Midt i gjengen av dresskledde næringslivsmenn— og kvinner skimtes noen lysegrønne bukser i VilVile-senterets auditorium onsdag formiddag. Det er tiendeklassingen Cim-Arne Stordal fra Sandsli som har fått fri fra skolen for å spre frykt.

— Jeg har ikke snakket foran så mange før, så jeg er litt nervøs, hvisker han før lyset dempes og praten stilner i auditoriet.

Jeg kunne selvfølgelig tjent mye penger på feilene jeg finner, men det er ikke målet mitt

Cim-Arne Stordal

Men det er nok de 114 tilhørerne som har mest grunn til å være nervøse. Femtenåringen, som ikke en gang er ferdig med stemmeskiftet, kan loppe dem for både forretningshemmeligheter og feriebilder på en ettermiddag om han vil. Men det vil han heldigvis ikke.

— Jeg gjør ingen ting ulovlig. De selskapene jeg finner feil hos har en policy hvor de oppfordrer folk til å finne feil og melde fra om dem. Det kan sammenlignes med å gå forbi en åpen dør på gaten og melde fra til huseieren, sier han.

Fikk $500 fra Facebook

Femtenåringen startet med å kode nettsider for ett års tid siden, men fant fort ut at det var mye gøyere å finne feil hos andre.

Han prøvde seg først på sider som hadde få brukere, og bevegde seg oppover. Etter å ha lest bøker om programmering og prøvd seg frem kom turen til opplæringsplattformen It's learning, som Stordal og andre elever i norsk skole blant annet bruker til å levere inn prøver.

— Jeg fant ut at jeg kunne stjele passordet til den som vurderte prøven min, og logge inn som henne. Jeg kunne gitt meg selv en 6-er hvis jeg ville, men jeg tror de ville funnet ut av det rimelig raskt, sier han.

Stordal rapporterte feilen, som ble utbedret. Og sånn fortsatte han. Etter å ha avdekket feil både hos Microsoft og Google, og mottatt takk og anerkjennelse for det, kom turen til Facebook. Paradoksalt nok fant han feilen på en side Facebook har laget for å lære opp brukerne i å programmere.

FISK MELLOM SLAGENE: Når Cim-Arne Stordal ikke er på ungdomsskolen eller leter etter sikkerhetshull på nettet, tilbringer 15-åringen tid i en fiskehandel på Strandkaien. Skolegutten er mest fornøyd med å ha havnet på "Hall of Fame"-listen til Google. - Det er stas, medgir han.
EIRIK BREKKE

— Jeg meldte fra, men de skjønte nok ikke helt hva de skulle fikse, så først gjorde de bare feilen verre, sier Stordal.Til slutt fikk Facebook orden på sakene, og var riktig så takknemlige. Iført T-skjorten han fikk fra dem viser Stordal frem bildet av Visa-kortet med $500 han fikk tilsendt som takk for hjelpen, til applaus fra salen.

Hacker med hvit hatt

Den siste av de fire store, Apple, har fått Stordals oppmerksomhet den siste tiden. Stolt kan han meddele at han er i mål: Safari-nettleseren har fått unngjelde.

— De vet bare ikke om det ennå, ler han.

Og det er ingen grunn til å tro at dette blir de siste feilene han avdekker. Ifølge Christian Nordve i Cisco, en av de tre største leverandørene av IT-sikkerhet, slurver alle når de skriver kode. Han forteller at sikkerhet ikke er det som er fremst i pannen på dem som skal utvikle nye web-løsninger. Det gir åpninger for hackere både med gode og onde hensikter.

Men med en slik metodikk og moral som han viser at han har, kan han nå veldig langt

Christian Nordve i Cisco

Stordal påberoper seg å tilhøre den første kategorien, en såkalt «white hat hacker».

— Jeg kunne selvfølgelig tjent mye penger på feilene jeg finner, men det er ikke målet mitt, sier han.

Ifølge Nordve er det en lønnsom strategi 15-åringen har valgt.

— IT-industrien er større enn narkotika, prostitusjon og ulovlig våpenhandel til sammen, sier han, og legger til at han håper Stordal vil komme til dem når han skal begynne å jobbe.

— Det blir spennende å se hvor han ender opp. Men med en slik metodikk og moral som han viser at han har, kan han nå veldig langt, sier Nordve.

- Finner nesten alltid feil

En annen som spår 15-åringen en lys fremtid, er Jonathan James, IT-sikkerhetsspesialist i Atea Sverige. Han ble kjent i 2000 etter at han hjalp amerikanske FBI med å fakke mannen som sto bak "Love bug"-viruset.

— Jeg har bare hørt om Cim tidligere, så det var kult å treffe ham, sier han før Stordals foredrag.

Det Stordal gjør for moro skyld, har James gjort profesjonelt i tretten år. Han mener det trengs en kombinasjon av systematikk, kreativitet og god moral for å lykkes.

Det spesielle er at de årene jeg har jobbet med dette, har ikke sikkerheten blitt bedre

Jonathan James, IT-sikkerhetsspesialist

— Det har Cim. Med den kompetansen han sitter på allerede, vil han definitivt være veldig attraktiv i jobbmarkedet og kunne tjene gode penger når han blir eldre, sier han.

Hvis Stordal velger denne veien, vil han få nok å gjøre, ifølge James. Selv har han gjennomført cirka 100 såkalte penetrasjonstester hos selskaper i Norden, USA og Storbritannia.

— Av 100 gjennomførte tester finner jeg feil hos 95 av dem. Det spesielle er at de årene jeg har jobbet med dette, har ikke sikkerheten blitt bedre, sier han.

Grunnen er enkel, ifølge James.

— De som utvikler løsningene er ansatt for å løse et problem for oppdragsgiveren. Sikkerheten blir ikke prioritert, sier han.

Tier om sikkerhetsbrudd

Svensken sier man i media får et forvrengt bilde av hvor utbredt IT-relaterte sikkerhetsbrudd egentlig er. Det er flere grunner til at deres kunder ønsker å holde tett når det påvises sikkerhetsbrudd.

— Det er følsomme saker dette, som påvirker tillitten til selskapene, og ofte også bunnlinjen. For noen, for eksempel firma som driver med netthandel, er det kroken på døren hvis det blir kjent at uvedkommende kan få tilgang til informasjonen deres, sier han.

Og det er ikke bare private selskaper som holder tett når feilene blir kjent.

— Også statlige myndigheter er raske med å få på lokket når sikkerhetsbrudd avdekkes, sier han.