Etický hacker: I Váš bankovní účet je v ohrožení, proto jsme tu my


09:50 • 31. října 2017

Tagy: hackeři, Hackers Congress, ČR, Slovensko, Banky, kriminalita, USA, Čína, Rusko, Izrael, ISIS, Bitcoin, Kryptoměna

Děláme etické průniky nebo hacky bank. Ty nám za to platí. Zjistíme, jakým způsobem je možné se do jejich systémů nabourat. Simulujeme de facto to samé, co běžně dělají normální hackeři, a to i v ČR. Máme ale reputaci a děláme to po záměrné dohodě s klientem. Z etických důvodů nepracujeme pro státní instituce. V exkluzivním rozhovoru to pro Roklen24 na Hackers Congress Paralelní Polis řekl „etický hacker“, expert na kryptoměny a zakladatel firmy Nethemba Pavol Lupták.

Zabýváte se etickým hackingem, pracujete pro firmy, abyste jim pomohl s ochranou. Roklen24 je finanční portál. Kolik času byste potřeboval, abyste nám shodil web?

Shození webu je prakticky triviální záležitost. Na nějakých DarkMarketech se dají relativně lacino koupit (za stovky dolarů) distribuované DDoS útoky, které obsahují desetitisíce až statisíce infikovaných mašin v botnetu. Když si je člověk koupí, tak dokáže v principu shodit jakýkoli web v České republice. Na libovolně dlouhou dobu. Je to fakt triviální. Je velká asymetrie mezi tím, kolik to stojí útočníka, a tím, kolik byste museli zaplatit za ochranu. Vaše ochrana by byla tisícinásobně dražší než náklady útočníka na shození. Je úplně běžné, že internet banking bank podléhá distribuovaným DDoS útokům, které jsou většinou kombinované s vydíráním, kdy banky musí zaplatit bitcoinem nebo jinou kryptoměnou, aby přestaly.

Toto je relativně primitivní útok, kdy útočník shodí web a to je všechno. Pak jsou sofistikovanější útoky, které jsou zajímavější. Útočník dokáže získat nějaká citlivá data, databázi Vašich klientů, seznamy jejich účtů, čísla kreditních karet atd. Tyto útoky jsou podstatně náročnější na realizaci, obzvlášť pro finanční instituce. My pro firmy děláme etické průniky nebo hacky. Banky si nás zaplatí a my zjistíme, jakým způsobem je to možné nabourat. Simulujeme de facto to samé, co dělají normální hackeři, ale máme reputaci a děláme to po záměrné dohodě s klientem, který je o všem informován.

Jak je podle Vás chráněná státní správa, ministerské weby, web vlády? Je v tom nějaký rozdíl oproti například malým firmám?

Nemáme ve firmě praktické zkušenosti s IT bezpečností státní správy, protože z etických důvodů nepracujeme pro státní instituce. Dokonce jsme nedávno spustili weby www.nepracujemeprostat.cz a www.nepracujemeprestat.sk. Podle nedávných úniků a hacků ale musím říct, že bezpečnost státních úřadů není na žádné vysoké úrovni. Obzvlášť proto, že oni nemají finance na to, aby si zaplatili kvalifikované lidi. Neznám osobně žádného, vysloveně profesionálního etického hackera, který by pracoval pro českou nebo slovenskou vládu.

Kdyby Babiš zakázal bitcoin, má ho hned každá česká rodina

Když se zaměříme na internetové bankovnictví, dá se prolomit? Povedlo se to někomu?

Jasně. Hacky bank ve světě jsou celkem běžné. Dokonce se to stává i v našem prostředí, ale banky se k tomu častokrát nepřiznají, protože je to pro ně extrémně vysoká reputační riziko.

Technicky to tedy opravdu není až takový problém?

Na českém internetu je samozřejmě nejvyšší bezpečnost akorát bank. To je top. Mají nejvíc peněz na to, aby investovaly do IT bezpečnosti. Ta bezpečnost je podstatně vyšší než nějakého běžného e-shopu, nebo něčeho podobného. Banky opravdu penetrační testy platí pravidelně. Většina našich klientů jsou banky, protože na to mají peníze a protože jsou tlačeny regulátory. Když chcete zpracovávat čísla kreditních karet na své platební bráně, tak musíte být „PCI DSS compliant“, což je standard, který prosadila Visa a Mastercard a donutila všechny banky, které akceptují jejich karty, aby pravidelně realizovaly například penetrační testy a bezpečnostní audity v souladu s tímto standardem.

Například generální ředitel Mastercard pro Českou republiku a Slovensko Miroslav Lukeš v únoru na CEE Innovation & Startups Forum uvedl, že Mastercard sleduje Darknet. Konkrétně jeho dva zaměstnanci. Můžete laikovi popsat, co tam ti lidé sledují? Jak vypadá jeho den?

Zřejmě sleduje leaky (úniky) platebních karet konkrétní banky nebo jejich dcer. Co to v praxi znamená? Můžete se přihlásit na nějaký DarkMarket. Vyklikat si Českou republiku, Visu, Mastercard, možná i konkrétní banku a zakoupit si z kryptomarketu třeba tisíc čísel jejích kreditních karet. Tito analytici DarkMarketu dělají jen to, jestli se uniklé informace z banky náhodou neprodávají na DarkMarketech za nějakou cenu. To je totiž automatická indikace toho, že byli hacknuti. Sledují a monitorují situaci. Když to vědí, tak mohou například čísla kreditní karty koupit a okamžitě zablokovat a tím pádem eliminovat potenciální následné „fraudy“, které mohou s těmito kartami nastat. Umím si představit, že to ti analytici dokonce reálně kupují za nějaké kryptoměny. Když na to přijdou, tak jednoduše dají vědět samotné bance a všechny platební karty se zablokují. Úplně mi dává smysl, že toto dělají.

Jak je podle Vás složité dostat se někomu do e-mailové pošty, co si kdo píše? Nabourat se Babišovi nebo Sobotkovi do mailu?

Statisticky můžu říct, že bezpečnost klientů koncových stanic je podstatně nižší než bezpečnost například internetového bankovnictví nebo gmailu. Pro útočníka je obvykle podstatně jednodušší kompromitovat koncové stanice nebo smartphony těch lidí a samotnou krádež údajů udělat na nich..

Jakým způsobem?

Je hodně možností. Velmi oblíbený je například sociální inženýrství, které může být realizované například formou takzvaného spearphishingu, to je customizovaný phishing, který Vás osloví Vaším jménem a přesvědčí Vás zadat své osobní údaje nebo něco podobného. To funguje na mnoho lidí. Obzvlášť, když jim pošlete email od zaměstnavatele, že jim zvyšujete mzdu, tak kliknou a spustí všechno. Takové máme zkušenosti, protože děláme i simulace sociálního inženýrství a spearphishingu.

Dále útočníci dokážou útočit na neudržované operační systémy a aplikace přes takzvané různé exploity. To znamená, že nějakým starým prohlížečem otevřete nějakou linku, spustíte tak exploit – speciální kód využívající nějakou zranitelnost samotného prohlížeče.

Potenciální útočník dokáže získat kontrolu nad Vaším přístrojem, telefonem, a je to velmi nebezpečné. Dokonce existují takzvané zero-day exploity, vůči kterým není možné se bránit a které mají vysokou tržní hodnotu. Prodávají je firmy jako VUPEN pro státy, vlády, tajné služby. Zero-day exploity se jmenují proto, že využívají zranitelností, které nejsou ještě veřejně známé. To znamená, že Microsoft, Google, Apple atd. o nich neví. Neví, jak je zapatchovat, jak vydat aktualizaci. Zero-day exploity jsou extrémně nebezpečné, ale drahé, proto si je můžou dovolit jen bohatí lidé, respektive státy. Většinou je kupují státy na sledování disidentů nebo teroristů. Běžní hackeři k nim většinou mají omezený přístup.

To je pěkný oslí můstek. V rádiu jsme nedávno slyšeli, že z Národní bezpečnostní agentury (NSA) se Rusům (Kaspersky Lab) podařilo ukrást nějaké údaje. Když se podíváme na budoucí válku, tak asi nebude o tancích, konvenčních zbraních. Viděli jsme všichni, co se dělo třeba kolem prezidentských voleb v USA. Kde jsou nyní hackerské špičky?

Je třeba si uvědomit, že státní cyberhackeři jsou normální součást armády. Dělají v principu to, co dělá normální armáda. Útočí v kyberprostoru na základny druhé strany. Kdo ví víc informací o druhé straně, tak má reálnou převahu. Využívá se to buď na špehování, na špionáž, nejen průmyslovou, ale i státní špionáž, obrany apod. Jasně že to probíhá a bude to probíhat. Speciálně na toto mají státy peníze. Platí si hackery, kteří bojují za jejich zájmy. Osobně to ale pokládám za nemorální. A proto se my, jako celá firma – všichni naši etičtí hackeři – striktně distancujeme od státu i kyberkonfliktů, které řeší. Nechceme s tím mít nic společného.

A když srovnáte úroveň hackerů. Kdo je top?

Amerika, Čína, Rusko.

A Izrael?

Ano. Izrael má největší koncentraci těchto bezpečnostních firem a IT bezpečnostních firem.

A Británie třeba?

Také. A stejně tak Francie, Německo je také na úrovni. Všichni mají tajné služby na úrovni. Izrael je špička, na to jak je to malá země. Samozřejmě USA, Rusko, Čína.

A je to opravdu jako v některých filmech, kde si čtrnáctiletý kluk hraje doma s počítačem a najedou jim to v NSA nebo v CIA začne blikat. Hned ho někam odvezou, zavřou někde v Langley? Je to tak?

To nevím, ale znám lidi, kteří byli extrémně šikovní a nadaní a dokázali dělat všechny takové věci v relativně nízkém věku. Hacknout nějaký státní portál by pro ně nebyl žádný problém.

Mně někdy napadá, že je dnes jednodušší útočit třeba na elektrárnu, jadernou elektrárnu, a způsobit blackout. Kdyby Čína chtěla zaútočit na nějaké velké americké město… Ovlivňovali třeba podle Vás Rusové americké prezidentské volby?

Rusové na to mají prostředky a kapitál. Speciálně Rusové, ruská propaganda je extrémně sofistikovaná a podstatně účinnější než propaganda jiných států. Říkám to na základě toho, že jsem byl v Rusku a můžu to porovnat. Tam je velmi intenzivní plošný brainwashing. Je na extrémně vysoké úrovni.

Je to cílenější? Jaká je tedy Vaše konkrétní zkušenost?

Náhodně jsem se bavil s vysokoškolsky vzdělanými lidmi v Moskvě a čekal bych, že mají nějaký rozhled. A všichni byli například proti homosexualitě. To mi ve 21. století přijde úplně zvláštní. A to je výsledek intenzivního, velmi úspěšného brainwashingu. Takových věcí je samozřejmě víc. Teď například hodně cestuji, jsem  kosmopolita,  a vnitřně se neztotožňuji s žádným státem. Možná tak jen s lidskou rasou. A speciálně sleduji a uvědomuji si různou míru nacionalismu v různých zemích. Existuje graf zachycující, jaká je ochota lidí umírat ve válce za svou zem ve válce. Nejmenší je to v Německu, oni fakt už nechtějí umírat ve válce za nikoho. A nejbrutálnější procenta byla v Rusku a na Ukrajině. Tam jsou fakt ochotní vzít zbraň a jít do boje. Ještě v Čechách je švejkovská tradice, ale jak jdete víc na Východ, tak už na Slovensku je nacionalismus větší a lidé jsou víc ochotni umírat za vlast. Pro mě je to úplně hrůzostrašné..

Jak třeba Islámský stát (ISIS) a jiné teroristické frakce využívají hacking. Ne tedy že někdo vezme auto a najede do lidí. Jak skrývají svoji komunikaci?

Určitě. Používají Telegram a možná i Signál. Funguje havala. Nemají žádné velké experty. Úroveň jejich IT bezpečnosti je neporovnatelná s USA. Navzdory tomu, že v USA rezonují velké leaky, whistlobloweři jako Snowden atd., „operační bezpečnosť“ ISIS se nedá porovnat s USA Je nízká. ISIS je podle mě extrémně dobrý ve využívání internetových technologií na „hirování“ nových lidí a na marketing. Speciálně nerozhodnutých lidí, kteří mají nějaké osobní problémy. Dokáže je oslovit, mají twitterové kanály přes něž „hirují“ lidi. V tom jsou celkem dobří. Mají anonymní účty, je to těžké vytrackovat. .

Pokud byste měl porovnat Česko a Slovensko. Jak silná je bitcoinová komunita ve srovnání se světem?

Teď to bude znít hrdě a pyšně, ale myslím si, že i díky Paralelní Polis se Praha stala minimálně středoevropskou, když ne evropskou mekou kryptoměn. Jsou tu světově úspěšné bitcoin firmy jako SatoshiLabs,  General Bytes, bitcoin a litecoin bankomaty, hodně bitcoinových geeků, investorů a firem, které to velmi řeší. Praha překonává světové metropole, jako je Londýn atd. Krypto tady opravdu „frčí“. Jsem z toho úplně nadšený. Znám spoustu lidí, kteří se stahují ze Švédska nebo různých zemí a přesně kvůli tomu jezdí do Prahy.

Když se vrátíme ke srovnání Česka a Slovenska?

Navzdory tomu, že je tu EET a relativně vysoký stupeň ekonomické diktatury, to je ale teď v celé Evropě. Ekonomická svoboda je v Evropě celkem nízká v porovnání s jihovýchodní Asií, ale úroveň osobní svobody je tady vysoká. Můžete fakt cokoliv říct, na kohokoliv nadávat. Už to není tak, že se někteří lidé unášejí nebo zabíjejí, jako to bylo v 90. letech na Slovensku. Osobní svoboda je tady velmi vysoká.

Jsem slovenský člen Ztohoven a můžu třeba říct, že i díky Ztohoven se v České republice plošně zvýšila tolerance české společnosti k různým projevům vyjadřování.  My na Slovensku Ztohoven nemáme a jsem si jistý, že za polovinu projektů, které jsme tady udělali, bychom tam šli natvrdo sedět. To by nikdo neřešil. A nejen na Slovensku, ale i v dalších zemích. Vždyť červené trenky to je věc, která byla relativně beztrestná. No, ale teď za to byli odsouzeni, stále to ale mohlo dopadnout podstatně hůř v jiných zemích. Česko je svobodná země, na Slovensku je to se svobodou trochu horší, ale korupce je podle mě intenzivní v obou zemích.

A co se týče Slovenska, tak byl jsem dost překvapený – měl jsem nyní přednášku v Bratislavě o moneru. A byla úplně přeplněná, v prosinci vznikne Paralelní Polis v Bratislavě. Už je tam dostatečný počet lidí, kteří to vnímají dost podobně jako tady. Kryptokomunita je velká, lidé mají potřebu řešit paralelní společnost.

Jsem voluntarista, takže si myslím, že jakékoli vztahy by měly být oboustranně dobrovolné. A protože jsem konzistentní voluntarista, tak nemůžu akceptovat existenci státu, protože to je jednostranně vynucený vztah. Mám dobrovolný vztah s mým zaměstnavatelem, mojí přítelkyní, ale se státem jsem do vztahu vpadl tím, že jsem se narodil. Interpretováno je to jako společenská smlouva, kterou nikdo nikdy neviděl a kterou jsme podepsali tím, že jsme se narodili na daném místě. Vnímám to jako jistou formu dědičného hříchu a mám s tím jednoduše problém.

Pavol Lupták (37) v roce 2007 založil slovenskou společnost Nethemba s.r.o., která se specializuje na penetrační testy a bezpečnost webových aplikací.  Stál při vzniku slovenského hackerspace Progressbar v Bratislave a pražského hackerspace Institute of Cryptoanarchy v Paralelní Polis, kterou založila skupina Ztohoven. Vede slovenskou OWASP pobočku (Open Web Application Security Project) a pravidelně jezdí přednášet na různé světové bezpečností konference. Své zkušenosti z IT a penetračního testování sbíral celých 18 let.

 

 

Napsat autorovi RSS

Vystudoval mediální studia na Fakultě sociálních věd Univerzity Karlovy. Pracoval v ekonomické a centrální redakci ČTK jako subeditor, později jako zpravodaj se zaměřením na energetiku. Jako šéfredaktor vedl zpravodajský server iUHLI.cz, který se zaměřoval na hnědouhelný sektor a energetiku. Je šéfredaktorem ekonomického a investičního portálu Roklen24.cz.



Přejít na diskusi

Přihlašte se, nebo zaregistrujte


Přihlásit se


Zapomněli jste heslo?




Pokud nemáte ještě účet, můžete si ho vytvořit zdarma.

Přihlašte se, nebo zaregistrujte

Tato sekce je dostupná zdarma pouze přihlášeným uživatelům.



Přihlásit se

Zapomněli jste heslo?




Pokud nemáte ještě účet, můžete si ho vytvořit zdarma.