifter Den påventede videoen!😳 #fyp #norge ♬ original sound - Daniel
Nå har han samla nesten 147.000 følgere på videoplattformen, som får servert det som i bunn og grunn handler om én ting: Programmering.
Og samtidig som 20-åringen nå har fått seg sin første faste jobb, bidrar han trolig til at flere på hans alder får lyst til å ta samme retning.
Selvlært utvikler
Christensen anslår at datainteressen for alvor starta i 2012, da han kjøpte sin første datamaskin som 10-åring. Først gikk det mest i Minecraft og The Sims, mens han et par år etterpå begynte å prøve seg på programmering.
- Jeg ville prøve meg som spillutvikler, som ble ekstremt fail, humrer han.
Da han senere skulle begynne på videregående, var det eneste relevante han fant i Trondheims-distriktet IKT-driftsfag.
- Men det var mye mer fokusert mot drift, så jeg har lært alt innenfor progging og hacking via ressurser på nett, forteller han.
- Hva er det som har fått deg interessert i akkurat hacking og sikkerhet, da?
- Egentlig faktumet at jeg fant mange mangler, da jeg først starta å teste ting i Norge. For eksempel hos Dominos Pizza og busstjenesten her i Trondheim; de hadde alle veldig simple sikkerhetshull.
Utvikleren Magnus redda Amedia etter hackingen
85.000 på printer-API
Mye har altså blitt delt på TikTok den siste tida. Men det er ikke bare hacking Christensen driver med der.
Hans siste stunt var å la følgerne styre to printere gjennom flere direktesendinger: Han printa navnene til følgerne sine på én printer, og navnene til de som donerte han penger på en annen.
@bobtheshoplifter Dette blir morro #fyp #norge ♬ original sound - Daniel
- Jeg programmerte et API som snakket med TikTok, som snakket videre med printeren min og etter hvert en liten frontend jeg mekka for det. Var sikkert 2.000-isj linjer med kode, men måtte også reversere en del ting, da TikTok ikke har noen gode API-er, forteller Christensen til kode24.
Han anslår at det tok rundt 30 timer med programmering, og at han sitter igjen med rundt 85.000 kroner.
- Så jeg tjente en ganske grei timeslønn på det, vil jeg påstå.
«Så jeg tjente en ganske grei timeslønn på det, vil jeg påstå.»
Hacker-jobb hos Telenor
Nå har han uansett en mer stabil inntekt, som hacker med hvit hatt hos Telenor.
Teknisk sett er han fortsatt lærling i IKT-driftsfag, men straks læretida er ferdig er han fast ansatt penetrasjonstester hos den norske telegiganten på Fornebu utenfor Oslo - foreløpig fra hjemmekontor i Trondheim.
Altså i en alder av 20 år, helt uten formell utdannelse utover videregående.
@bobtheshoplifter Jeg har ikke postet på en stund å her er grunnen😳 #fyp #bobsjekker #telenor ♬ original sound - Daniel
- Grunnen til at Telenor la merke til meg, var fordi jeg rapporterte inn en feil til TSOC, som er de som håndterer sikkerhetshenvendelser hos Telenor. Jeg fikk i svar at de anbefalte meg å søke på en stilling de hadde, og en uke senere ble jeg kalt inn på intervju, forteller han fornøyd.
- Det man gjør som pentester er egentlig det samme jeg før gjorde på fritida: Prøve å finne feil, så man kan styrke sikkerheten.
Postman og Kali Linux
Det sitter kanskje dypt inne for mange utviklere å få råd av en 20-åring, men faktum er at Christensen har fått sine små og store utnyttelser anerkjent av en lang rekke store virksomheter.
- Så hva er du du ser går igjen av feil og mangler?
- Det er som oftest ting man bare glemmer. Det er ikke ofte jeg finner servere som står helt åpne, for eksempel. Det er mye mer programmeringsfeil, som dårlig validering. Nettbutikker liker ikke når jeg sender -1 av et produkt i handlekurven, for eksempel, forteller "BobTheShoplifter".
Mener studenter lærer for lite om sikkerhet - UiS og NTNU slår tilbake
- Og hva slags verktøy og metoder liker du å bruke for å finne disse feilene?
- De viktigste verktøyene jeg bruker er ting som Burp, Postman og Chrome DevTools for å se på nettrafikken, og mange verktøy som er i Kali Linux for å scanne dypere etter feil. Også er det en del selvskrevne verktøy jeg bruker. Blant annet for Log4j, skrev jeg et kjapt verktøy for å prøve å finne feil via DNS.
«Det å få progging gøy, handler mye om å fortelle folk alle mulighetene som finnes med progging, for eksempel disse printerne.»
Ingen utdanning-fan
For Christensens del blir det neppe noe mer formell utdannelse. Han har mer tro på sertifiseringer i årene framover.
Men gjennom de 167.000 TikTok-følgerne, og en egen Discord-server kalt Bob City med snart 700 medlemmer, kan han inspirere mange jevnaldrende til å gå utviklerveien - med eller uten utdanning.
- Det å få progging gøy, handler mye om å fortelle folk alle mulighetene som finnes med progging, for eksempel disse printerne, sier han.
Stortinget trenger flere sikkerhetsfolk: - Men kompetansen mangler
- Masse folk som vil bli utviklere tar kontakt med meg. Det er vanskelig å hjelpe alle, dessverre, så jeg vurderer å lage en norsktalende Youtube-kanal som lager videoer om progging og sikkerhet, fortsetter Christensen, som liker å anbefale OWASP Juice Shop til de som spør om konkrete ressurser.
- Det er nok av folk som prøver å nå unge nordmenn med budskapet om at de bør bli utviklere. Hva tror du bransjen kan lære av deg og din historie?
- Jeg tror bransjen må prøve å se litt mer bort i fra bachelor-krav, og heller lene seg mer mot gode tekniske intervjuer som lettere faktisk viser hva en person får til! svarer den unge hackeren.
- Jeg syntes det var veldig vanskelig å finne ut hva jeg skulle gå på videregående. Det var liksom ikke så mye informasjon til oss som ville jobbe med progging og hacking. Vi fikk presentert IKT-servicefag, og det var det eneste som fanget blikket mitt.