S etickým hackerem Tomášem Zaťkou a IT bezpečnostním manažerem Pavlem Draxlerem jsme si povídali o hackingu, bezpečnosti státu i o dark webu a kryptoměnách.
„Například když se často mluví o tom, jak se kryptoměny používají k nákupu drog, tak zkuste zajít za dealerem a vyzkoušejte si, zda piko snadněji koupíte za eura, nebo bitcoiny. To je dobrý test pro ověření těchto tvrzení,“ konstatuje s úsměvem etický hacker Tomáš Zaťko.
Tomáš Zaťko je šéfem firmy Citadelo zaměřené na etický hacking či penetrační testy a zároveň konzultantem firmy Binary Confidence zaměřené na zajišťování špičkové kybernetické bezpečnosti.
Společně s jejím IT bezpečnostním manažerem Pavlem Draxlerem nám vyprávěl, co mohli hackeři hledat v mailové schránce slovenského ministra obrany Jaroslava Nadě a proč Rusko a Čína s oblibou hacky nabourávají systémy států po celém světě.
V neposlední řadě přišla řeč i na to, zda kryptoměny skutečně usnadnily hacking, jakými způsoby se hackeři umí dostat k obrovským penězům a zda dodnes zůstává dark web místem, kde si můžeš koupit čisté drogy, falešnou identitu nebo rovnou objednat vraždu.
Je dnes práce etického hackera stále běžnější, nebo je na trhu tvrdá konkurence a o každého kvalitního člověka se firmy perou?
Zaťko: Konkurence je tvrdá. Na trhu není mnoho lidí, kteří zvládají takovou práci dělat, ale tak to obvykle bývá v každém vysoce profesionalizovaném odvětví. Kvalitních lidí je málo.
Musí mít člověk specifické charakterové rysy a předpoklady k tomu, aby se mohl stát etickým hackerem?
Zaťko: Musí splňovat specifické charakterové rysy. Pro etického hackera jsou tyto potřebné vlastnosti ještě přísnější než pro neetického hackera. Etický profil hackera jako člověka je velmi důležitý. Musí to být člověk, ve kterého máme důvěru, že nesklouzne na špatnou cestu, protože cílem etického hackingu je útočit s cílem zlepšit bezpečnost.
K provádění útoků etického hackingu musí mít člověk kombinaci technických znalostí a invenčnosti, aby dokázal upravovat svoji taktiku podle konkrétní situace a dokázal si poradit, když protivník na opačné straně svou strategii změní.
Pokud někdo lidem ukradl peníze a teď mi tvrdí, že už je etický, tak si neumím představit, že by získal mou důvěru.
Stává se, že se etickým hackerem stane i člověk, který se v minulosti věnoval ilegální činnosti? Máte takové případy i na Slovensku?
Zaťko: Myslím si, že jsem se setkal s oběma případy. Určitě se stává, že máme co do činění s člověkem, který v minulosti udělal něco špatného, ale vždy jde o míru a kontext. Když mi někdo řekne, že v mládí vyhackoval stránku své střední školy, tak se na něj zřejmě budu dívat jinak než na člověka, který vyhackoval e-shop, ukradl čísla kreditních karet a prodal je na černém trhu.
Neexistuje žádná pevná hranice etičnosti, za kterou člověk nikdy nesmí přejít. Takový černobílý pohled je spíše na škodu a nefunguje.
Můj zažitý přístup vypadá tak, že pokud by se mi člověk přiznal, že v minulosti vyhackoval stránku školy, tak se s ním pobavím o tom, jak tento čin vnímá dnes a proč to udělal. Není to automaticky červená vlajka. Ale pokud někdo lidem ukradl peníze a teď mi tvrdí, že už je etický, tak si neumím představit, že by získal mou důvěru.
Dnes se oba věnujete manažerským činnostem. Láká vás ještě sednout za počítač a zahackovat si?
Zaťko: U mě je toto nutkání velmi silné a často to ve volném čase dělávám.
Draxler: Určitě ano. Když se člověk pustí do manažerské role, tak k tomu vždy jednou za čas přijde. I já si občas rád vezmu na starost projekt, který vidím jako výzvu se zajímavým tématem u klienta. Pokud takový projekt není záležitostí jako ze zažitých vzorů, se kterými pracujeme obvykle, tak rád otestuji své zkušenosti.
V poslední době se roztrhl pytel s útoky na slovenské politiky. Ministru obrany Naďovi se někdo pokusil nabourat do mailové schránky, kde mu přišlo podezřelé PDF s textem v azbuce. Co může cizí stát získat, kdyby se mu do mailu podařilo nabourat?
Draxler: Slovenští politici vždy jsou i vždy budou zajímavými terči. A nemusí jít vždy o politiku, ale v tomto případě je samozřejmě ministerstvo obrany strategickým cílem. K těmto průnikům na Slovensku občas dochází, vždyť v minulosti postihly i ministerstvo zahraničních věcí, a na nás se, možná před šesti týdny, také obrátila jedna taková instituce s podobným problémem.
Zdá se, že momentálně běží větší útočná kampaň na různé státní složky, ale takové útoky zde byly vždy a kvůli nim fungují tajné služby, jejichž cílem je získávat citlivé informace, aby je pak mohly předat svým příjemcům.
Například často diskutovaný útočný software Pegasus uměl do iPhonu poslat MMS, na kterou jste nemuseli ani kliknout a v zařízení se spustil exploit jen tím, že samotnou zprávu zařízení přijalo.
Samotný Naď ve statusu na Facebooku pozdravoval hackery jako přátele z Ruska, neboť přihlášení do mailu proběhlo z ruské IP adresy. Musí však ruská IP adresa znamenat, že se jedná o akt ruského státu?
Draxler: V první řadě je zvláštní, že mu takový e-mail vůbec přišel. Státní instituce jako ministerstvo obrany by měla mít ochranu, přes kterou by takový podezřelý mail vůbec neměl projít.
I Google má dokonce službu, která umí vyspecifikovat, kdo je aktuálně vysoko postavený cíl, dokáže identifikovat příchozí útok a jen o něm nakonec informovat pomocí upozornění. A pokud to byla oficiální mailová schránka ministerstva obrany, měly by mít takové zabezpečení také.
S maskováním původu útoku je to složitější. Kdybyste takto útočili, co byste udělali jako první, když víte, že to lze takto identifikovat? Kdybyste byli Číňanem, založíte si servery v Rusku, podojíte texty v azbuce a budete se těšit, jak jste to parádně vymysleli.
Běžně se dělá to, že v různých útocích hackeři ukazují na Moskvu. V tom jsou předem antivirové společnosti, které umí při útocích sbírat různé vzorky kódu i odkud částky kódu pocházejí a zda je už někde v minulosti zaznamenaly. Na základě IP adresy se to nedělá.
Aby si to mohl představit běžný člověk – musel ministr Naď podezřelé PDF otevřít, aby si počítač potenciálně infikoval, nebo stačilo, že ten mail vůbec přišel do schránky?
Draxler: Už prvním znakem, jak identifikovat potenciální útok, je uvědomit si, že jste od někoho takovéto PDF očekávali.
Pokud někdo svůj útok propracoval, tak ho může poslat z familiárního zdroje, neboť si předem udělal analýzu toho, čemu se terč věnuje. Pokud identifikuje, z jakých mailů vám chodí zprávy, tak vám umí poslat PDF z blízké emailové adresy a získat si vaši důvěru. Pokud soubor přijde z cizí mailové adresy, tak je jasné, že půjde o podvod.
Hodně záleží na sofistikovanosti útoku. Pokud jde o zero day útok (útok využívající chyby v programu, která ještě není všeobecně známá – pozn. red.), tak se odhaluje těžko. Pokud jde o generický útok, pak existují služby, kam můžete soubor nahrát a on vám řekne, jestli virus obsahuje. Když otevřete soubor obsahující zero day útok, běžný uživatel nepřijde na to, že byl vyhackován.
Zaťko: I to, jestli k nakažení se virem potřebujete soubor rozkliknout nebo otevřít, záleží na technické úrovni útočníka. Například často diskutovaný útočný software Pegasus uměl do iPhonu poslat MMS, na kterou jste nemuseli ani kliknout a v zařízení se spustil exploit jen tím, že samotnou zprávu přijalo. Ten exploit následně zprávu vymazal, takže uživatel ani neměl jak zjistit, že infekce proběhla.
Občas na nic není třeba kliknout, ale někdy na virus musíte kliknout, nechat se nalákat na phishingovou stránku a tam ještě zadat své jméno a heslo. Nelze na to odpovědět úplně obecně.
Pokud by se například Rusku podařilo nabourat do mailové schránky ministra Nadě, co konkrétně by z ní umělo získat a zjistit? Chrání se citlivé informace lépe?
Draxler: Lidé si často myslí, že v takové mailové schránce ministra se nemůže nacházet nic citlivého, ale to nemusí být pravda. Pokud se v ní ani nic s hodnotou nenachází, z mailů umí útočník vyskládat určitý obraz o daném člověku, ať už je to ministr, nebo ne, a zneužít toho k něčemu jinému později.
Vždy je špatné, pokud se někdo nabourá do mailové schránky osoby ve vysoké funkci. I kdyby tam nebyly rovnou plány na vybudování protivzdušné obrany Slovenska, vždy se tam dají najít informace, které někdo umí nějakým způsobem zneužít.
Proti Pegasu se umí bránit jen málokdo, nemá-li speciální režim, pravidelně si vyměňuje telefony. Při generických útocích kapacita na obranu státu existuje.
Když je řeč o Pegasu, jak jsou podle vás proti takovým útokům chráněny slovenské státní instituce? Existuje například v této chvíli šance, že někdo tajně odposlouchává premiéra Hegera?
Zaťko: Taková šance existuje úplně vždy a všude. To neplatí jen pro slovenského premiéra, ale pro kteréhokoli premiéra na celém světě. Takové útoky na vysoce postavené politiky se v minulosti staly v Americe i v Německu. Státem sponzorované hackerské skupiny jsou dnes běžnou součástí rozsáhlých útoků a fungují zejména v zemích, které mají velké rozpočty a geopolitické ambice.
Draxler: Určitě záleží na tom, o jakých útocích se bavíme. Pokud někdo napadne Slovensko Pegasem, stát se zřejmě nebude umět bránit, ale pokud mluvíme o generických útocích na úředníky nebo infrastrukturu, tak zřejmě ano. Proti Pegasu se umí bránit jen málokdo, nemá-li speciální režim, pravidelně si vyměňuje telefony. Při generických útocích kapacita na obranu státu existuje.
Program Pegasus vzbudil v posledních měsících velký rozruch, když se zjistilo, že umí beze stopy napadat i iPhone. Ví se o něm v komunitě hackerů již delší dobu?
Zaťko: Nebylo to překvapení, protože takových nástrojů bylo již v minulosti několik. I dnes jich existuje více než jen Pegasus, protože software pracující na tomto principu je znám minimálně 10 let.
Proč mají Rusko či Čína zájem pronikat do slovenských serverů? Existuje při takových aktivitách i nějaký cíl, nebo jde jen o konstantní pokusy narušovat stabilitu?
Draxler: Existuje několik motivací. Pokud se bavíme o běžných serverech, útoky se vždy dají využít k budoucím útokům. Často se může jednat jen o jeden kousek skládačky. Na Ukrajině napadli hackeři před pár lety elektrárnu, ale nebyl to náhodou vyhackovaný server. Útočníci zjistili, která firma dodává do elektrárny ekonomický software, do kterého dokázali svůj exploit podstrčit.
Pro útočící země má smysl vylepšovat svou artilerii a nástroje pro hackování, které pak umí zneužít v konkrétní čas. Za druhé si trénují své kapacity. A na závěr si nejenže testují své nástroje, ale hlavně odezvu a její průběh ze strany napadeného státu či instituce. Vy nevíte, jak se Slovensko bude bránit proti konkrétnímu útoku, tak si to zkrátka otestujete v praxi.
Zaťko: Hlavní motivací obvykle bývají geopolitické zájmy země. Tak jako se před sto lety těchto cílů dosahovalo politicky a vojensky, nyní se vojenská složka stále více přesouvá do kyberprostoru.
Já jsem v minulosti pracoval na ministerstvu vnitra a staral jsem se o bezpečnost dlouhá léta, ale žádný zahraniční klient si nám zatím nestěžoval, že by ho hackoval slovenský stát.
Má Slovensko vlastní tým hackerů, kteří za stát potají napadají ostatní státy nebo soukromé subjekty?
Zaťko: To nevím. Nemám velký zájem o práci se státem a tak opravdu nevím, jestli takový tým existuje.
Draxler: To opravdu netuším. Já jsem v minulosti pracoval na ministerstvu vnitra a staral jsem se o bezpečnost dlouhá léta, ale žádný zahraniční klient si nám zatím nestěžoval, že by ho hackoval slovenský stát.
Velmi diskutovaným problémem je ransomware, který po napadení serverů zašifruje data a k odšifrování vyžaduje zaplacení výkupného. Existuje v takové situaci i jiná možnost, než útočníkům peníze vyplatit, chce-li subjekt dostat data zpět?
Draxler: Takový ransomware útok se stal už i jedné slovenské nemocnici. My jsme se dosud bavili o různých specifických útocích, ale při ransomware útoku je motivace vyhackovat prakticky kohokoli a získat z toho peníze.
Mám na to přirovnání s krádeží auta: když někdo vykrádá auto a vidí, že je na volantu bezpečnostní zábrana, zatímco na vedlejším autě není, tak si vybere to bez ochrany. Ušetří tak možná 5 minut navíc, než by ji dával pryč.
Ransomware útoky míří na děravé systémy, k nimž se umí snadno dostat a zašifrovat je. Jedinou obranou je vybudovat si komplexní bezpečnost, aby systémy nebyly děravé natolik, že kdokoli přijde, všimne si zranitelnosti a automatickým exploitem zaútočí.
My se možná v 80 procentech času setkáváme právě s ransomware útoky. Už když se někde zapomene na chybu, tak je podstatné mít dostatečně dobré zálohy, které se během útoku nezašifrují.
Zaťko: Důležité je i to, jak se z útoku dokáže systém zotavit. Několikrát jsme se setkali s tím, že nám klient hrdě řekl, že má všechno zálohováno, jenže zálohy byly na síťovém disku, který se zašifroval stejně jako všechno ostatní.
Dnešní ransomware většinou zablokuje soubory, ale jsou už i útoky, které vám údaje ukradnou, zavěsí na internet a žádají, abyste zaplatili, jinak vše zveřejní. Pokud zaplatíte, všechno smažou a veřejnost nic neuvidí. Jenže v tu chvíli jsou už data venku, a tak je předtím třeba myslet na prevenci a bezpečnostní monitoring.
Napadají dnes ransomware útoky nemocnice a firmy i jednotlivci, kteří chtějí jen vydělat, nebo se jedná spíše o organizované skupiny?
Draxler: Dnes je tento segment výrazně industrializovaný. Někdo vyrábí kódy a exploity, někdo prodává citlivosti, někdo dělá support. Určitě existují i jednotlivci, kteří ransomwarem útočí, ale většinou se jedná o skupinu, kde se můžeme bavit o organizační struktuře.
Zaťko: V Americe nyní zaznamenali zajímavý případ, kdy IT pracovník ve velké společnosti nafingoval ransomware útok, vytáhl ven údaje, zavěsil je na internet a od firmy vyžadoval obrovské výkupné. Nakonec ho vypátrali, útok mu dokázali a vypadá to, že půjde do vězení.
Běžný člověk má možná mylnou představu, že se hackeři mohou díky svým dovednostem dostat k obrovským penězům, pokud by opravdu chtěli. Je to jen mýtus, nebo dobrý hacker opravdu dokáže ukrást hromadu peněz?
Zaťko: Není to tak triviální, ale když se lidé s takovými sklony rozhodnou vydat na cestu hackingu, tak pravděpodobně umí vydělávat mnohem víc. Ale roli hraje poměr rizika a odměny, protože riziko bývá obrovské. Každá aktivita zanechává stopy, takže dnes lze vystopovat cokoli a útočníka i skutečně odhalit.
Na druhé straně si musí takový člověk uvědomit, jestli umí žít s tím, co dělá, a podívat se na sebe do zrcadla. To je stejné, jako kdyby policista po večerech přepadával lidi odcházející od bankomatů, neboť si tak může vydělat víc. Některý se tak možná rozhodne, ale záleží na tom, jestli chce tak moc riskovat.
To už je profesionální svinstvo. Nechápal jsem, když jsem tyto nabídky viděl.
Stalo se i ve vaší kariéře, že jste natrefili na někoho ve vlastním týmu, kdo by akci sabotoval zevnitř?
Draxler: Ne, nestalo, ale zažili jsme minimálně dva případy zásahů, kdy vyšetřování nakonec vedlo k uraženému zaměstnanci, který byl propuštěn. Momentálně si spíše všímáme nového trendu, kdy útočníci kontaktují administrátory sítí v různých společnostech a nabízejí jim peníze za to, že jim dovnitř systému pomohou dostat potřebný ransomware.
Zaťko: To už je profesionální svinstvo. Nechápal jsem, když jsem tyto nabídky viděl.
Lidé si stále myslí, že existují tajné komunity hackerů na dark webu, kde se točí miliony na černém trhu. Jak je to ve skutečnosti? Opravdu se hackeři tajně sdružují v takových skupinách?
Zaťko: Tyto komunity existují, černý trh funguje neustále, stejně jako specializovaná fóra pro koordinaci útoků. V hackingu se vybudovaly celé industrializované skupiny, kde jeden vyrábí exploity, druhý ransomware, třetí útoky dostává přímo do firem a čtvrtý zajišťuje support. Jedná se jakoby o normální firmy s tím rozdílem, že fungují na černém trhu jako entity.
Draxler: Myslím si, že před 20 lety byly hackerské komunity lokálnější a více se znaly, ale s příchodem dark webu jde zejména o jednotlivce spojující se mezinárodně.
O dark webu se popsalo, že si tam člověk může koupit drogy, falešnou identitu i objednat vraždu. Je dodnes v podsvětí takovým „prominentním“ místem?
Zaťko: Určitě je dodnes prominentním místem. Drogy jsou na dark webu běžná věc, dokonce i padělky dokumentů, ale objednávání vražd podle mě nefunguje. Takový člověk nabízející vraždy si rád vezme peníze od kohokoli, kdo si chce objednat vraždu, ale odejde bez jakéhokoli rizika.
Draxler: Nemáte se moc na koho obrátit. Nemůžete jít na policii s tím, že jste si objednali vraždu a někdo ji neprovedl.
Usnadnily, ale například když se často mluví o tom, jak se kryptoměny používají k nákupu drog, tak zkuste zajít za dealerem a vyzkoušejte si, zda piko snáze koupíte za eura, nebo bitcoiny.
Provádějí etičtí hackeři i proaktivní kroky, aby dark web monitorovali?
Draxler: Monitorování dark webu je dost komplikované. V minulosti byly snahy dělat to, ale nefunguje to tam tak, že se přihlásíte, vyhrabete potřebné fórum a hned si koupíte potřebný hack. Musíte mít reputaci, dostat se do správných fór a teprve poté získáváte cenné informace.
Nemá velký smysl na dark webu hledat informace o konkrétním klientovi, jestli mu nehrozí riziko, protože tam nikdo na fórech předem nemluví o tom, na koho se chystá zaútočit. Podařilo se nám to jen jednou, když jsme informaci o chystaném útoku posouvali na státní orgány. Monitoring dark webu je příliš nákladný na to, jakou hodnotu z něj obdržíte.
Zaťko: Monitoring dává smysl například v tom, že se shromažďují všechna uniklá jména a hesla uživatelů z celého světa. Můžete si to prohlédnout na stránce Have I Been Pwned, kde se umíte registrovat a zjistit, jestli váš mail nebo heslo někdo neukradl a neuniklo na internet. Není to však centralizovaná aktivita, ale tyto údaje shromažďují dobrovolníci, kteří, když najdou únik dat, ho pošlou člověku, který stránku provozuje.
Na dark webu se prý dnes dá ukrást identita, kterou pak hacker klidně dokáže zneužít k registraci na burze s kryptoměnami a vytahuje vydělané peníze na cizí jméno. Je to pravda?
Zaťko: Prodávají se tam i identity, je to pravda.
Draxler: Tyto stránky a aplikace se ale ukradeným identitám snaží všemožně bránit, často chtějí vidět přímo video, na kterém dokumenty ukazujete.
Zaťko: Nebo musíte na papír napsat, pro kterou burzu je fotka určena, i s aktuálním datem. Existují také automatizované analýzy, které umí zjistit, zda fotka nebyla upravena, jinak vás vyzvou, abyste fotku poslali znovu a v jiné poloze.
Jak vlastně vnímáte kryptoměny? Usnadnily hacking?
Draxler: Usnadnilo to hacking, ale podle mě to nemělo zásadní vliv. Kdyby neexistovaly, našly by se jiné cestičky, protože zde byly i předtím. Peníze by se vyplácely na ukradené Paypal účty.
Zaťko: Usnadnily hacking, ale například když se často mluví o tom, jak se kryptoměny používají k nákupu drog, tak zkuste zajít za dealerem a vyzkoušejte si, zda piko snáze koupíte za eura, nebo bitcoiny. To je dobrý test k ověření těchto tvrzení.
Světový boj proti drogám se na odborné úrovni pomalu přehodnocuje, i když na té politické zaostává. Tento boj často přináší spoustu zločinu navíc či řezané drogy na ulici, které lidi více ničí. Paradoxně si člověk dokáže na dark webu nakoupit čisté drogy, které je ničí méně než ty z ulice.
Kryptoměny berou státům monopol na peníze, protože ty se financují pomocí daní a tisknutí nových bankovek. Pokud jim lidé odcházejí od eur nebo dolarů ke kryptoměnám, nezamlouvá se jim to.
Zamlouvá se vám, že Salvador přijal bitcoin jako oficiální měnu?
Draxler: Používat bitcoin jako oficiální měnu zřejmě není správné, protože to má svá rizika. Kryptoměny nejsou ideální jako oficiální měna, neboť takto obchodníky stát nutí, aby volatilitu a výkyvy jejich hodnot vzali na své triko.
Zaťko: Kdyby řekli, že bitcoin kdokoli používat může, mohl to být dobrý nápad. Oni ale řekli, že bitcoin všichni používat musí. Většinou bývá problémem to, jak kryptoměny legislativně podchytit a jaké má obchodování s nimi daňové implikace. Na Slovensku to vyjasněné je, ale současný stav je katastrofální a nastavený neférově.
