Zpravodajský portál pro moderní generaci, která se zajímá o aktuální dění.
Zajímá tě aktuální dění? Zprávy z domova i ze světa najdeš na zpravodajském webu. Čti reportáže, rozhovory i komentáře z různých oblastí. Sleduj Refresher News, pokud chceš být v obraze.
Nepodařilo se uložit změny. Zkus se nově přihlásit a zopakovat akci.
V případě že problémy přetrvávají, kontaktuj prosím administrátora.
OK
Milan Kyselica je mladý etický hacker, který pracoval pro stát, hledal zranitelnosti u Apple, ale i u velkých firem. Prozradil nám, na co bychom si dnes na internetu měli dávat největší pozor.
Kdyby ses dnes chtěl přítelkyni nabourat do Facebooku, abys zjistil, jestli před tebou něco neskrývá, nebylo by to vůbec těžké. Je to ale zejména o vzájemné důvěře, upozorňuje etický hacker Milan Kyselica, kterého jsme měli příležitost vyzpovídat.
Milan ve svém mladém věku zvítězil na prestižní soutěži etických hackerů, což mu vyneslo několik pracovních nabídek, ale i náhlou popularitu.
Momentálně pracuje pro americkou firmu, kde se věnuje zejména penetračnímu testování na zakázku od menších i větších klientů, ale má za sebou působení v týmu, který brání kybernetickou bezpečnost Slovenska či identifikování zranitelnosti u společnosti Apple.
Nám vysvětlil, jak je možné, že za několikaměsíční úsilí v hledání chyby u Apple nedostal zaplaceno ani korunu, ale u firem na Slovensku si etický hacker může vydělat desítky tisíc korun. Upozornil také na to, že přelepovat webkameru na notebooku si nemusíš, pokud celý den strávíš s mobilem v ruce usmíváním se do přední kamery.
V tomto článku si přečteš:
Zda dnes můžeš chytit virus jen tím, že klikneš na nějakou webovou stránku
Proč za identifikování chyby u Apple nedostal od firmy zaplaceno ani korunu
Kolik si už za nalezení chyby vydělal od firem jako Telekom či Eset
Zda je náročné nabourat se přítelkyni nebo přítelovi do Facebooku
Proč je dnes nesmyslné přelepovat si webkameru na notebooku
Jak tě může tvá kamera na mobilu nahrávat bez tvého vědomí
Zda je bezpečné používat TikTok
Zdroj: EY
Na sociálních sítích se šíří konspirace o tom, že nás chtějí sledovat přes čipy ve vakcínách. Uvědomují si lidé, že díky smartphonu v kapse o nich společnosti dnes vědí téměř vše, co potřebují?
Občas mě opravdu v začátcích Google Play či App Store zarazilo, jaká všechna povolení si aplikace žádaly. Časem se to ale člověk naučí rozeznávat. Je pravdou, že spousta lidí si opravdu neuvědomuje, a ani netuší, že když stahují nějaké aplikace, například baterku do svého mobilu, tak si vyžaduje přístup klidně až ke kontaktům, což je zbytečně rizikové.
Z mého pohledu je vytvořit takovou aplikaci velmi jednoduché, ale lidé si nedávají pozor a stahují první, co uvidí ve výsledcích hledání. Buď si riziko neuvědomují, nebo jim je to jedno. Neřídí se tím, kolik stažení aplikace v obchodě má, nebo kolik hvězdiček od uživatelů dostala. Samozřejmě i hodnocení a recenze mohou být falešné, avšak je rozdíl stáhnout aplikaci, která má méně než 1000 stažení a aplikaci, která má více než 10 milionů stažení.
Etičtí hackeři prý často testují sociální inženýrství. Zaměstnancům bank zkoušejí posílat podvodné maily, a tak se nabourávají do interního systému. Pokud si představíš, že kolem 20 % Čechů věří, že vakcíny budou obsahovat čipy, jsme pro hackery lehčí kořist?
Nemám k dispozici takovou statistiku. Je to citlivá téma, protože někteří lidé sice jsou naivní a tím pádem i poměrně zranitelní, a na pokus o phishing budou klikat a předávat ti svá data, ale musíš předem vědět, jaký výsledek od toho očekáváš.
Pokud teď někdo udělá kampaň na téma čipování ve vakcínách, co bude jejím cílem? Získání přístupu na zařízení – počítač přes kliknutí na link? Zřejmě od lidí budeš moci získat data, tomu věřím, protože jsou snadno zmanipulovatelní, ale každá taková kampaň zřejmě musí mít svůj předem stanovený cíl.
Kdysi se říkalo, aby člověk nechodil na podezřelé stránky, protože po kliknutí může chytit virus. Funguje to takto jednoduše i dnes?
Pokud se bavíme o tom, zda jen čistě klikneš na link a jdeš na stránku, tak to může platit i dnes, ale zejména pokud používáš nějaký zastaralý prohlížeč nebo doplněk, řekněme zastaralou verzi Internet Explorer. V tomto případě to může platit.
Jiná taktika útočníka může být jednodušší s použitím sociálního inženýrství. Aplikace uživatele vyláká, aby stáhl škodlivý soubor, spustil ho a vyžádá si přihlašovací údaje. Může například chtít, abys povolil přístup k mikrofonu.
Jako mladý etický hacker jsi jen před pár měsíci vyhrál soutěž EY Cyber Security Trophy. Otevřelo ti to nové možnosti?
Jakmile jsem vyhrál, tak mi přišla nabídka od jednoho člověka, který na té soutěži byl. Jedna firma mi poskytla možnost pro ně pracovat a celkově mi přišlo pár v pohodě nabídek z Česka a Slovenska, ale já jsem si vybral jinou možnost. Než pracovní nabídky mi vítězství poskytlo spíše kontakty. Nyní blíže znám lidi, kteří tam byli, například z Esetu nebo jiných firem.
Momentálně pracuješ pro firmu LIFARS. Dokázal by se ale etický hacker uživit, kdyby pracoval individuálně na volné noze?
Dá se to a dokonce znám takové lidi, kteří pracují na volné noze, ale je třeba rozlišovat. Etický hacker – penetrační tester, takový člověk musí mít striktně nastavená pravidla, když se chce živit sám.
Řekněme, že se na to dívám takto. Můžeš jako freelancer udělat penetrační test pro nějakou menší firmu, ale dá ti banka provést interní penetrační test, když jsi sám, bez týmu a je ti 22 let? Nedá, chybí ti zkušenosti, nemůžeš být expert v každé oblasti a nemáš takové jméno jako nějaká lepší firma.
Dá ho udělat firmě, v níž jsi zaměstnán? Určitě. Každopádně, dělat na volné noze je těžší, ale znám lidi, kteří se tak živí, protože je to pro ně lepší z časové perspektivy nebo možnosti výběru konkrétní zakázky. Z dlouhodobého hlediska podle mě však ztrácíš, neboť nemáš tréninky & certifikace a tým, který tě dokáže posunout dále.
Ve své kariéře jsi už našel několik chyb a zranitelností přímo ve slovenské vládě.
Ano. Já jsem se tehdy v podstatě orientoval na hledání webových chyb a zranitelností. Nechci sice specifikovat ten typ chyby, který jsem na stránkách našel, i když neříkám, že by ho bylo možno stále použít a vím, že tyto zranitelnosti opravili, ale vždy se najde někdo, kdo by to mohl zopakovat.
Chybu jsem nahlásil přes CSIRT.sk a od nich přišla promptní odpověď. Zareagovali dost brzy a za den až dva byla chyba opravena. Nicméně, když jsem zkoušel komunikovat přímo s kontaktem uvedeným na webu, tak vůbec nereagovali. Slovensko má řadu takových jednotek jako CSIRT, které se zabývají incidenty kybernetické bezpečnosti.
Internet miluje příběhy o hackerech, kteří u Google našli chybu a dostali za to desítky tisíc dolarů jako odměnu. Našel jsi ve velké firmě zranitelnost už i ty?
Nahlašoval jsem už chyby nalezené na doménách, které patřily Sony, AT&T i Apple. Osobně spíše preferuji programy a firmy, které mají takové programy pro oznamování chyb přímo na Slovensku jako Telekom, Azet či Eset. Je tam mnohem menší konkurence, větší šance, že nalezená zranitelnost nebude duplikát a lepší komunikace než s takovými programy v zahraničí (Intigriti, HackerOne, Bugcrowd).
Ano, můžeš nahlásit chybu v Google, ale záleží na tom, jaká je závažnost (Severity) nalezené chyby. Zda je informativní, nízká, střední, vysoká, nebo kritická. Na tom, i na jiných faktorech záleží tvůj následný payout a roli tam hraje milion faktorů. Ty musíš najít cíl, udělat proof of concept a pomocí něj ukázat, že ta chyba/zranitelnost může opravdu něco udělat.
Chyb týkajících se firmy Apple jsem našel poměrně náhodně. Soustředil jsem se na jejich program a objevil jsem je po cca 3 měsících.
Takže s hledáním zranitelností je třeba začít v tuzemsku.
Pokud s tím chce někdo začít, tak za mě určitě bych upřednostnil slovenské nebo české programy. Začátečník má u nich větší šanci něco najít. Je zde řada kryptoměnových společností a webů, které chtějí být reálně testovány. U nich jsou payouty snadněji dosažitelné a reálnější.
Já nahlásil vícekrát nějaké zranitelnosti i na webu Refresher, přičemž jsem dostal nějakou menší finanční odměnu a komunikace proběhla na velmi dobré úrovni. Máme na Slovensku pár webů, co si těchto lidi váží a nalezené zranitelnosti odměňuje.
Pokud by si chtěla firma jako Refresher objednat penetrační test od etických hackerů, kolik by musela zaplatit?
Záleží na tom, zda si chce firma objednat penetrační test webové stránky, mobilní aplikace, případně celé sítě a infrastruktury. Abych to zjednodušil, máme k dispozici různé typy testů, přičemž musí být specifikován rozsah testování, například, že se jedná o dynamickou webovou stránku, která obsahuje přihlašování a v rámci testu bude třeba otestovat také různé uživatelské role. Uvede se i cíl testování.
Ceny kvalitního penetračního testu mohou začínat od 2 až 3 tisíc eur za nějakou menší webovou stránku. V případě red teamingů cena začíná od 50 tisíc výše. Co se týče trvání testu, tak penetrační test webové aplikace může trvat od dvou dnů až po dva týdny, přičemž toto je čistý čas vyhrazený pouze pro testování. Za další týden po skončení testování už můžeš obdržet celou zprávu o testu.
Zmiňoval jsi kryptoměnové společnosti. Jakou zkušenost máš s takovými firmami, které se zaměřují na tento nový a málo prozkoumaný trh?
V podstatě mám minimální zkušenost s firmou jako Hodlex a ostatními, které nebudu jmenovat primárně díky bug bounty programům a responsible disclosures. Zkušenost mám takovou, že za testování platí, ale už nadále nefigurují v seznamu firem, které bych chtěl testovat.
A co kryptoměnové firmy v zahraničí?
Osobní zkušenost mám s Ledgerem a Trezorem, i když to jsou firmy které se zabývají návrhem a výrobou hardwarových peněženek pro kryptoměny. Nyní je Ledger celkem zmiňovanou firmou, protože jim v červenci 2020 vyhackovali e-shop a odcizili tak osobní údaje více než 1 000 000 lidí.
Jen před pár dny mi volala nějaká žena s ruským přízvukem, že ví, že mám zájem o koupi Bitcoinu. Pravděpodobně proto, že jsem v objednávce uvedl toto telefonní číslo. Dosud mi chodí SMS zprávy phishingového charakteru a e-maily, jejichž cílem je získat heslo do hardwarové peněženky.
Mluvíš o své morálnosti. Co by se podle tebe muselo stát, aby se z etického hackera stal hacker páchající trestnou činnost?
Na prvním místě je stoprocentně pomsta, ať už bývalé firmě, přítelkyni nebo učitelům. Na druhém místě zase vidina rychlého finančního výdělku.
Taková pomsta je technicky nejlehčí. Je určitě rozdíl vyhackovat nějakou firmu a prodat její data, než se pomstít kamarádovi. Na to, aby člověk sklouzl do pozice hackera, který vykonává trestnou činnost, musí mít takovou tendenci.
Netvrdím, že na Slovensku, ale firmy často etické hackery nedokáží zaplatit natolik, aby postupně nezačali dělat jiné věci, které mohou hraničit se zákonem. Stále je to však o člověku. Zbraň se dá využít také k páchání dobra, ale i zla, podobné je to i s hackingem.
Citlivá data se prý dají za směšné peníze nakoupit na darkwebu. Musíš se v něm orientovat i ty jako etický hacker?
Částečně. Pokud člověk pracuje jako penetrační tester, tak přehled o dark webu nemusí mít, ale pokud poskytuje komplexní řešení a zabezpečení pro firmy, tak by ho zřejmě měl mít.
Firma LIFARS systematicky sleduje vybrané části dark webu a získané informace využívá k zajištění našich klientů. V některých případech jsme schopni útok odhalit dříve, než se stane (tím, že zachytíme prodávané informace o uniklých uživatelských účtech, které by mohly být použity pro kompromitaci celé infrastruktury).
Existují řešení pro větší firmy, ale i jednotlivce, kteří chtějí vědět, zda jim na dark web například neunikla citlivá data. Takové společnosti dark web prohledají a nakonec předají report s nalezenými informacemi. Můžeš to ale udělat i sám doma a velký přehled mít koneckonců nemusíš, stačí pro to mít nástroje a základní informace.
Typický případ ve vztahu. Přítel nebo přítelkyně se chtějí nabourat partnerovi do Facebooku. Kdyby to chtěl člověk udělat dnes, bylo by to těžké?
Myslím, že je to o důvěře k tomu člověku. Je to možné a není to těžké za předpokladu, že má útočník fyzický přístup k zařízení. Existuje několik možností, jak se dá neoprávněný přístup do účtu na sociální síti, ale i kdekoliv jinde získat. Tam je mnoho možností, stačí, že se neodhlásí a využije aktivní session, nebo na počítač umí nainstalovaný keylogger a zachytí jeho heslo.
Dnes je to sice těžší, protože člověk může používat dvoufaktorové ověření například přes SMS nebo mail, ale stále to v takovém případě není nic těžkého.
Má dnes smysl přelepování webkamery?
Pro běžného člověka to velký smysl nemá. Z mých osobních zkušeností vím, že pokud se člověk stane cílem útoku, stáhne například škodlivou aplikaci, případně klikne na web a spustí instalaci, tak pravděpodobně skončí se zašifrovanými daty na disku (ransomware) a možností zaplatit výkupné a odkoupit svá data zpět.
Osobně neznám takový případ, že by někomu unikly fotky nebo videa. Samozřejmě, dá se to udělat přes vzdálený přístup, ale nesetkal jsem se s tím. Z uživatelského hlediska je spíše třeba si uvědomit, jak dlouho denně lidé používají své mobily namísto notebooku či stolního počítače. A kolik z nich má na smartphonu přelepenou kameru? Zakryji si kameru na laptopu, i když celý den používám telefon, na kterém kameru přelepenou nemám, to nezní moc logicky.
Objevily se už i případy, že kamera na mobilu potají nahrávala bez vědomí majitele zařízení. Je třeba si na to dávat skutečně pozor?
K bezpečnosti v mobilu bych přistupoval minimálně tak jako u počítače. Nainstaluješ si do mobilu aplikaci, vidíš, že nežádá přístup ke kameře ani kontaktům, ale najednou vznikne aktualizace a ty klikneš, že ji přijímáš a stáhneš si ji. Nevšimneš si však, že na základě aktualizace již aplikace vyžaduje přístup k věcem, ke kterým při prvotní instalaci nevyžadovala přístup.
Pokud jsou takové aplikace kompromitované, tak mají tendenci odesílat tvá data, když jsou v noci napojené na nabíječce, zjistí si polohu a když je telefon zapojený a nabíjí se, tak uskutečňují datový přenos. Telefony jsou potenciálně zranitelnější věc než počítače, takže u nich bych byl obezřetnější.
Telefonu neřekneš přímo, že nechceš používat kameru, zejména kvůli právům, zatímco počítači to můžeš adresovat docela přesně. Dokonce v případě externí kamery ji můžeš jednoduše odpojit.
Je TikTok bezpečná aplikace?
Vnímám to jako citlivé téma. Nemohu se k této aplikaci vyjádřit, protože s ní nemám velkou zkušenost. Avšak vzhledem k tomu, že pracuji v americké firmě, tak máme TikTok zakázaný instalovat na pracovních zařízeních. Instalaci na osobní zařízení bychom měli zvážit.
V posledních letech se začaly intenzivně zmiňvat aplikace jako Threema a Signal, které komunikaci šifrují. Má smysl přejít na tyto aplikace z Messengeru?
Smysl to má asi vždycky, ale je třeba si uvědomit obrovský rozdíl mezi aplikacemi Signal a Threema. Signal byl, je a vždy bude open source, zatímco Threema nebyla a nyní na open source přechází. Je to riziko i proto, že jde o placenou aplikaci. Já jsem Threemu používal v úvodu, kdy měla udělané bezpečnostní audity, což jsem u Signalu neviděl. A zase platí mylná představa, že co je open source, tak je bezpečné. To není pravda.
Pokud jsi kompromitovaný, tak bys v podstatě musel začít úplně od nuly. Sehnat si nový telefon a až pak se můžeme bavit o tom, co si tam nainstaluješ. Osobně bych nyní Signal upřednostnil před Threemou a považuji ho za jednu z nejlepších alternativ, které může člověk použít.
Výše zmíněné aplikace jsou pravděpodobně bezpečné do momentu, dokud útočník nezíská fyzický přístup k tvému zařízení a neví tvé heslo. Od tohoto bodu je to už pak jedno.
Kdysi bylo hlavním bezpečnostním tipem, aby si Češi nenalepovali papírky s PIN kódem na bankovní kartu. Kdybys měl nyní lidem říci jednu základní radu, jak zůstat na internetu v bezpečí, jaká by to byla?
Moje rada je taková klasická. Používat pro každý účet unikátní heslo, které je bezpečné. To znamená, že jeho délka je dostatečná, skládá se z malých a velkých písmen, obsahuje různé znaky a čísla. Zároveň by heslo nemělo obsahovat osobní informace jako datum narození, jméno domácího mazlíčka a adresu, což může útočníkovi pomoci při případném lámání hesla. Tuto radu bych doplnil o používání virtuálních jednorázových bankovních karet na nákupy na internetu.
Vyplatí se zapnout si dvoufaktorové ověření?
Při nastavení dvoufaktorového ověření dělají lidé často chybu. Většina z nich si jako druhý faktor nastaví telefonní číslo, což není v dnešní době optimální. Není to dobrý způsob, protože existuje útok, který se nazývá SIM swapping, kdy se útočník zmocní tvé SIM karty. Jako druhý faktor doporučuji použít aplikaci na vygenerování číselného kódu jako Google Authenticator, LastPass Authenticator nebo hardwarový klíč (YubiKey).
Zjednodušený příklad: Útočník ví tvé číslo, které používáš jako 2FA. Zavolá do telekomunikační společnosti, že chce přenést své číslo a požaduje novou SIM. Oni mu řeknou, ať se prokáže, že je vlastníkem tohoto čísla. Pokud se mu podaří tento krok obejít, tak má najednou toto číslo úspěšně přenesené. V podstatě tak získá přístup k druhému faktoru, na který mu mohou chodit SMS s vygenerovanými kódy z tvé dvoufaktorové autorizace.
