Nechajte si firmu eticky hacknúť. Profesionáli odhalia vaše slabiny

Rozsiahle hackerské útoky predstavujú pre každú firmu hotovú pohromu. Hoci každá si želá, aby jej IT systém dokázal odolať skutočným útočníkom, nie vždy sa to podarí. Ako prezrádza v rozhovore Tomáš Zaťko, riaditeľ firmy Citadelo, bezpečnosť a IT útoky sa neustále vyvíjajú.

Váš tím bezpečnostných špecialistov pripravuje pre klientov simulované útoky už od roku 2006. Ako sa za tých viac ako desať rokov zmenil trh v tejto oblasti a čo žiadajú firmy?
Zmenilo sa viacero vecí. Pred desiatimi rokmi málokto vedel o existencii takýchto služieb. Nepoznali pojem etický hacking. Dnes už ľudia čoraz viac rozumejú, že etickí hackeri im pomôžu zabezpečiť systémy pred útokmi zločincov. Taktiež sa menia technológie. Pred desiatimi rokmi sme v podstate nemali smartfóny. Dnes ich máme takmer všetci. Ďalším posunom je nasadzovanie počítačov v najrôznejších oblastiach života. V autách, priemyselnej výrobe, v inteligentných spotrebičoch, alebo aj maličkostiach ako je baby phone. Na to všetko je možné zaútočiť.

Etickí hackeri nájdené zraniteľnosti nahlásia prevádzkovateľovi, neetickí hackeri sa z toho snažia vyťažiť čo najviac. Ktoré typy klientov najčastejšie využívajú etický hacking?
Väčšinou ide o väčšie spoločnosti, pretože ide o nákladné služby. Ale mávame aj drobných zákazníkov, pre ktorých vieme pripraviť menšie balíky služieb. Z iného pohľadu sú to spoločnosti, ktoré sú aspoň v jednej z týchto kategórií. Buď priamo pracujú s peniazmi, teda napríklad banky. Alebo pracujú s osobnými či inak citlivými údajmi – napríklad spoločnosti v zdravotníctve. Taktiež firmy, kde by mohol byť ohrozený fyzický majetok alebo životy – teda tie, ktoré využívajú automatizáciu riadenú počítačovými systémami. A väčšinu z firiem spája kategória, že hackerský prienik by mal pre nich reputačné dopady. Zákazníci by im mohli prestať veriť. Často sú firmy vo viacerých kategóriách naraz.

Akým spôsobom funguje etický hacking? Máte zoznam najčastejších útokov a tie potom simulujete v každej testovanej firme rovnako?
V prvom rade záleží na tom, čo je cieľom testovania. Iné je testovanie mobilnej aplikácie, firemnej siete s počítačmi a servermi a iné je testovanie priemyselného systému. Niekedy testujeme úplne nové technológie, ako napríklad biometrický systém. V takom prípade musíme vymyslieť útok sami. Keď napríklad testujeme webové aplikácie, máme zoznam kategórií útokov, ktoré musíme otestovať. V jednej z častí testu používame hotové nástroje, ale to je iba malá časť práce. Tou hlavnou časťou práce je manuálne testovanie. Počas neho naši hackeri komunikujú so systémom a pokúšajú sa ho akoby vyviesť z miery tým, že ho dostávajú do rôznych chybových stavov.

Podľa čoho teda volíte správny typ hackingu?
Princíp hackingu je laicky povedané v tom, že hacker dokáže správnym využitím vybraných chybových stavov prinútiť systém, aby vykonával hackerove príkazy. Aby toto hacker dokázal, musí mať veľmi široké vedomosti o subsystémoch, rozumieť tomu, čo sa deje pod kapotou, taktiež musí vedieť programovať a rozumieť, ako fungujú siete a ich protokoly. Veľkú úlohu v tom hrá logika, predstavivosť´a správne tvorenie hypotéz. Totiž väčšinou je pre nás testovaný systém „čierna skrinka“, teda nevieme presne čo je vo vnútri a musíme to správne odhadnúť, aby sme sa dostali dnu.

Množstvo firiem využíva aj sociálne siete na propagáciu svojich služieb. Striehnu aj tam na nich nejaké nečakané nástrahy, ktoré viete odhaliť?
Ľudia žijú svoj každodenný život na sociálnych sieťach. K veciam z včerajšieho dňa, alebo minulého týždňa sa už nevracajú. Hackeri však áno. Sociálne siete sú pre hackerov výbornou zberňou informácií. Tie sa dajú použiť ako prípravný materiál na cielenie ďalších útokov. Sociálne siete sú výborný nástroj. Každý by si mal však dávať pozor na to, aké informácie na nich šíri a kto ich môže vidieť.

Poznámka redakcie: Rozhovor bol krátený pre účely webu. Celý ho nájdete v časopise Zisk manažment 10/2017.