Přepnout do nočního režimu
Přepnout do denního režimu
Pondělí 10. 5. 2021 svátek má Blažena

hledej na refresheru

Chceš dostávat notifikace i na tomto zařízení?
Refresher - Rozhovory

Etický hacker: Proč si přelepuješ webkameru, když jsi celý den na mobilu a díváš se do fotoaparátu? (Rozhovor)

Milan Kyselica je mladý etický hacker, který pracoval pro stát, hledal zranitelnosti u Apple, ale i u velkých firem. Prozradil nám, na co bychom si dnes na internetu měli dávat největší pozor.

Adam Novosad
10. leden 2021, 12:30 Čas čtení: 10:23
Sdílet
Uložit Uložené
Sdílet Sdílet článek
Refresher - Rozhovory
0
Adam Novosad
10. leden 2021, 12:30
Čas čtení: 10:23

Etický hacker: Proč si přelepuješ webkameru, když jsi celý den na mobilu a díváš se do fotoaparátu? (Rozhovor)

Milan Kyselica je mladý etický hacker, který pracoval pro stát, hledal zranitelnosti u Apple, ale i u velkých firem. Prozradil nám, na co bychom si dnes na internetu měli dávat největší pozor.

Adam Novosad
10. leden 2021, 12:30
Čas čtení: 10:23
Sdílet
Uložit Uložené
Sdílet Sdílet článek

Kdyby ses dnes chtěl přítelkyni nabourat do Facebooku, abys zjistil, jestli před tebou něco neskrývá, nebylo by to vůbec těžké. Je to ale zejména o vzájemné důvěře, upozorňuje etický hacker Milan Kyselica, kterého jsme měli příležitost vyzpovídat.

 

Milan ve svém mladém věku zvítězil na prestižní soutěži etických hackerů, což mu vyneslo několik pracovních nabídek, ale i náhlou popularitu.

 

 

Momentálně pracuje pro americkou firmu, kde se věnuje zejména penetračnímu testování na zakázku od menších i větších klientů, ale má za sebou působení v týmu, který brání kybernetickou bezpečnost Slovenska či identifikování zranitelnosti u společnosti Apple. 

 

Nám vysvětlil, jak je možné, že za několikaměsíční úsilí v hledání chyby u Apple nedostal zaplaceno ani korunu, ale u firem na Slovensku si etický hacker může vydělat desítky tisíc korun. Upozornil také na to, že přelepovat webkameru na notebooku si nemusíš, pokud celý den strávíš s mobilem v ruce usmíváním se do přední kamery.

 

V tomto článku si přečteš:
  • Zda dnes můžeš chytit virus jen tím, že klikneš na nějakou webovou stránku
  • Proč za identifikování chyby u Apple nedostal od firmy zaplaceno ani korunu
  • Kolik si už za nalezení chyby vydělal od firem jako Telekom či Eset
  • Zda je náročné nabourat se přítelkyni nebo přítelovi do Facebooku
  • Proč je dnes nesmyslné přelepovat si webkameru na notebooku
  • Jak tě může tvá kamera na mobilu nahrávat bez tvého vědomí
  • Zda je bezpečné používat TikTok

 

Etický hacker: Keď som našiel chybu u Apple, nezaplatili mi ani cent. U slovenských firiem sa dajú zarobiť tisícky (Rozhovor)
Zdroj: EY

Na sociálních sítích se šíří konspirace o tom, že nás chtějí sledovat přes čipy ve vakcínách. Uvědomují si lidé, že díky smartphonu v kapse o nich společnosti dnes vědí téměř vše, co potřebují?

Občas mě opravdu v začátcích Google Play či App Store zarazilo, jaká všechna povolení si aplikace žádaly. Časem se to ale člověk naučí rozeznávat. Je pravdou, že spousta lidí si opravdu neuvědomuje, a ani netuší, že když stahují nějaké aplikace, například baterku do svého mobilu, tak si vyžaduje přístup klidně až ke kontaktům, což je zbytečně rizikové.

 

Z mého pohledu je vytvořit takovou aplikaci velmi jednoduché, ale lidé si nedávají pozor a stahují první, co uvidí ve výsledcích hledání. Buď si riziko neuvědomují, nebo jim je to jedno. Neřídí se tím, kolik stažení aplikace v obchodě má, nebo kolik hvězdiček od uživatelů dostala. Samozřejmě i hodnocení a recenze mohou být falešné, avšak je rozdíl stáhnout aplikaci, která má méně než 1000 stažení a aplikaci, která má více než 10 milionů stažení.

 

 

Etičtí hackeři prý často testují sociální inženýrství. Zaměstnancům bank zkoušejí posílat podvodné maily, a tak se nabourávají do interního systému. Pokud si představíš, že kolem 20 % Čechů věří, že vakcíny budou obsahovat čipy, jsme pro hackery lehčí kořist?

Nemám k dispozici takovou statistiku. Je to citlivá téma, protože někteří lidé sice jsou naivní a tím pádem i poměrně zranitelní, a na pokus o phishing budou klikat a předávat ti svá data, ale musíš předem vědět, jaký výsledek od toho očekáváš.

 

Pokud teď někdo udělá kampaň na téma čipování ve vakcínách, co bude jejím cílem? Získání přístupu na zařízení – počítač přes kliknutí na link? Zřejmě od lidí budeš moci získat data, tomu věřím, protože jsou snadno zmanipulovatelní, ale každá taková kampaň zřejmě musí mít svůj předem stanovený cíl.

 

Kdysi se říkalo, aby člověk nechodil na podezřelé stránky, protože po kliknutí může chytit virus. Funguje to takto jednoduše i dnes?

Pokud se bavíme o tom, zda jen čistě klikneš na link a jdeš na stránku, tak to může platit i dnes, ale zejména pokud používáš nějaký zastaralý prohlížeč nebo doplněk, řekněme zastaralou verzi Internet Explorer. V tomto případě to může platit.

 

Jiná taktika útočníka může být jednodušší s použitím sociálního inženýrství. Aplikace uživatele vyláká, aby stáhl škodlivý soubor, spustil ho a vyžádá si přihlašovací údaje. Může například chtít, abys povolil přístup k mikrofonu.

 

Jako mladý etický hacker jsi jen před pár měsíci vyhrál soutěž EY Cyber Security Trophy. Otevřelo ti to nové možnosti?

Jakmile jsem vyhrál, tak mi přišla nabídka od jednoho člověka, který na té soutěži byl. Jedna firma mi poskytla možnost pro ně pracovat a celkově mi přišlo pár v pohodě nabídek z Česka a Slovenska, ale já jsem si vybral jinou možnost. Než pracovní nabídky mi vítězství poskytlo spíše kontakty. Nyní blíže znám lidi, kteří tam byli, například z Esetu nebo jiných firem.

 

Momentálně pracuješ pro firmu LIFARS. Dokázal by se ale etický hacker uživit, kdyby pracoval individuálně na volné noze?

Dá se to a dokonce znám takové lidi, kteří pracují na volné noze, ale je třeba rozlišovat. Etický hacker – penetrační tester, takový člověk musí mít striktně nastavená pravidla, když se chce živit sám.

 

Řekněme, že se na to dívám takto. Můžeš jako freelancer udělat penetrační test pro nějakou menší firmu, ale dá ti banka provést interní penetrační test, když jsi sám, bez týmu a je ti 22 let? Nedá, chybí ti zkušenosti, nemůžeš být expert v každé oblasti a nemáš takové jméno jako nějaká lepší firma.

 

Dá ho udělat firmě, v níž jsi zaměstnán? Určitě. Každopádně, dělat na volné noze je těžší, ale znám lidi, kteří se tak živí, protože je to pro ně lepší z časové perspektivy nebo možnosti výběru konkrétní zakázky. Z dlouhodobého hlediska podle mě však ztrácíš, neboť nemáš tréninky & certifikace a tým, který tě dokáže posunout dále.

  

Ve své kariéře jsi už našel několik chyb a zranitelností přímo ve slovenské vládě.

Ano. Já jsem se tehdy v podstatě orientoval na hledání webových chyb a zranitelností. Nechci sice specifikovat ten typ chyby, který jsem na stránkách našel, i když neříkám, že by ho bylo možno stále použít a vím, že tyto zranitelnosti opravili, ale vždy se najde někdo, kdo by to mohl zopakovat.

 

Chybu jsem nahlásil přes CSIRT.sk a od nich přišla promptní odpověď. Zareagovali dost brzy a za den až dva byla chyba opravena. Nicméně, když jsem zkoušel komunikovat přímo s kontaktem uvedeným na webu, tak vůbec nereagovali. Slovensko má řadu takových jednotek jako CSIRT, které se zabývají incidenty kybernetické bezpečnosti.

 

Internet miluje příběhy o hackerech, kteří u Google našli chybu a dostali za to desítky tisíc dolarů jako odměnu. Našel jsi ve velké firmě zranitelnost už i ty?

Článek pro předplatitele REFRESHER+
PŘIDEJ SE K PŘEDPLATITELŮM
nebo Odemkni 1 článek přes SMS
Pošli SMS na 90211 s textem CLANEK 93225 a dočti tento článek.
Cena SMS za otevření článků je 89 Kč s DPH. Jak to funguje?
POSLAT SMS

Co se dozvíš po odemknutí?

  • Proč za identifikování chyby u Apple nedostal od firmy zaplaceno ani korunu
  • Kolik si už za nalezení chyby vydělal od firem jako Telekom či Eset
  • Jak se mu podařilo odhalit zranitelnost přímo na webu Refresher
  • Jak udělají peníze z etického hackera člověka, který páchá trestnou činnost
  • Zda je náročné nabourat se přítelkyni nebo příteli do Facebooku
  • Proč je dnes nesmyslné přelepovat si webkameru na notebooku
  • Jak tě může tvá kamera na mobilu nahrávat bez tvého vědomí
  • Zda je bezpečné používat TikTok a zařízení od Huawei
  • Jak tvůj mobil možná uprostřed noci v nabíječce odesílá data útočníkům

Upozornit na chybu. Pokud jsi našel nedostatek v článku nebo máš připomínky, dej nám vědět.
Náhledový obrázek: EY
Sdílet
Uložit Uložené
Sdílet Sdílet článek
NAHORU
Dostávej nejlepší obsah mailem
Nestíháš všechno sledovat? Pošleme ti do schránky nejčtenější a nejlepší obsah.
Žádný spam. Kdykoli se můžeš z odběru odhlásit.
Posílat e-mail
Roman dosáhl ve 43 letech finanční nezávislosti: Mladí lidé musí začít investovat co nejdříve a dávat si pozor na spekulace
Zajímavosti
Roman dosáhl ve 43 letech finanční nezávislosti: Mladí lidé musí začít investovat co nejdříve a dávat si pozor na spekulace
Nejhorší, co může mladý člověk udělat, je neinvestovat, říká Roman Závodský. Od začátku kariéry se snažil budovat svůj majetek, postupně objevil fenomén FIRE a dnes si užívá finanční nezávislosti.
Ekoaktivistko Alžběto se posadilo do silnice, protože je zděšeno, jak moc ignorujeme klimatickou krizi (Rozhovor)
Rozhovory
Ekoaktivistko Alžběto se posadilo do silnice, protože je zděšeno, jak moc ignorujeme klimatickou krizi (Rozhovor)
S aktivistkem Alžběto o dvou protestech v Mladé Boleslavi, o tom, co hrozí naší planetě, pokud nezačneme jednat, nebo o tom, proč o sobě mluví ve středním rodě.
Tři mobily kolem sedmi tisíc. Otestovali jsme Xiaomi Redmi Note 10 Pro, Samsung Galaxy A52 a Moto G 5G
Tech 1
Tři mobily kolem sedmi tisíc. Otestovali jsme Xiaomi Redmi Note 10 Pro, Samsung Galaxy A52 a Moto G 5G
Stále se zlepšují i smartphony, za které si výrobce ani zdaleka neúčtuje bláznivé ceny nad dvacet tisíc korun.
Mučení sexuálních otrokyň, děti v kleci nebo akční scény v mléce. Vyplatilo se čekat na novou sérii Handsmaid's Tale?
Zajímavosti
Mučení sexuálních otrokyň, děti v kleci nebo akční scény v mléce. Vyplatilo se čekat na novou sérii Handsmaid's Tale?
Nová série Příběhu služebnice je jiná. Noří se hlouběji do psychiky postav, zobrazuje, jak prožívají trauma z totalitního režimu. Zažiješ v ní i nečekané akční scény.
Jsou custom kšiltovky New Era nejžhavějším trendem tohoto léta?
Móda
Jsou custom kšiltovky New Era nejžhavějším trendem tohoto léta?
Stará dobrá klasika od New Ery se opět dostává do popředí, ale tentokrát za její popularitu mohou zejména customizery.
VÍCE ČLÁNKŮ
Nejčtenější články
Nyní
24 hod
7 dní
30 dní
více z témy refresher
více článků
Sponzorované články
více článků
Další news více news
Mohlo by tě zajímat
Přejít na úvodní stránku
Domů
Sdílet
Diskuse
Hledat
Více
Zapni upozornění a už ti nic neunikne!

Chceš vědět, co se děje, a mít přehled? Dostávej upozornění o nejžhavějších zprávách na Refresheru.

(Příklady: Hořel Notre Dame, Zemřel Mac Miller, Trailer na Avengers)
(Příklady: Sagan skončil první, Nový zákon s vlivem na moderní lidi, Dnes nás čeká zatmění slunce)
Pokud chceš, abychom ti poslali téměř všechny novinky, vyber tuto možnost.