Jeho firmu si už možná najala i tvá banka.
Život si můžeš okořenit všemi možnými divokými zaměstnáními, nakonec, na výběr je toho opravdu mnoho. Od dětství jsme chtěli být kosmonauty, modelkami či tajnými agenty a právě k té poslední pozici se přiblížil Belgičan Tom Van de Wiele žijící v Dánsku, jehož práce je v mnoha sférách dokonce mnohem zajímavější.
Už dlouhá léta pracuje pro finskou firmu F-Secure, kde zastává jednu z prestižních pozic. Spolu s několika dalšími pracuje jako etický hacker – představuje tak roli zlodějů dat, ale ještě je za to placený, a to samotnými firmami, které si tímto způsobem testují své zabezpečení a zároveň zjišťují, zda jsou zabezpečené před úniky a krádežemi. F-Secure je dnes v této oblasti lídrem a rozrostlo se do desítek dalších zemí, ale Tomova práce se nezměnila.
Co vlastně děláš a kolik z tvé práce je hackování?
Počítačová práce – přepisování, programování, získávání informací a zahlazování stop zabere asi tři čtvrtiny celkového času. Samotná fuška však zabírá týdny. Společnost si nás najme a my garantujeme, že někdy zaútočíme, ale nevědí kdy a připraveni musí být v každém okamžiku. Stejně tak, jako se musí neustále umět bránit reálným hackerům. Řadoví zaměstnanci o tom často nevědí a tehdy přichází na řadu svět mimo klávesnice.
Sociální inženýrství, manipulace lidmi nebo příprava na vloupání se do budovy někdy zabere i týdny. V jiných případech je to jednodušší a síť dané firmy je slabší a my se do ní dokážeme za pomoci zevnitř dostat i z našich prostor. Suverénně však nejvíce času zabere hledání informace, kterou potřebujeme. Dat v tak velkých společnostech je extrémně mnoho a najít vybraný kousek zabere mimořádné množství času.
Můžeš uvést nějaké příklady? Co nejšílenějšího jste museli zvládnout?
Napadá mě mnoho příkladů, tak jich vyberu pár. Šílenost byla vloupání do bankomatu uprostřed nákupního centra, přičemž kolem stovky lidí nakupovaly. Jednou jsme hodiny bloudili v chodbách opuštěného datacentra po pracovních hodinách a téměř jsme se zamkli, čili by nás ráno našli.
Další příklad je, když jsme museli na oklamání skeneru otisků prstů improvizovat, a tak jsme vzali již použitý toaletní papír nějakého zaměstnance. Jiné případy však byly jednodušší. Jednou jsme zaklepali na okno kuchyně držíc bedničku a vpustili nás dovnitř bez řečí.
Trefit kód s pomocí termokamery není vůbec těžké.
Jak velké společnosti si vás najímají? Co gigantické tajné služby? Dostat se do nich živý snad ani není možné.
Ne všechno mohu prozradit. Ale jsou to ředitelství bank, finančních institucí, datacentra, bankomaty, pojišťovny, ale i prachem zapadlé kanceláře. Každopádně, působíme v Evropě, tajné služby jako CIA, NSA nebo americké ministerstvo obrany s námi nic nemají. Ne vždy se však potřebujeme dostat do budovy. Dá se na to jít i rozumně, například na parkoviště pohodíme USB klíč a nějaký dobromyslný zaměstnanec na bezvýznamné funkci ho už do svého počítače zapojí, aby zjistil majitele. Pokud je napojen na síť, jsme uvnitř.
Všude se zmiňuje tvé pracovní vybavení. Z čeho sestává?
Zejména z plejády všemožných USB kabelů a klíčů. Potom síťové kabely, prodlužovačky, miniaturní počítače, zařízení na kopírování vstupních karet, přenosný internet, zařízení na hackování Wi-Fi či manipulování sítě a nechybí ani headset pro komunikaci s ostatními, protože jsme obvykle rozděleni.
Z běžnějších věcí to jsou lepicí páska, všemožné paklíče, šroubováky, kleště a klíče, falešné papíry s náhodným obsahem, pokud je třeba, tak náhradní oblečení, držáky na odznaky a vždy něco, co držíme v ruce, když se mezi ostatními tváříme jako běžní zaměstnanci. Například banán. Lidé, kteří něco drží v ruce, jsou vždy méně nápadní.
A co legální stránka věci? Policii by se nelíbilo, kdyby věděli, že se vlámete do cizí budovy.
Společnosti a organizace se obvykle více spoléhají na své vlastní bezpečnostní služby než na policii a mimo jiné testujeme i to. A pokud jsme úspěšní, tak se samozřejmě nic nedozvědí. Každopádně, pro jistotu míváme vždy v zadní kapse dopis pro policii, kde je napsáno, co děláme a proč jsme tam, kde bychom neměli být.
Jak se člověk může stát takovým agentem?
Samozřejmě, musíš umět programovat. Doporučuji Python a PowerShell. Diplom z internetové bezpečnosti nebo certifikáty z kyberbezpečnosti také nejsou na škodu. Předtím, než tě vpustí na reálnou akci, musíš strávit měsíce v trénincích. Na nich je třeba prokázat skutečné zručnosti a až pak jsi vpuštěn na skutečné mise, kde pracuješ pod dohledem dalších.
Hacker musí být připraven na neočekávané události, například jednou jsme získávali data a ve stejném okamžiku o ně bojovala i úplně jiná skupina. Trvá dlouhou dobu, než se člověk stane natolik zručným, aby mohl pracovat sám či ve dvojicích.
Jaké chyby v oblasti kyberbezpečnosti děláme my všichni?
Sám jsem rozjel kampaň proti tomu, aby lidé nosili přístupové karty na oblečení. Když chodí po ulici, všemožně se houpají a lidem jako já dávají miliony příležitostí. Mnozí experti na nich mají napsané dokonce i PIN kódy. Co se týče běžnějších věcí, rozhodně každému doporučuji multifaktorové ověřování při přihlašování se, ale ne pomocí SMS, ty jsou také snadnou kořistí. Jinak se o většinu tvých kont starají firmy, které si svou bezpečnost testují právě najímáním lidi jako jsme my.
Vytasené karty hackerům práci zjednodušují.
