S etickým hackerom Tomášom Zaťkom a IT bezpečnostným manažérom Pavlom Draxlerom sme sa rozprávali o hackingu, bezpečnosti štátu aj o dark webe a kryptomenách.
„Napríklad keď sa často hovorí o tom, ako sa kryptomeny používajú na nákup drog, tak skúste zájsť do Dúbravky a vyskúšajte si, či piko ľahšie kúpite za eurá alebo bitcoiny. To je dobrý test na overenie týchto tvrdení,“ konštatuje s úsmevom etický hacker Tomáš Zaťko.
Tomáš Zaťko je šéf firmy Citadelo zameranej na etický hacking či penetračné testy a zároveň konzultant firmy Binary Confidence zameranej na zabezpečovanie špičkovej kybernetickej bezpečnosti.
Spoločne s jej IT bezpečnostným manažérom Pavlom Draxlerom nám porozprával, čo mohli hackeri hľadať v mailovej schránke ministra obrany Jaroslava Naďa a prečo Rusko či Čína s obľubou hackmi nabúravajú systémy štátov po celom svete.
V neposlednom rade prišla reč aj na to, či kryptomeny skutočne uľahčili hacking, akými spôsobmi sa hackeri vedia dostať k obrovským peniazom a či dodnes zostáva dark web miestom, kde si môžeš kúpiť čisté drogy, falošnú identitu alebo rovno objednať vraždu.
Je dnes práca etického hackera čoraz bežnejšia alebo je na trhu tvrdá konkurencia a o každého kvalitného človeka sa firmy bijú?
Zaťko: Konkurencia je tvrdá. Na trhu nie je veľa ľudí, ktorí takúto prácu zvládajú robiť, ale tak to zvyčajne býva v každom vysoko profesionalizovanom odvetví. Kvalitných ľudí je málo.
Musí mať človek špecifické charakterové črty a predpoklady na to, aby sa mohol stať etickým hackerom?
Zaťko: Musí spĺňať špecifické charakterové črty. Pre etického hackera sú tieto potrebné vlastnosti ešte prísnejšie ako pre neetického hackera. Etický profil hackera ako človeka je veľmi dôležitý. Musí to byť človek, v ktorého máme dôveru, že neskĺzne na zlé chodníčky, pretože cieľom etického hackingu je útočiť s cieľom zlepšiť bezpečnosť.
Na vykonávanie útokov etického hackingu musí mať človek kombináciu technických znalostí a invenčnosti, aby dokázal upravovať svoju taktiku podľa konkrétnej situácie a dokázal si poradiť, keď protivník na opačnej strane svoju stratégiu zmení.
Pokiaľ niekto ľuďom ukradol peniaze a teraz mi tvrdí, že už je etický, tak si neviem predstaviť, že by si získal moju dôveru.
Stáva sa, že sa etickým hackerom stane aj človek, ktorý sa v minulosti venoval ilegálnej činnosti? Máme takéto prípady aj na Slovensku?
Zaťko: Myslím si, že som sa stretol s oboma prípadmi. Určite sa stáva, že máme do činenia s človekom, ktorý v minulosti spravil niečo zlé, ale vždy ide o mieru a kontext. Keď mi niekto povie, že v mladosti vyhackoval stránku svojej strednej školy, tak sa naňho zrejme budem pozerať inak ako na človeka, ktorý vyhackoval e-shop, ukradol čísla kreditných kariet a predal ich na čiernom trhu.
Neexistuje žiadna pevná hranica etickosti, za ktorú človek nikdy nesmie prejsť. Takýto čierno-biely pohľad je viac na škodu a nefunguje.
Môj zaužívaný prístup vyzerá tak, že pokiaľ by sa mi človek priznal, že v minulosti vyhackoval stránku školy, tak sa s ním pobavím o tom, ako tento čin vníma dnes a prečo to urobil. Nie je to automaticky červená vlajka. Ale pokiaľ niekto ľuďom ukradol peniaze a teraz mi tvrdí, že už je etický, tak si neviem predstaviť, že by si získal moju dôveru.
Dnes sa obaja venujete manažérskym činnostiam. Láka vás ešte sadnúť si za počítač a zahackovať si?
Zaťko: U mňa je toto nutkanie veľmi silné a často to vo voľnom čase robievam.
Draxler: Určite áno. Keď sa človek pustí do manažérskej roly, tak k tomu vždy raz za čas príde. Aj ja si občas rád vezmem na starosť projekt, ktorý vidím ako výzvu so zaujímavou témou u klienta. Ak takýto projekt nie je záležitosť ako zo zaužívaných vzorov, s ktorými pracujeme zvyčajne, tak rád otestujem svoje skúsenosti.
V poslednom čase sa roztrhlo vrece s útokmi na slovenských politikov. Ministrovi obrany Naďovi sa niekto pokúsil nabúrať do mailovej schránky, kde mu prišlo podozrivé PDF s textom v azbuke. Čo môže cudzí štát získať, ak by sa mu do mailu podarilo nabúrať?
Čo sa dozvieš po odomknutí?
- Či dnes musíš kliknúť na podozrivé miesto, aby si svoj počítač nakazil vírusom.
- Čo by Rusi či Číňania vedeli získať, ak by Naďovi naozaj prenikli do mailu.
- Či v tejto chvíli môže niekto tajne odpočúvať napríklad premiéra Hegera.
- Ako funguje útočný softvér Pegasus, ktorý nezanechával stopy ani v iPhone.
- Či má Slovensko vlastný tím hackerov, ktorí útočia na ostatné štáty.
- Či si dnes na dark webe naozaj môžeš objednať vraždu.
- Či sa hackeri skutočne vedia ľahko dostať k obrovským peniazom.
- Či naozaj existujú tajné komunity hackerov na fórach dark webu.
- Či kryptomeny uľahčili hackerské útoky a prečo sa ich štáty boja.