Etický hacking, aneb jak můžou etičtí hackeři pomoci vašemu startupu při zvýšení bezpečnosti
5. 11. 2018 – fintechcowboys | Doba čtení: 5 min
Bezpečnost na internetu se začíná skloňovat více a více, možná za to můžou už pravidelné úniky dat, ať už z velkých sociálních sítí, tak od internetových gigantů, jakými je například Google. Když dojde řeč na finance, je situace ještě závažnější.
Zažili jste někdy situaci, kdy po přihlášení se ke svému bankovnímu účtu vidíte transakce, které naprosto vyluxovaly váš účet a které jste nikdy neprovedli? Pocit to určitě není příjemný. S příchodem fintechových firem je potřeba o bezpečnosti mluvit ještě více než doposud. V dnešním rozhovoru se podíváme na to, co říkají takzvaní etičtí hackeři a jak vašemu startupu nebo firmě mohou pomoci při zvýšení bezpečnosti. Budeme si povídat s Radovanem Vackem, který společně s Lukášem Kuzmiakem založil společnost insighti.
Radovane, dříve než se pustíme do problematiky bezpečnosti, mohl bys našim čtenářům v krátkosti představit vaši společnosti insighti?
Společnost insighti jsme založili s Lukášem Kuzniakem asi před pěti lety. A od začátku byl naším směrem etický hacking. Dlouho jsme se pohybovali v IT a viděli jsme tak, že bezpečnost není prioritou. Pokud to jednotlivým firmám nebylo vysloveně jedno, tak tomu nepřikládaly žádnou velkou váhu. V tom jsme viděli problém, který je potřeba řešit a který jsme řešit chtěli.
Počkej, mluvíš o etickém hackingu? Působí to na mě, že ta dvě slova nejdou dohromady.
Etický hacking je zjednodušeně řečeno obrana před hackingem. Ve své podstatě se etičtí hackeři snaží simulovat situace, do kterých lidi hackeři dostávají, pouze s tím rozdílem, že při těchto simulacích nedochází k žádnému úniku dat, ale klient je o všem informován. Vše je pod kontrolou.
Dobrá, myslím, že tomu rozumím. Co může etický hacker trhu nabídnout? Je možné v tomto kontextu mluvit o nějakém produktu či dokonce o portfoliu produktů?
Určitě. Jsme na trhu už nějaký pátek, abych byl přesný, je to už přes pět let, a za tu dobu jsme si vyspecifikovali sady produktů, které dobře popisují nejčastější klientské potřeby. V našem portfoliu se nachází praktiky sahající od prověřování bezpečnosti organizací z veřejné sítě přes detailní testy jedné konkrétní aplikace až po jednoduché techniky takzvaného social engineeringu, kde se podvodnými praktikami (používanými hackerskou komunitou) snažíme vylákat citlivé informace.
Mohl bys popsat, jak taková zakázka u etického hackera probíhá?
Než vůbec začneme o zakázce mluvit, dodáváme klientovi informace. Vkládá do nás důvěru, proto bude chtít znát odpovědi na otázky, kdo jsme, kdo za námi stojí, pro koho jsme pracovali, jaké máme pojištění nebo certifikáty a určitě bude chtít také podepsat dohodu o mlčenlivosti. Bez těchto náležitostí se neobejde žádná zakázka.
Řekněme, že se na základě dodaných odpovědí jako klient rozhodnu, že insight je pro mě ten pravý partner, co bude následovat dál?
V další fázi se musí zákazník rozhodnout, proti jakému útoku se vlastně chce bránit, nebo lépe řečeno, jakou oblast organizace máme testovat, proti jakému typu útočníka. Pro drtivou většinu našich klientů je to anonymní útočení z internetu, které chce určitým způsobem danou firmu poškodit.
Další možností je útok na interní data, ať už jde o útok za použití interní Wi-Fi sítě, anebo za pomoci interního zaměstnance, který má fyzický přístup do kanceláří. Scénářů je celá řada a je nutné se o nich předem pobavit, aby byl test správně škálován.
Fajn. Máme vybraný scénář. Co bude následovat dál?
Podle typu testu, buď klienta fyzicky navštívíme, nebo vše probíhá na dálku. Po určitém čase, který si předem stanovíme, dodáme výsledky testu. Tyto výsledky jsou zaznamenány v jakémsi reportu. Report máme členěných do několika částí, kde popisujeme, co jsme testovali, jak je možné testy opakovat/replikovat a jaké jsou jejich výsledky. Součástí je i návrh na zlepšení/protiopatření. Zároveň v reportu i lidsky popisujeme konkrétní situaci, aby mu rozuměli i lidé z managementu, jež často nejsou až tak znalí technických detailů.
Pojďme se podívat na bezpečnost fintechových aplikací. Jak ty osobně vnímáš bezpečnost v tomto sektoru?
V první řadě je potřeba zdůraznit, že jsem ještě nezažil penetrační test, který by řekl, že všechno je super a není co zlepšovat. Vždy je co zlepšovat, je jen otázka, jak moc. Pokud se podíváme na fintechové aplikace, tak já osobně vnímám, že to, že jejich autoři věnují bezpečnosti pozornost a že si mnozí z nich přizvou ke spolupráci někoho externího, je jen dokladem toho, že jim na tom záleží.
Dnes jsou mezi klienty bank hodně populární mobilní aplikace. Jak si tyto náhrady internetových bankovnictví z pohledu bezpečnosti stojí ve srovnání se svými staršími bratříčky?
Internetové bankovnictví, je vlastně URL, kterou si otevřete ve svém prohlížeči, vyřídíte a v ideálním případě URL opustíte/zavřete. Oproti tomu mobilní aplikace je ve vašem telefonu pořád, trvale ukládá nějaká, potenciálně citlivá, data. Mobilní aplikace jsou prostě riziko. Asi neřeknu žádnou převratnou věc, když se vyjádřím ve smyslu, že z pohledu bezpečnosti je Apple platforma z trojice Windows, Android a Apple tou nejbezpečnější.
Která mobilní banka je v Čechách nejbezpečnější?
(smích) Tak bohužel k této otázce se vyjádřit nemůžu.
Ani za další kafe? (Smích.) Dobrá, pojďme tedy na další téma, a tím je otevřené bankovnictví.
(smích) Čekal jsem, kdy padne otázka k PSD2. Ono technicky není problém zajistit, aby se data vyměňovala bezpečně. Další otázkou je, co všechno si koncoví uživatelé vynutí na poskytovatelích, tam může být zakopaný pes. Je to volba každého, jak moc chce být konzervativní, nebo naopak progresivní. Dle mého názoru společnost spíš ukazuje, že konzervativní být nechce a chce fintechové aplikace.
Hranice mezi etickým a neetickým hackingem není moc silná. Jakým způsobem si vybíráš členy týmu?
Dříve než někoho do týmu vezmeme, pečlivě zkoumáme jeho minulost. Nemůžeme si dovolit najmout někoho, kdo by svým neetickým chováním poškodil dobré jméno firmy. Necháváme si u každého potenciálního zájemce zpracovat psychologický profil, který mně osobně hodně pomáhá v konečném rozhodování.
Důležité je mít i nadšení, protože etický hacking jako obor neexistuje, vše je potřeba se naučit, a bez dávky nadšení to nikdo dlouho nevydrží, protože poměrně dlouhou dobu se člověk pořád učí a na svoji práci vlastně není připraven a nemůže ji dělat. Řekněme, že příprava trvá tak půl roku, a ani to neznamená, že člověk ví všechno, že je schopen pohybovat se ve specifické oblasti. Po základním školení následují různé stupně seniority a dalšího vzdělávání. Je to taková nekonečné spirála.
Myslíš si, že by bylo možné etického hacker vychovat z člověka, který je touto oblastí naprosto nepolíben?
Je spíš otázka, jestli jsme schopni najít člověka, který je schopen se několik měsíců učit a přistoupit na to, že jeho cílem není naučit se nějaký postup, kdy nejdříve klikne na A, pak na B, pak na C, ale že se musí naučit jinak přemýšlet a vidět souvislosti mezi věcmi, ve kterých je jiný nevidí.
Na závěr položím asi banální otázku: co bys mi doporučil jako uživateli, který chce dbát na svoji bezpečnost na internetu? Na co si mám dát pozor?
Jedna skupina hrozeb na internetu je cílena víceméně plošně – ať už se jedná o viry, malware a tak podobně. Tím, že se vyskytují poměrně často, docela dobře proti nim fungují antiviry – čili určitě si nějaký pořiďte, a to i pro Mac.
Druhá skupina je zaměřena úžeji, na uživatele konkrétních aplikací, nebo dokonce na jednotlivce. Tam už žádná odpověď v podobě antiviru neexistuje a zůstává jen správný lidský úsudek. Uživatel se musí pořád ptát, proč jej nějaký web či email vyzývají právě k dané akci – třeba proč mi Instagram najednou píše z instagram-no-reply@gmail.com, když všechny ostatní e-maily od něj přišly z @instagram.com? Ale myslím, že stejně jako jsme se naučili číst ty dlouhé odstavce malinkým písmem ve smlouvách, naučíme se časem i tohle… stačí jen pár děsivých příběhů, o kterých se bude chvilku psát.
Pokud bych se chtěla vzdělávat, jaké zdroje mám sledovat?
Určitě. @spazef0ze, @cure53berlin ( DOMpurify), @DarknetDiaries, @offsectraining, @taviso (Google Project Zero), @thorsheim (PasswordsCon), @0xcharlie, @mubix, @CZ_NIC a @g0tmi1k.
Vyčerpali jsme všechny otázky a nezbývá nám tedy, než poděkovat a popřát hodně úspěchů. Dotazy, poznámky a připomínky pište na náš učet na twitteru @fintechcowboys. Budeme se těšit.