Boli ste už hacknutí? Viete, čo znamená hacking a čo potrebuje hacker na svoju každodennú prácu? Aké typy útokov najčastejšie ohrozujú slovenské a české spoločnosti? Odpovede na tieto otázky nájdete v našom rozhovore s Tomášom, etickým hackerom, ktorý pracuje pre spoločnosť Citadelo.
Tomáš pracuje ako etický hacker pre spoločnosť Citadelo. Je absolventom Slovenskej Technickej Univerzity so špecializáciou na informačné technológie. Pracoval ako web developer na veľkých projektoch pre verejnú správu a finančný sektor. Popri vývoji webových aplikácií skúmal aj ich bezpečnosť a získané poznatky si neskôr potvrdil OSCP certifikátom. Vo voľnom čase sa venuje športu, rád si s vami zahrá ping pong alebo volejbal a v lete ho môžete nájsť pri vode alebo cvičiť na nejakej preliezke.
● Ahoj Tomáš. Prezraď nám, ako si sa dostal k hackovaniu a ako dlho sa mu venuješ.
Ahoj. K hackovaniu som sa dostal v podstate náhodou. Vždy ma toto povolanie fascinovalo, avšak myslel som si, že na to nemám. Pár rokov som pracoval ako web developer a zrazu sa mi podarilo hacknúť prvú webovú aplikáciu, na ktorej som spolupracoval. Mal som to ľahké, keďže som videl jej zdrojové kódy. Uvedomil som si, že niečo hacknúť pre mňa nebolo až tak náročné, ako som si kedysi myslel a začal som sa tomu venovať naplno.
● Vieš nám v krátkosti vysvetliť, čo je hacking a kto je hacker?
Hacker je borec v jednej alebo viacerých oblastiach IT. Môžu to byť napríklad webové technológie, kryptografia, skriptovacie jazyky alebo operačné systémy. Proces jeho riešenia náročného problému sa nazýva hacking.
● Existuje viac druhov hackovania. Vieš nám vysvetliť, čo je ethical hacking?
Je to hacking, ktorý sa riadi istou etiketou. Etickí hackeri nájdené zraniteľnosti nahlásia prevádzkovateľovi. Neetickí hackeri sa pokúšajú z nájdených zraniteľnosti vyťažiť čo najviac.
● Existujú dobrí a zlí hackeri. Vysvetlíš nám rozdiel medzi týmito dvomi skupinami?
Tých „zlých“ azda netreba predstavovať, často sa o nich píše, veľa z nich sa aj „preslávilo“ hacknutím nejakej banky, prípadne vládnych inštitúcií. Pri pojme hacker si väčšina ľudí predstaví práve tých zlých. Tí „dobrí“ sú tu práve preto, aby im v tom zabránili. Taktiež dokážu to, čo oni, avšak rozhodli sa ísť inou cestou. Chcú pomáhať firmám a chrániť ich bezpečnosť.
● Akú najväčšiu motiváciu majú podľa teba zlí hackeri?
Lákadlom pre nich sú peniaze. Takýmto spôsobom k ním dokážu prísť celkom rýchlo. Ukradnuté heslá, čísla kreditných kariet a iné citlivé informácie vedia niekedy výhodne predať. Mňa to nikdy nelákalo, nestojí to za to.
● Aká je motivácia pre hackera, aby bol etickým hackerom?
Myslím, že rovnaká, aká je pre čestného človeka nestať sa zlodejom.
● Stretávaš sa pri svojej práci aj s dark webom? Hľadáš na ňom prípadne informácie o tom, na čo by si si pri testovaní systémov mal dávať pozor?
Nie. V práci nechodievame na dark web. Až na drogy tam nie je pre nás nič zaujímavé. (Vtipkujem.)
● Aký je rozdiel medzi bezpečnostným auditom a bug bounty programom? Vieš nám vysvetliť tieto pojmy?
Pri bezpečnostnom audite etickí hackeri skúmajú bezpečnosť aplikácie v konkrétnom čase. Ak sa potom v aplikácii nejaká funkcionalita pozmení, prípadne pribudne nová, môžu v aplikácii vzniknúť nové zraniteľnosti. Keďže bug bounty program prebieha kontinuálne, rieši tento problém. Etickí hackeri z celého sveta sa tešia každej novej funkcionalite, predstavuje to pre nich zdroj nových zraniteľností. Toto je v podstate ďalšou výhodou, keďže bezpečnostný audit vykonáva len zopár hackerov.
● Čo z toho by si odporučil firme pri zabezpečovaní svojho systému a pri udržiavaní bezpečnosti?
Azda ideálnym riešením je komplexný bezpečnostný audit krátko pred publikovaním aplikácie a následne zapojenie sa do bug bounty programu, ktoré zabezpečí udržanie bezpečnosti.
● Existuje nejaké odporúčanie, koľko peňazí by mala firma vyhradiť na zabezpečenie svojho systému?
Na to je náročné odpovedať. Záleží na tom, ako veľmi si firma cení dáta svojich klientov alebo zamestnancov, s akými dátami narába a aký je jej obrat.
● Ako hacker dokáže odhaliť nejaké nedostatky webu alebo nejakého systému? Vieš nám popísať základné typy útokov?
Etický hacker odhalí zraniteľnosti danej aplikácie tak, že bude simulovať útoky, ktoré by skúšal reálny útočník. Ak sa mu to podarí, nájdenú zraniteľnosť nahlási. Základné typy útokov sú tie, ktoré možno nájsť napríklad v metodike OWASP Top 10. Táto metodika popisuje 10 najčastejšie sa vyskytujúcich zraniteľností vo webových aplikáciách. Patrí tu napríklad injektáž škodlivej sekvencie znakov, XSS, CSRF alebo chybne implementovaná autentifikácia.
● S akým typom útoku sa vo svojej práci stretávaš najčastejšie ty? Existujú nejaké typy “lokálnych” útokov, ktoré sa objavili len na Slovensku alebo v Českej republike?
Najčastejšie sa stretávame so zraniteľnosťou typu XSS, ktorá spočíva v injektáži škodlivého JavaScriptového kódu. Veľmi obľúbenou a relatívne úspešnou praktikou hackerov je aj „phishing“. Určite aj vám už prišiel mail, v ktorom vás „administrátor“ nejakého webu žiadal o opätovné zaslanie prihlasovacích údajov z dôvodu výpadku systému.
Na sociálnych sieťach možno napríklad vidieť formu ClickJackingu, keď kliknutie na tlačidlo „play video“ vôbec neznamená spustenie videa. Vaším kliknutím ste možno zmenili heslo vášho routra alebo v lepšom prípade ste iba dali like na nejakú porno stránku. Čo sa týka útokov, ktoré by sa objavil iba na Slovensku alebo v Českej republike, neviem o takých.
Slovensko a Česká republika sa pre hackerov nelíšia od zahraničných krajín, ich citlivé dáta majú porovnateľnú hodnotu pre lokálnych aj zahraničných hackerov.
● Aké základné nástroje potrebuje hacker na svoju prácu?
Každý hacker potrebuje nejaký nástroj, ktorý umožňuje vytvorenie lokálneho proxy servera na odchytenie a modifikáciu toku dát medzi hackerom a cieľovou aplikáciou. Taktiež sú potrebné aj rôzne nástroje umožňujúce vyprofilovanie cieľového systému, prípadne nástroje pre automatizované hľadanie zraniteľností. Blackhat hackeri (tí neetickí) používajú aj rôzne anonymizačné nástroje.
● Takže hackeri na svoju prácu potrebujú viacero výkonných počítačov. Alebo dokážu pracovať len na jednom počítači a všetky tieto úkony virtualizujú?
Samozrejme, že sa zíde aj nejaká výpočtová sila navyše, ale vystačíme si aj s jediným počítačom. V prípade potreby jednotlivé programy a služby spúšťame vo virtualizovanom prostredí.
● Pôsobia hackeri aj na Slovensku? Vieš odhadnúť ich približný počet?
Samozrejme, niekoľko ich je možné nájsť aj u nás v práci. Ich celkový počet je ťažko odhadnúť, obzvlášť tých zlých. Tých dobrých je len niekoľko desiatok až stoviek, avšak tých zlých môže byť aj niekoľko tisíc.
● Existujú nejaké komunity hackerov, ktoré si medzi sebou zdieľajú svoje know-how? Ak áno, sú pre teba inšpiráciou alebo zdrojom nových vedomostí?
Na internete možno nájsť plno fór k tejto problematike, veľa hackerov si spisuje aj vlastné blogy, avšak najlepším zdrojom informácií z tejto oblasti je zrejme Twitter. Rôzni hackeri tam v krátkych správach pridávajú nové poznatky.
● Sú pre hackerov zaujímavé aj slovenské a české firmy?
Žiaľ áno. Svedčia o tom nielen medializované prípady únikov citlivých dát z rôznych lokálnych e-shopov, poisťovní alebo webov vládnych inštitúcií, ale aj množstvo nezverejnených únikov, o ktorých sa možno dočítať na rôznych špecializovaných weboch.
● Myslíš si, že zabezpečenie slovenských a českých firiem voči hackerom je dostatočné?
Našťastie nie. Inak by som bol bez práce.
● Čo je podľa teba potrebné urobiť, aby sa povedomie o možnosti útoku a o hackeroch ako takých na Slovensku a v Českej republike zlepšilo?
Myslím, že hlavným problémom je to, že firmy si reálnu hrozbu neuvedomujú. Len veľmi malé percento hackerských útokov je aj publikovaných. Firmy si totiž nechcú priznať, že sa stali obeťou hackerov, pretože tým by mohli stratiť dobré meno na trhu. Zlepšeniu povedomia o možnosti byť napadnutí hackerom by mohli pomôcť napríklad bezpečnostné školenia.
● Ako by sa mala firma brániť voči napadnutiu hackerom?
V prvom rade je potrebné udržiavať softvér aktuálny. Taktiež si treba nechať overiť vlastnú implementáciu softvéru penetračným testom, prípadne zapojením sa do bug bounty programu.
● Existuje nejaká hranica alebo objem dát, odkedy je pre firmu vhodné vytvoriť si vlastný bug bounty projekt? Alebo to má zmysel, aj keď ide o malú spoločnosť s niekoľkými zamestnancami?
Myslím si, že kľúčový nie je ani objem dát, ale citlivosť týchto dát. Ak firma manipuluje so zdravotnými záznamami, je pre ňu určite dôležitejšie zaujímať sa o bezpečnosť, ako keď ide o firmu predávajúcu ponožky.
● Sú hackeri nebezpeční aj pre bežných občanov? O aké typy ukradnutých dát je na trhu najväčší záujem?
Počul som už o niekoľkých prípadoch, keď obeť prišla o e-mailový alebo bankový účet. V rôznych “e-shopoch” s nelegálnym tovarom je potom možné nájsť tieto ukradnuté účty, ale aj rôzne databázy uniknutých hesiel. Neviem ale posúdiť, o ktoré typy dát je najväčší záujem.
● Existuje nejaký nástroj alebo webstránka, cez ktorú si vie človek overiť, či sa jeho citlivé údaje nenachádzajú na predaj na internete? Alebo sú takéto webstránky len ďalším podrazom a slúžia na zber ďalších dát o používateľoch?
Viem o stránke, ktorá vám prezradí, či vaše heslo bolo ukradnuté z nejakého portálu, na ktorom ste niekedy boli registrovaní. Ide o stránku www.haveibeenpwned.com, ktorá obsahuje uniknuté dáta z takmer 200 stránok. Dáta na tomto webe nie sú falošné, dá sa k nim reálne dopracovať. Uniknuté heslá sú často šifrované, ale ani to nemusí byť problém pre odhodlaného hackera.
● Vieš povedať aspoň niekoľko základných krokov, ktoré by mal pre svoju bezpečnosť urobiť každý občan alebo firma?
Základom je používať dostatočne zložité heslá, pričom sa treba vyhnúť použitiu rovnakého hesla vo viacerých účtoch a na rôznych webstránkach. Rozhodne neodporúčam klikať na reklamy, skrátené linky alebo odkazy v spamových e-mailoch. Používatelia by si mali dávať pozor aj na to, aký softvér si inštalujú do svojho počítača alebo smartfónu, prípadne aké rozšírenia inštalujú do svojich internetových prehliadačov.
● Je podľa teba bezpečné používanie služieb pre ukladanie hesiel od rôznych účtov?
Ak myslíte ukladanie hesiel priamo do webového prehliadača, to určite bezpečné nie je. Jediným kliknutím na nebezpečný odkaz môžete prísť o uložené heslo na nejakej stránke. Ak myslíte ukladanie hesiel do nejakého programu na správu hesiel (napr. KeePassX), tak to vrelo odporúčam.
● Mali by sa používatelia zameriavať na bezpečnosť svojich smartfónov rovnako ako na bezpečnosť svojich počítačov?
Je potrebné si uvedomiť, že dnešné smartfóny dokážu takmer všetko, čo počítače. Je možné do nich inštalovať softvér tretích strán, takže tiež môžu byť infikované nejakým malvérom, rovnako ako počítače. Moderné smartfóny umožňujú ukladanie hesiel prostredníctvom webového prehliadača, majú prístup k vášmu mailovému účtu, často aj k vášmu bankovému účtu, netreba teda podceňovať ani bezpečnosť týchto zariadení.
● Majú v otázke ochrany ešte stále zmysel aj antivírusové aplikácie pre počítače a smartfóny?
Názory na používanie antivírusových programov sú rôzne. Istá skupina ľudí ich stále presadzuje, iná skupina tvrdí, že sú len ďalšou bránou do systému. Neraz sa objavila nejaká zraniteľnosť samotného antivírusového programu.
● Na čo by si mali firmy a samotní používatelia dávať najviac pozor v roku 2017?
Na sociálnych sieťach trávime čoraz viac času, pre hackera je teda zaujímavé distribuovať vírus práve tam. Treba si všímať podozrivé príspevky, neklikať na každý odkaz, ktorý tam nájdete. Taktiež je vhodné si uvedomiť, že dnes je možné pripojiť k internetu aj vaše auto, televíziu, tlačiareň alebo chladničku. Hacknutie týchto zariadení môže taktiež predstavovať potenciálnu hrozbu.