S etickým hackerem Tomášem Zaťkou a IT bezpečnostním manažerem Pavlem Draxlerem jsme si povídali o hackingu, bezpečnosti státu i o dark webu a kryptoměnách.
„Například když se často mluví o tom, jak se kryptoměny používají k nákupu drog, tak zkuste zajít za dealerem a vyzkoušejte si, zda piko snadněji koupíte za eura, nebo bitcoiny. To je dobrý test pro ověření těchto tvrzení,“ konstatuje s úsměvem etický hacker Tomáš Zaťko.
Tomáš Zaťko je šéfem firmy Citadelo zaměřené na etický hacking či penetrační testy a zároveň konzultantem firmy Binary Confidence zaměřené na zajišťování špičkové kybernetické bezpečnosti.
Společně s jejím IT bezpečnostním manažerem Pavlem Draxlerem nám vyprávěl, co mohli hackeři hledat v mailové schránce slovenského ministra obrany Jaroslava Nadě a proč Rusko a Čína s oblibou hacky nabourávají systémy států po celém světě.
V neposlední řadě přišla řeč i na to, zda kryptoměny skutečně usnadnily hacking, jakými způsoby se hackeři umí dostat k obrovským penězům a zda dodnes zůstává dark web místem, kde si můžeš koupit čisté drogy, falešnou identitu nebo rovnou objednat vraždu.
Je dnes práce etického hackera stále běžnější, nebo je na trhu tvrdá konkurence a o každého kvalitního člověka se firmy perou?
Zaťko: Konkurence je tvrdá. Na trhu není mnoho lidí, kteří zvládají takovou práci dělat, ale tak to obvykle bývá v každém vysoce profesionalizovaném odvětví. Kvalitních lidí je málo.
Musí mít člověk specifické charakterové rysy a předpoklady k tomu, aby se mohl stát etickým hackerem?
Zaťko: Musí splňovat specifické charakterové rysy. Pro etického hackera jsou tyto potřebné vlastnosti ještě přísnější než pro neetického hackera. Etický profil hackera jako člověka je velmi důležitý. Musí to být člověk, ve kterého máme důvěru, že nesklouzne na špatnou cestu, protože cílem etického hackingu je útočit s cílem zlepšit bezpečnost.
K provádění útoků etického hackingu musí mít člověk kombinaci technických znalostí a invenčnosti, aby dokázal upravovat svoji taktiku podle konkrétní situace a dokázal si poradit, když protivník na opačné straně svou strategii změní.
Pokud někdo lidem ukradl peníze a teď mi tvrdí, že už je etický, tak si neumím představit, že by získal mou důvěru.
Stává se, že se etickým hackerem stane i člověk, který se v minulosti věnoval ilegální činnosti? Máte takové případy i na Slovensku?
Zaťko: Myslím si, že jsem se setkal s oběma případy. Určitě se stává, že máme co do činění s člověkem, který v minulosti udělal něco špatného, ale vždy jde o míru a kontext. Když mi někdo řekne, že v mládí vyhackoval stránku své střední školy, tak se na něj zřejmě budu dívat jinak než na člověka, který vyhackoval e-shop, ukradl čísla kreditních karet a prodal je na černém trhu.
Neexistuje žádná pevná hranice etičnosti, za kterou člověk nikdy nesmí přejít. Takový černobílý pohled je spíše na škodu a nefunguje.
Můj zažitý přístup vypadá tak, že pokud by se mi člověk přiznal, že v minulosti vyhackoval stránku školy, tak se s ním pobavím o tom, jak tento čin vnímá dnes a proč to udělal. Není to automaticky červená vlajka. Ale pokud někdo lidem ukradl peníze a teď mi tvrdí, že už je etický, tak si neumím představit, že by získal mou důvěru.
Dnes se oba věnujete manažerským činnostem. Láká vás ještě sednout za počítač a zahackovat si?
Zaťko: U mě je toto nutkání velmi silné a často to ve volném čase dělávám.
Draxler: Určitě ano. Když se člověk pustí do manažerské role, tak k tomu vždy jednou za čas přijde. I já si občas rád vezmu na starost projekt, který vidím jako výzvu se zajímavým tématem u klienta. Pokud takový projekt není záležitostí jako ze zažitých vzorů, se kterými pracujeme obvykle, tak rád otestuji své zkušenosti.
V poslední době se roztrhl pytel s útoky na slovenské politiky. Ministru obrany Naďovi se někdo pokusil nabourat do mailové schránky, kde mu přišlo podezřelé PDF s textem v azbuce. Co může cizí stát získat, kdyby se mu do mailu podařilo nabourat?
Co se dozvíš po odemčení?
- Jestli dnes musíš kliknout na podezřelé místo, abys svůj počítač nakazil virem.
- Co by mohli Rusové či Číňané získat, kdyby Naďovi opravdu pronikli do mailu.
- Zda v tuto chvíli může někdo tajně odposlouchávat například premiéra.
- Jak funguje útočný software Pegasus, který nezanechával stopy ani v iPhonech.
- Zda má Slovensko vlastní tým hackerů, kteří útočí na ostatní státy.
- Jestli si dnes na dark webu opravdu můžeš objednat vraždu.
- Zda se hackeři skutečně umí snadno dostat k obrovským penězům.
- Zda opravdu existují tajné komunity hackerů na fórech dark webu.
- Zda kryptoměny usnadnily hackerské útoky a proč se jejich státy bojí.