Zpravodajský portál pro moderní generaci, která se zajímá o aktuální dění.
Zajímá tě aktuální dění? Zprávy z domova i ze světa najdeš na zpravodajském webu. Čti reportáže, rozhovory i komentáře z různých oblastí. Sleduj Refresher News, pokud chceš být v obraze.
Kliknutím na tlačítko tě přesměrujeme na news.refresher.cz
10. ledna 2021 12:30
Čas čtení 10:36
Adam Novosad

Etický hacker: Proč si přelepuješ webkameru, když jsi celý den na mobilu a díváš se do fotoaparátu? (Rozhovor)

REFRESHER
Uložit Uložené

Milan Kyselica je mladý etický hacker, který pracoval pro stát, hledal zranitelnosti u Apple, ale i u velkých firem. Prozradil nám, na co bychom si dnes na internetu měli dávat největší pozor.

Kdyby ses dnes chtěl přítelkyni nabourat do Facebooku, abys zjistil, jestli před tebou něco neskrývá, nebylo by to vůbec těžké. Je to ale zejména o vzájemné důvěře, upozorňuje etický hacker Milan Kyselica, kterého jsme měli příležitost vyzpovídat.

Milan ve svém mladém věku zvítězil na prestižní soutěži etických hackerů, což mu vyneslo několik pracovních nabídek, ale i náhlou popularitu.

Doporučeno
Klienti po nás chtějí rozvrátit vztahy, vytvořit alibi i falešné partnery. Přišel jsem o iluze, říká majitel firmy Alibi na míru Klienti po nás chtějí rozvrátit vztahy, vytvořit alibi i falešné partnery. Přišel jsem o iluze, říká majitel firmy Alibi na míru 17. března 2019 14:56

Momentálně pracuje pro americkou firmu, kde se věnuje zejména penetračnímu testování na zakázku od menších i větších klientů, ale má za sebou působení v týmu, který brání kybernetickou bezpečnost Slovenska či identifikování zranitelnosti u společnosti Apple. 

Nám vysvětlil, jak je možné, že za několikaměsíční úsilí v hledání chyby u Apple nedostal zaplaceno ani korunu, ale u firem na Slovensku si etický hacker může vydělat desítky tisíc korun. Upozornil také na to, že přelepovat webkameru na notebooku si nemusíš, pokud celý den strávíš s mobilem v ruce usmíváním se do přední kamery.

V tomto článku si přečteš:
  • Zda dnes můžeš chytit virus jen tím, že klikneš na nějakou webovou stránku
  • Proč za identifikování chyby u Apple nedostal od firmy zaplaceno ani korunu
  • Kolik si už za nalezení chyby vydělal od firem jako Telekom či Eset
  • Zda je náročné nabourat se přítelkyni nebo přítelovi do Facebooku
  • Proč je dnes nesmyslné přelepovat si webkameru na notebooku
  • Jak tě může tvá kamera na mobilu nahrávat bez tvého vědomí
  • Zda je bezpečné používat TikTok

Etický hacker: Keď som našiel chybu u Apple, nezaplatili mi ani cent. U slovenských firiem sa dajú zarobiť tisícky (Rozhovor)
Zdroj: EY

Na sociálních sítích se šíří konspirace o tom, že nás chtějí sledovat přes čipy ve vakcínách. Uvědomují si lidé, že díky smartphonu v kapse o nich společnosti dnes vědí téměř vše, co potřebují?

Občas mě opravdu v začátcích Google Play či App Store zarazilo, jaká všechna povolení si aplikace žádaly. Časem se to ale člověk naučí rozeznávat. Je pravdou, že spousta lidí si opravdu neuvědomuje, a ani netuší, že když stahují nějaké aplikace, například baterku do svého mobilu, tak si vyžaduje přístup klidně až ke kontaktům, což je zbytečně rizikové.

Z mého pohledu je vytvořit takovou aplikaci velmi jednoduché, ale lidé si nedávají pozor a stahují první, co uvidí ve výsledcích hledání. Buď si riziko neuvědomují, nebo jim je to jedno. Neřídí se tím, kolik stažení aplikace v obchodě má, nebo kolik hvězdiček od uživatelů dostala. Samozřejmě i hodnocení a recenze mohou být falešné, avšak je rozdíl stáhnout aplikaci, která má méně než 1000 stažení a aplikaci, která má více než 10 milionů stažení.

Doporučeno
Snažíme se přijít na podstatu vesmíru. Hledáme svatý grál vědy, říká Filip Široký z CERNu Snažíme se přijít na podstatu vesmíru. Hledáme svatý grál vědy, říká Filip Široký z CERNu 6. ledna 2021 13:00

Etičtí hackeři prý často testují sociální inženýrství. Zaměstnancům bank zkoušejí posílat podvodné maily, a tak se nabourávají do interního systému. Pokud si představíš, že kolem 20 % Čechů věří, že vakcíny budou obsahovat čipy, jsme pro hackery lehčí kořist?

Nemám k dispozici takovou statistiku. Je to citlivá téma, protože někteří lidé sice jsou naivní a tím pádem i poměrně zranitelní, a na pokus o phishing budou klikat a předávat ti svá data, ale musíš předem vědět, jaký výsledek od toho očekáváš.

Pokud teď někdo udělá kampaň na téma čipování ve vakcínách, co bude jejím cílem? Získání přístupu na zařízení – počítač přes kliknutí na link? Zřejmě od lidí budeš moci získat data, tomu věřím, protože jsou snadno zmanipulovatelní, ale každá taková kampaň zřejmě musí mít svůj předem stanovený cíl.

Kdysi se říkalo, aby člověk nechodil na podezřelé stránky, protože po kliknutí může chytit virus. Funguje to takto jednoduše i dnes?

Pokud se bavíme o tom, zda jen čistě klikneš na link a jdeš na stránku, tak to může platit i dnes, ale zejména pokud používáš nějaký zastaralý prohlížeč nebo doplněk, řekněme zastaralou verzi Internet Explorer. V tomto případě to může platit.

Jiná taktika útočníka může být jednodušší s použitím sociálního inženýrství. Aplikace uživatele vyláká, aby stáhl škodlivý soubor, spustil ho a vyžádá si přihlašovací údaje. Může například chtít, abys povolil přístup k mikrofonu.

Jako mladý etický hacker jsi jen před pár měsíci vyhrál soutěž EY Cyber Security Trophy. Otevřelo ti to nové možnosti?

Jakmile jsem vyhrál, tak mi přišla nabídka od jednoho člověka, který na té soutěži byl. Jedna firma mi poskytla možnost pro ně pracovat a celkově mi přišlo pár v pohodě nabídek z Česka a Slovenska, ale já jsem si vybral jinou možnost. Než pracovní nabídky mi vítězství poskytlo spíše kontakty. Nyní blíže znám lidi, kteří tam byli, například z Esetu nebo jiných firem.

Momentálně pracuješ pro firmu LIFARS. Dokázal by se ale etický hacker uživit, kdyby pracoval individuálně na volné noze?

Dá se to a dokonce znám takové lidi, kteří pracují na volné noze, ale je třeba rozlišovat. Etický hacker – penetrační tester, takový člověk musí mít striktně nastavená pravidla, když se chce živit sám.

Řekněme, že se na to dívám takto. Můžeš jako freelancer udělat penetrační test pro nějakou menší firmu, ale dá ti banka provést interní penetrační test, když jsi sám, bez týmu a je ti 22 let? Nedá, chybí ti zkušenosti, nemůžeš být expert v každé oblasti a nemáš takové jméno jako nějaká lepší firma.

Dá ho udělat firmě, v níž jsi zaměstnán? Určitě. Každopádně, dělat na volné noze je těžší, ale znám lidi, kteří se tak živí, protože je to pro ně lepší z časové perspektivy nebo možnosti výběru konkrétní zakázky. Z dlouhodobého hlediska podle mě však ztrácíš, neboť nemáš tréninky & certifikace a tým, který tě dokáže posunout dále.

Ve své kariéře jsi už našel několik chyb a zranitelností přímo ve slovenské vládě.

Ano. Já jsem se tehdy v podstatě orientoval na hledání webových chyb a zranitelností. Nechci sice specifikovat ten typ chyby, který jsem na stránkách našel, i když neříkám, že by ho bylo možno stále použít a vím, že tyto zranitelnosti opravili, ale vždy se najde někdo, kdo by to mohl zopakovat.

Chybu jsem nahlásil přes CSIRT.sk a od nich přišla promptní odpověď. Zareagovali dost brzy a za den až dva byla chyba opravena. Nicméně, když jsem zkoušel komunikovat přímo s kontaktem uvedeným na webu, tak vůbec nereagovali. Slovensko má řadu takových jednotek jako CSIRT, které se zabývají incidenty kybernetické bezpečnosti.

Internet miluje příběhy o hackerech, kteří u Google našli chybu a dostali za to desítky tisíc dolarů jako odměnu. Našel jsi ve velké firmě zranitelnost už i ty?

Vyzkoušej předplatné REFRESHER+
a čti vše bez omezení
Přidej se k předplatitelům
nebo Odemkni článek přes SMS
Pošli SMS na 90211 s textem CLANEK 93225 a dočti tento článek.
Cena SMS za otevření článků je 89 Kč s DPH. Jak to funguje?
Dočti článek do konce za SMS v hodnotě 89 Kč. Jak to funguje?
POSLAT SMS
Čti články bez omezení celý měsíc – předplatné jen za 36 Kč navíc v porovnaní s jedním článkem. Jak to funguje?
POSLAT SMS
Čti bez omezení celý měsíc. Stačí poslat SMS (za 125 Kč). Jak to funguje?
POSLAT SMS
Domů
Sdílet
Diskuse