Můj USB klíč o tobě ví všechno

Juraj Bednár je etický hacker, zakladatel tří startupů a fanoušek kryptoměn. Dokáže hacknout téměř cokoliv, ale dělá to pro dobrou věc. O své netradiční práci přednášel minulý týden v UP21.

Juraji, co je etický hacking?

Je to způsob, jak ověřit nějaký systém za účelem zvýšení jeho bezpečnosti. Vždy se nejprve dohodneme se zákazníkem, hackneme ho, a potom mu navrhneme řešení, jak se chránit.

Dělá se tohle běžně?

Hlavně ve finančním sektoru a zdravotnictví je to velice rozšířené. Nevím o jediné bance, která by si dovolila spustit systém, aniž by ho předtím otestovala. V Čechách je podle mě tak pět firem, které umí etický hacking dělat dobře.

Jak to, že se podaří lidem hacknout stránku, která byla předtím ověřená?

Systémy se vyvíjejí a může se stát, že banka po půl roce něco změní a vytvoří se chyba, která tam předtím nebyla. Proto je dobré, aby se testovalo pravidelně a kontinuálně. Náš startup Hacktrophy třeba odměňuje lidi za to, když na webu najdou chybu.

Na co třeba přišli etičtí hackeři v poslední době?

V říjnu vědci z Masarykovy univerzity zjistili, jak prolomit bezpečnost klíčů slovenských občanek s elektronickým podpisem. Zabudovaný čip měl sice certifikaci od uznávaného německého výrobce, ale ani to mu bezpečnost nezajistilo. Průkazy se přestaly vydávat.

Jak se proti útokům můžou firmy a instituce chránit?

Podle mě je dnes důležitější schopnost rychle reagovat na bezpečnostní incidenty než se spoléhat pouze na prevenci. Způsoby útoků se totiž časem stále vyvíjejí a není možné na všechny dopředu přijít. Naše firma garantuje, že v systému nebudou známé chyby, ale nemůžeme vědět, jestli někdo nevymyslí něco nového.

Jak teda hledáte chyby?

Řídíme se jednou metodologií, která uvádí, jaké typy běžných děr existují a v momentě, kdy se najde nový typ chyby, tak je potřeba ho přidat. Tato metodologie se stále vyvíjí a nedávno vyšla její čtvrtá verze.

Myslíš si, že žijeme jenom v domnění o zabezpečení našich dat?

(smích) Jsem o tom přesvědčený. Když testujeme bezpečnost systémů, tak naše úspěšnost, že do nich pronikneme je 80-90 %.

Jsou běžně uživatelské systémy jako email a Facebook taky tak nezabezpečené?

Problém není ani tak v systémech jako v tom, že si lidé nechrání koncová zařízení. Kdybych se měl někomu dostat do Facebooku, tak vůbec neřeším Facebook, ale zjistím, jestli tomu člověku můžu poslat nějaký program, který si spustí nebo odkaz, na který klikne. Lidé většinou nedávají pozor a kliknou na cokoliv.

Jak bys je hackoval?

Použil bych techniku toho nejznámějšího hackera Kevina Mitnicka. Nezakládal si ani tak na technologiích jako spíše na sociálním inženýrství. Oblékl se jako poslíček, prošel se po firmě, posbíral dokumenty, a pak někomu zavolal a řekl, že okamžitě potřebuje přístupové heslo, jinak se něco stane a lidé na to dali. Je to velmi lehké. Kdybych ti teď dal USB klíč a řekl ti, že prezentace, kterou budu mít o čtvrté, je na tom klíči, tak ji vložíš do počítače, a to je všechno, co potřebuji. Znám velmi málo lidí, kteří by nevložili cizí USB klíč do počítače.

Předpokládám, že ty bys ho k sobě nikdy nevložil.

Já určitě nikdy. Je to jako sex bez kondomu s cizím člověkem.

Mohl bys na závěr dát nějaké doporučení, co dělat a nedělat?

Nepoužívat všude stejné heslo. Raději si hesla uložit do Password Manageru. Nemít jednoduchý pin a dávat si pozor, co otevírám a kam chodím.

Díky za fajn rozhovor.