#Ivan Oravec sa dostal k etickému hackerstvu cez štúdium informačnej bezpečnosti, no cestičiek, ako sa priučiť tomuto remeslu, je viacero. Dokonca sú aj takí, ktorí začnú samoštúdiom, a postupne sa vypracujú z nováčika na seniora. Pri záujme o etické hackerstvo, samozrejme, pomáhajú aj skúsenosti z vývoja aplikácií alebo s programovaním.
Ivan pracuje v oblasti informačnej bezpečnosti už 11 rokov a prešiel si mnohými odvetviami. Etický hacking je teda logickým vyústením jeho cesty, pretože je na vzostupe. Počet hackerských útokov narastá a je potrebné riešiť prevenciu. Prečítajte si rozhovor, v ktorom nás Ivan previedol svetom jeho práce a prezradil aj to, ako môže „ítečkar“ písať básne.
Čo všetko tvoja práca zahŕňa?
Ide o simuláciu útoku na aplikáciu technikami podobnými tým, ktoré používajú reálni hackeri. Tieto techniky sa však skúšajú najprv v bezpečnom prostredí tak, aby sa nenarušil biznis.
Kde je hranica medzi hackerstvom a etickým hackerstvom?
Etické hackerstvo má svoje vopred definované pravidlá, podpisuje sa zmluva o rozsahu testovania a hraniciach, po ktoré môže eticky zájsť. Tiež sa podpisuje prehlásenie o mlčanlivosti, aby sa nevyzradili informácie, ktoré by mohli klienta poškodiť.
Akú najväčšiu dieru v zabezpečení si našiel počas svojej práce?
Keďže v praxi sa pri vývoji aplikácií často dbá väčšmi na funkciu ako na bezpečnosť a tempo je prirýchle, tak sa opakujú tie isté chyby už roky. Aj definícia “veľkej diery” môže byť chápaná rôzne. Sú chyby, ktoré by sme mohli považovať za veľké, pretože by sa už dávno nemali vyskytovať (napríklad SQL injection), alebo sú potom také, ktoré sú veľké preto, že ich dopad na prevádzku je významný, napríklad že ich zneužitím by došlo k strate množstva peňažných prostriedkov alebo reputácie.
Na úplne prvé miesto sa však kladie ľudský život alebo ľudské zdravie a musím sa priznať, že za najväčšiu chybu, akú som v poslednom čase našiel, považujem, že mi vo vlaku silno privrelo hlavu do dverí, ktoré mali pravdepodobne nefunkčné snímače (smiech). Pochopiteľne som to reportoval vlakvedúcej. To ma veľmi naštvalo, také veci si všímam a neviem o nich mlčať, to je už taká profesionálna deformácia.
Môžu etickí hackeri pracovať aj na voľnej nohe, alebo musia byť vždy viazaní na nejaký podnik?
Môžu a často pracujú na voľnej nohe, pretože to vie jednoducho zarobiť viac. Častým trendom, ktorý ale vnímam je, že si hlavne väčšie spoločnosti trénujú svoje vlastne tímy, ktoré pre nich riešia túto takzvanú ofenzívnu bezpečnosť. Hovorí sa tomu red teaming. Prípadne ich integrujú do svojich developerských tímov, tomu sa hovorí purple teaming. Je to to isté, len v modrom.
Aké najčastejšie chyby vo svojom online živote robíme? Používajú Slováci stále ako heslo Heslo123 alebo ako pin štyri nuly?
Áno, tuto si trafila klinec po hlavičke. Slabé heslá sú určite realita. Treba si uvedomiť, že slabé heslo do osobného e-mailu je pre útočníka, akoby ste nechali vo vchodových dverách kľúče. Cez váš e-mail je možné resetovať heslá do účtov, vyčítať rôzne podrobnosti z vášho osobného života, ktoré môžu viesť k ďalším útokom, a podobne. Dobrá praktika je nastaviť si akýsi druhý faktor, čiže nejaký ďalší prvok ako napríklad odtlačok prsta alebo snímku tváre na prihlasovanie do e-mailových účtov a na sociálne siete. Ide o prevenciu, ktorej nastavenie je vďaka našim vyspelým telefónom dnes už pre každého hračkou.
Ako sa čo najlepšie chrániť na internete? Čo určite nerobiť, a čo je naopak úplne kľúčové?
Tak okrem už zmieneného nastavenia dvojfaktorovej alebo viacfaktorovej autentizácie, je dosť dôležité dbať na netechnologické kanály – neprezrádzať o sebe ľuďom do telefónu a v osobnom styku údaje, aj napriek tomu, že na prvý pohľad sa môže zdať, že ich chcú pre dobrý účel. Neviete, kto je na druhej strane linky. Zvykli sme si na to, že keď od nás niekto chce nejakú osobnú informáciu, tak mu ju dáme, to ale nie je múdre s ohľadom na to, že v akých rukách sa môžu tieto informácie vyskytnúť. Svet je nebezpečné miesto, o tom virtuálnom to platí dvakrát.
Čo všetko môže hacker nájsť, ak sa dostane k našim údajom, a ako to môže zneužiť? Čo nám hrozí?
Úplne všetko. Pracuje s každou informáciou a vie si ju dať do kontextu. Zároveň ale chápem, že na to, aby sme boli schopní nejako fungovať, sa nemôžme len večne strachovať. Skôr by som apeloval na to, aby sme nesadli na lep niekomu, kto napríklad pod hrozbou, alebo naopak s podozrivo lákavou ponukou, prichádza a chce od nás niečo. Slovami klasika: “Nikdy by som nechcel patriť do klubu, do ktorého má chcú za člena.” (smiech).
Čo by mali ľudia robiť, ak im príde e-mail od údajného hackera? Je lepšie správu ignorovať, alebo pátrať po ďalších informáciách?
Záleží na tom, či je to len generický e-mail, ktorý poslal nejaký automatizovaný nástroj a len sa tvári, že o vás niečo vie, alebo ide o seriózne vydieranie. V tom prvom prípade by som sa tým veľmi netrápil, prípadne správu nahlásil prevádzkovateľovi – či už e-mailu, alebo sociálnej siete. V druhom prípade by som použil kombináciu nahlásiť a kontaktoval strážcov zákona. Dnes je tematika kybernetického zločinu už ďalej, ako napríklad pred desiatimi rokmi. Týmto určite prispeješ k diskusii a riešeniu. Netreba zostať ticho.
Stalo sa ti už niekedy, že ťa niekto požiadal o nie tak úplne etické hackerstvo?
Toto sa stáva takmer stále. Najčastejšie niekto chce, aby som sa niekomu „nabúral“ do Facebook profilu, alebo so mnou chce vymyslieť zločinný plán na ovládnutie sveta (smiech). Na to som si už zvykol a zdvorilo odmietnem. Chcem predsa dobre spávať, a ako sa hovorí, že kde je zlato, tam tečie krv. Radšej tie peniaze oželiem, než by som sa mal namočiť do prúseru. Asi aj preto stále jazdím len na bicykli.
Ako táto práca ovplyvnila teba? Získal si návyky ohľadom online bezpečnosti, ktoré by si inak nepraktizoval?
Vieš čo, občas rozmýšľam nad zmenou povolania, pretože časom, keď začneš rozumieť tomu, ako bezpečnostné mechanizmy fungujú, trochu im prestávaš dôverovať. Sladká nevedomosť. Ale to sú len také slabé chvíľky, ktoré asi zaživa každý. Každé remeslo si pýta svoju daň.
Keď to ale vezmem zoširoka, lepšie som sa nemohol nájsť. Informačná bezpečnosť v sebe kombinuje všetko, čo mám rád. Týka sa vedy a technológií, geopolitických hier, špionáže, náuky o jazyku. Je v tom odkrývanie tajomstiev, hádanky, ekonómia, filozofia. Potom aj láska, história tohto remesla je pretkaná milostnými príbehmi. A tiež kyberpunk s presahom do mystiky. Lepšie som sa narodiť nemohol.
Okrem tejto práce sa venuješ aj písaniu básní. Kde berieš inšpiráciu?
Z básnictva mám aktuálne dovolenku, viac ich žijem, než by som ich písal. Ako hovoria v anglický hovoriacich krajinách: “I walk the talk.” Menej času venujem tomu, aby som niekoho zaťažoval. Ale stále to niekde vo mne drieme, raz sa to zobudí ako taká šelma a potom ma to zožerie.
Ľudia sa často delia na logicky alebo umelecký zameraných. Kam by si sa zaradil ty? Očividne vynikáš v oboch oblastiach.
Ďakujem za krásny kompliment. Tú pragmatickú stránku mám po otcovi, a tú umeleckejšiu mám po mame. Diverzita určite funguje a ak chceme rôznorodosť medzi nami, kreatíva nefunguje bez disciplíny, a naopak. Nerád vidím, keď sa moji druhovia prepracujú k tomu, že sú z nich roboti, alebo keď vidím príliš rozpustených umelcov bez zmyslu. Žiadny extrém nie je zdravý. Ak chcem niečo vrátiť do IT, tak je to sranda. A aj niektorí umelci by sa mali brať menej vážne. A vôbec, menej „brať“ (smiech).
Svoje básne na Instagrame zverejňuješ napísané na stroji. Má pre teba tento kúsok histórie nejaký špeciálny význam, alebo ide jednoducho o oddych od obrazovky počítača?
Teraz o sebe predsa len prezradím niečo osobné. Fascinuje má minimalizmus a rád si zjednodušujem život. Rád sa vraciam vo svojom živote do čias, kedy predmety slúžili len na jednu vec. Foťáky fotili, písacie stroje písali a telefóny telefonovali. Dnes sme presýtení informáciami a prejedáme sa duševne aj fyzicky. Chce to rovnováhu, zaradiť nižší kvalt, dať sa do kľudu. To by som chcel vidieť vo svete a začínam od seba.
Čo by si odkázal čitateľom? Na čo si majú spomenúť vždy, keď niečo zverejňujú alebo si vytvárajú heslo?
Ako hovoril môj kamoš, “daj si pozor na to, čo ti lezie z hlavy, lebo ťa to nabudúce zabije”. Znie to trochu hrubo, ale je to jednoducho zapamätateľná pomôcka, ktorá vám možno raz zachráni život. Myslím tým na ochranu osobných údajov, ale aj štýl, akým sa vyjadrujeme. Vychádza to z toho, ako rozmýšľame. Určite platí, že ak začneme, alebo prestaneme, hovoriť a písať nejaké slová a vety, vieme zmeniť svoj život.
Zdieľať na