Za naboření do systému posíláme fakturu, říká etický hacker

Karel Miko
Karel Miko
Víte, co jsou to DoS a DDoS útoky? Trojské koně, phishing, ransomware, prolamování hesel? Co někomu zní jako tajné kódy z knížek žánru fantasy, je pro jiné lidi denní chleba. Na jedné straně jsou ti zlí, kteří se snaží narušit bezpečnost informačních systémů, na druhé straně hodní, kteří se tomu snaží zabránit. „My vám na to naboření dáme fakturu,” říká Karel Miko, etický hacker a penetrační tester, který byl hostem Interview Plus.

Miko vysvětluje, že na takzvaný etický hacking má dnes už tým lidí. „Zjednodušeně řečeno jde o hackování na zakázku. Zákazník, který potřebuje prověřit bezpečnost své aplikace nebo sítě, si nás najme. My se pak k němu zkusíme nabořit,” říká hacker, podle kterého jde nejčastěji o aplikace typu internetové bankovnictví.

Jak se pozná etický hacker od neetického? „My vám na to naboření dáme fakturu. Je to legální byznys se smlouvou, poskytneme v dohodnutém rámci, co jsme slíbili. Jsme omezení, ale stojí to hodně na důvěře. Živíme se tím už sedmnáct let,” odpovídá Miko.

White, black a grey


Řada celebrit v této oblasti přišla z temné strany síly na tu světlejší. Obráceně je to možné taky, ale buď se o těch případech moc nemluví nebo je jich míň. Karel Miko

Vedle takzvaných White hat, etických hackerů a Black hat, kteří vysloveně narušují bezpečnost na internetu, existují i Grey hat, tedy jakási šedá zóna. „Hranice může být někdy blízko, nejde říct, kolik z nich je víc. Někteří hackeři jsou ale rozhodně někde mezi,” potvrzuje tester.

Podle Mika čítá v Česku komunita lidí schopných hackovat systémy desítky až stovky lidí „Řada celebrit v této oblasti přišla z temné strany síly na tu světlejší. Obráceně je to také možné, ale buď se o těch případech moc nemluví nebo je jich míň.”

Nejsnadnější cestou, jak mohou black hats zpeněžit své znalosti, je takzvaný ransomware. Takový program zablokuje obsah uživatelova zařízení a požaduje od něj za data výkupné.

„Poměrně slušný byznys je ale také v útocích na platební karty, těch oblastí je víc. Karetní asociace s nějakým počtem fraudů počítají, to je něco, s čím tu žijeme už dlouho,” říká Miko.

Počítač, klávesnice, hacker, psaní na počítači, na klávesnici (ilustrační foto)

Dva, tři přešlapy

Nejlépe zabezpečené systémy mají bankovní instituce. „Bezpečnost je tam tradiční problematika už hodně let,” vysvětluje expert, který se často setkává se se zákazníky, nad jejichž ochranou kroutí hlavou.

„Stává se to ve státní správě i soukromém sektoru. Nás si najímají firmy, které na to mají, ty služby jsou nějak drahé. Kromě banky a finančních institucí to budou zřejmě desetitisíce podniků, které my nepotkáme,” říká.

„Pořád se setkáváte s tím, že i znalí administrátoři používají slabá hesla, recyklují je. To, co všem uživatelům vtloukají do hlavy, dělají obráceně. Kolikrát vede kombinace dvou, tří přešlapů k tomu, že to je celé špatně,” vysvětluje etický hacker.

Složité heslo je dobrý nápad


Pořád se setkáváte s tím, že i znalí administrátoři používají slabá hesla, recyklují je. To, co všem uživatelům vtloukají do hlavy, dělají obráceně. Karel Miko

Ve Spojených státech je horkým tématem používání osobních emailů politiků ke služebním záležitostem. Podle Mika záleží, co v mailové schránce máte. „Když budete ministr nebo ředitel, tak si používáním osobního mailu k práci zaděláváte na problém,” říká.

„V řadě případů navíc porušujete svoje povinnosti, každý úřad má nějakou politiku, jak s informacemi nakládat,” dodává tester.

V loňském roce Českem otřásl únik mailů premiéra Bohuslava Sobotky (ČSSD), které zveřejnil krajně pravicový web. Jak jsou na tom s kybernetickou bezpečností čeští politici? „Například na ministerstvu zahraničí se drželi služebního mailboxu a nedopadli o moc líp. Je to na každém politikovi. Když je ta osoba exponovaná, měla by jí strana nabídnout dostatečné zázemí, experta nebo poradce,” odpovídá Miko.

Složité heslo k přístupu do emailové schránky ztíží hackerům práci. „Je to dobrý nápad. Když vám ale v emailu o něco jde, je dobré se zamyslet, jestli poskytovatel nabízí vícefaktorovou autentizaci,” tvrdí etický hacker a penetrační tester.