Jeho firmu si už možno najala aj tvoja banka.
Život si môžeš okoreniť všemožne divokými zamestnaniami, napokon, na výber je toho naozaj mnoho. Od detstva sme chceli byť kozmonautmi, modelkami či tajnými agentmi a práve k tej poslednej pozícii sa priblížil Belgičan Tom Van de Wiele žijúci v Dánsku, ktorého práca je v mnohých sférach dokonca omnoho zaujímavejšia.
Už dlhé roky pracuje pre fínsku firmu F-Secure, kde zastáva jednu z prestížnych pozícií. Spolu s niekoľkými ďalšími pracuje ako etický hacker - predstavuje tak úlohu zlodejov dát, no ešte je za to aj platený, a to samotnými firmami, ktoré si takýmto spôsobom testujú svoje zabezpečenie a zároveň zisťujú, či sú bezpeční pred únikmi a krádežami. F-Secure je dnes v tejto oblasti lídrom a rozrástlo sa do desiatok ďalších krajín, no Tomova práca sa nezmenila.
Čo vlastne robíš a koľko z tvojej práce je hackovanie?
Počítačová práca - prepisovanie, programovanie, získavanie informácií a zahladzovanie stôp zaberie asi tri štvrtiny celkového času. Samotná fuška však zaberá týždne. Spoločnosť si nás najme a my garantujeme, že niekedy zaútočíme, no nevedia kedy a pripravení musia byť v každom okamihu. Rovnako, ako sa musia neustále vedieť brániť reálnym hackerom. Radoví zamestnanci o tom často nevedia a vtedy prichádza na rad svet mimo klávesnice.
Sociálne inžinierstvo, manipulácia ľuďmi alebo príprava na vlámanie sa do budovy niekedy zaberie aj týždne. V iných prípadoch je to jednoduchšie a sieť danej firmy je slabšia a my sa do nej vieme za pomoci zvnútra dostať aj z našich priestorov. Suverénne však najviac času zaberie hľadanie informácie, ktorú potrebujeme. Dát v tak veľkých spoločnostiach je extrémne veľa a nájsť vyhliadnutý kúsok zaberie mimoriadne dlhé množstvo času.
Vieš uviesť nejaké príklady? Čo najšialenejšie ste museli zvládnuť?
Napadá mi mnoho príkladov, tak vyberiem zopár. Šialenosť bola vlámanie sa do bankomatu v strede nákupného centra, pričom okolo stovky ľudí nakupovali. Raz sme hodiny blúdili v chodbách opusteného datacentra po pracovných hodinách a takmer sme sa vymkli, čiže by nás ráno našli.
Ďalší príklad je, keď sme museli na oklamanie skeneru odtlačkov prstov improvizovať, a tak sme vzali už použitý toaletný papier nejakého zamestnanca. Iné prípady však boli jednoduchšie. Raz sme zaklopali na okno kuchyne držiac bedničku a vpustili nás dnu bez rečí.
Trafiť kód s pomocou termokamery nie je vôbec ťažké.
Aké veľké spoločnosti si vás najímajú? Čo gigantické tajné služby? Dostať sa do nich živý snáď ani nie je možné.
Nie všetko môžem prezradiť. Ale sú to riaditeľstvá bánk, finančných inštitúcií, datacentrá, bankomaty, poisťovne, no i prachom zapadnuté kancelárie. Každopádne, pôsobíme v Európe, tajné služby ako CIA, NSA alebo americké ministerstvo obrany s nami nič nemajú. Nie vždy sa však potrebujeme dostať do budovy. Dá sa na to ísť aj rozumne, napríklad na parkovisko pohodíme USB kľúč a nejaký dobromyseľný zamestnanec na bezvýznamnej funkcii ho už do svojho počítača zapojí, aby zistil majiteľa. Ak je napojený na sieť, sme dnu.
Všade sa spomína tvoje pracovné vybavenie. Z čoho pozostáva?
Najmä z plejády všemožných USB káblov a kľúčov. Potom sieťové káble, predlžovačky, miniatúrne počítače, zariadenia na kopírovanie vstupných kariet, prenosný internet, zariadenia na hackovanie Wi-Fi či manipulovanie siete a nechýba ani headset pre komunikovanie s ostatnými, keďže sme zvyčajne rozdelení.
Z bežnejších vecí to sú lepiaca páska, všemožné pakľúče, skrutkovače, kliešte a kľúče, falošné papiere s náhodným obsahom, ak treba, tak náhradné oblečenie, držiaky na odznaky a vždy niečo, čo držíme v ruke, keď sa medzi ostatnými tvárime ako bežní zamestnanci, napríklad banán. Ľudia, ktorí niečo držia v ruke, sú vždy menej nápadní.
A čo legálna stránka veci? Polícii by sa nepáčilo, ak by vedeli, že sa vlámete do cudzej budovy.
Spoločnosti a organizácie sa zvyčajne spoliehajú na svoje vlastné bezpečnostné služby než na políciu a okrem iného testujeme aj to. A pokiaľ sme úspešní, tak sa samozrejme nič nedozvedia. Každopádne, pre istotu mávame vždy v zadnom vrecku list pre políciu, kde je napísané, čo robíme a prečo sme tam, kde by sme nemali byť.
Ako sa človek môže stať takýmto agentom?
Samozrejme, musíš vedieť programovať. Odporúčam Python a PowerShell. Diplom z internetovej bezpečnosti alebo certifikáty z kyberbezpečnosti tiež nie sú na škodu. Predtým, než ťa vpustia na reálnu akciu musíš stráviť mesiace v tréningoch. Na nich treba preukázať skutočné zručnosti a až potom sú vpustení na skutočné misie, kde pracujú pod dohľadom ďalších.
Hacker musí byť pripravený na neočakávané udalosti, napríklad raz sme získavali dáta a v rovnakom okamihu o ne bojovala aj úplne iná skupina. Trvá dlhú dobu, kým sa človek stane natoľko zručným, aby mohol pracovať sám či vo dvojiciach.
Aké chyby v oblasti kyberbezpečnosti robíme my všetci?
Sám som rozbehol kampaň proti tomu, aby ľudia nosili prístupové karty na oblečení. Keď chodia po ulici, všemožne sa hompáľajú a ľuďom ako ja dávajú milióny príležitostí. Mnohí experti na nich majú napísané dokonca aj PIN kódy. Čo sa týka bežnejších vecí, rozhodne každému odporúčam viacfaktorové overovanie pri prihlasovaní sa, no nie pomocou SMS, tie sú tiež ľahkou korisťou. Inak sa o väčšinu tvojich kont starajú firmy, ktoré si svoju bezpečnosť testujú práve najímaním ľudí ako sme my.
Vytasené karty hackerom prácu zjednodušujú.
