Co všechno obnáší etický hacking? Co všechno etický hacker používá, aby zjistil zranitelnost aplikace nebo sítě svého zákazníka? Jak by se měl běžný uživatel chránit a na co si má dát pozor? To nám přiblíží generální ředitel společnosti insighti Radovan Vacek.
Co vlastně znamená etický hacking?
Hacking je snaha o vykonání akcí, které systém vykonávat nemá s cílem získat nějakou výhodu. Etický hacking se provádí souhlasem provozovatele aplikace nebo sítě. Je prováděn s cílem odhalit chyby v systému zákazníka a informovat jej o nich. Jde o simulovaný pokus o průnik do systému, když chce jeho vlastník vědět, jak obstojí, pokud se někdo pokouší nekalými způsoby probourat do jeho systému, aplikace, sítě či serveru, nebo třeba do jeho notebooku.
Jediná cesta, jak vědět, jak na tom jste, je spolehnout se na někoho, kdo má podobné schopnosti a znalosti, jako ten, koho se obáváte. Zeptat se, jak by postupoval, jaké zranitelnosti by zneužil. Avšak testovat aplikaci, když už je kompletně vyvinutá, a teprve pak ji upravovat tak, aby byla bezpečná, může být pozdě. Může ji to výrazně prodražit.
Jak získáváte důvěru zákazníka?
Na jedné straně existuje formalizovaná důvěra ve formě smluv, záruk, finančních pokut apod., na druhé straně velmi významnou roli hrají ale také reference. Jednak ty, které jsou veřejně známé a ve druhé řadě také není problém propojit někoho, kdo by chtěl referenci získat, s některým stávajícím zákazníkem. Rád se podělí o zkušenost, co jim naše analýza přinesla. V tomto ohledu si můžeme dovolit být velice transparentní.
Důvěryhodnost zvyšuje i naše odbornost. V insighti dlouhodobě pracujeme na vlastním vzdělávání a máme řadu certifikací, zejména od Offensive Security. Od této organizace máme ocenění Offensive Security Certified Professional. Tento certifikát má drtivá většina našeho týmu, nebo jsou už alespoň v procesu jeho získávání. Další garancí naší odbornosti jsou námi nahlášené chyby, kterých rozhodně není málo. Je to dílo našich lidí a zveřejnili jsme je pro „vyšší bezpečnost světa“.
V oblasti etického hackingu jde spíše o dlouhodobé vztahy se zákazníkem, nebo i o krátkodobé?
Velká část zákazníků, které máme, s námi spolupracuje dlouhodobě. V podstatě se dosud nikdy nestalo, že by s námi někdo začal spolupracovat a pak od nás odešel. Spíše je to spojeno s tím, o jak velkou firmu jde a jak má velké IT. Firmy, které dělají hodně IT projektů a mají hodně IT aplikací, s námi spolupracují dlouhodobě a hlavně pravidelně. Jiné firmy třeba zase vyvíjejí jen jednu aplikaci, a pak s námi sice spolupracují také dlouhodobě, ale mnohem méně pravidelně. Vývoj je u nich mnohem pomalejší. Jednorázové zákazníky pak máme většinou jen v případech, že nás jejich problém nějak zaujme.
Používáte sami i komerčně dostupné nástroje pro hacking, takzvané exploity?
Komerčně dostupné nástroje, exploity, ty jsou takovým minimem. Nesmí se stát, že bychom nepřišli na známé zranitelnosti, které jsou veřejně dostupné. Používáme je proto také, a to jedny z nejlepších, které v této oblasti existují. Jde však o naprosté minimum naší práce; ta jde mnohem dále. Nikdy se nám také nestalo, že bychom výrazně nepřekonali, objemem i závažností, nálezy, kterou najde komerční „tool“. Zároveň našim klientům také doporučujeme, aby si takového komerční nástroje, nebo nástroje open source, vyzkoušeli na svých aplikacích sami. Je to něco, co jim poměrně rychle pozvedne bezpečnost jejich aplikací, možná i docela levně.
Jak moc může být BFU (bloody fucking user – běžný Franta uživatel) v klidu, pokud si nainstaluje běžný antimalware?
Běžný BFU může být asi v takovém klidu, jak moc může být pro někoho jeho počítač zajímavý, aby jej napadnul. Existují techniky, které se 100% úspěšností zamaskují téměř jakýkoliv kód, například buffer overflow, tak, že na něj běžný antivirus nepřijde. Naopak existují veřejně dostupné stránky, na nichž si můžete důkladně prověřit podezřelou aplikaci. Tam ji projedou snad stovkou různých antivirů a řeknou vám pak, že v ní žádný virus není, a stejně tam nakonec bude ukryt. Vždy to však vyžaduje, aby se na vás někdo aktivně zaměřil. Pokud nejste zajímavým cílem, asi můžete být dost v klidu.
Znamená to tedy například nespolupracovat aktivně například s phishingovými útoky, rozklikávat podezřelé úlohy apod.?
No tak to rozhodně! Pokud antimalware zrovna hned nezakřičí, že tohle je virus, ještě opravdu neznamená, že nejde o podezřelý e-mail. Navíc, při veškeré snaze výrobců antimalwarových ochran vždy existuje prodleva mezi provedeným útokem a vydáním nové definice pro antiviry. Teď samozřejmě nehovořím o cílených útocích, ale o těch, které jsou vedeny plošně. Navíc nevěřím tomu, že by někomu chodily maily, které neočekává. Takové jsou vždy podezřelé. Uvedu jeden reálný příklad phishingu, který se stal ve firmě mého kamaráda. Jejich asistentce přišla série e-mailů, psaná jménem jejího šéfa, s tím, že má uhradit nějaké faktury. Bylo zcela zřejmé, že to je celé špatně, protože tyto e-maily byly psány špatnou češtinou, vyskytovaly se v nich nelogičnosti, ten šéf jí vykal, přestože si potykali už před nějakými pěti lety. E-maily však přišly od pro ni důvěryhodné osoby a ona vykonala vše, co v nich bylo přikázáno. Nefiguroval v nich žádný virus, malware, takže někam zaplatila asi osmnáct tisíc eur.