Jak AI ovlivňuje hacking? Rozhovor s odborníkem Danielem Hejdou

Petra Javornická

Petra Javornická
18. 04. 2024

Jak AI ovlivňuje hacking? Rozhovor s odborníkem Danielem Hejdou

Firmy si ho najímají, aby otestoval jejich kybernetickou odolnost. Daniel Hejda ze Cyber Rangers je etický hacker, i když osobně tento pojem nemá moc rád. Jak jsou na tom s kyberbezpečností české firmy, jak hacking mění umělá inteligence a kde jednou našel administrátorská hesla?



V jakém stavu je v roce 2024 bezpečnost firem v Česku?

Situace se postupně zlepšuje. Nejen regulace, ale i medializace konkrétních útoků přispívá ke zvýšení firemních investic do kybernetické bezpečnosti. To je určitě dobře. Potíž je, že se často upřednostňuje opakovaný nákup nových technologických řešení před tím, aby se firmy věnovaly kyberbezpečnosti koncepčně, přizpůsobovaly její nastavení situaci nebo třeba trénovaly své lidi ve znalosti aspoň základních bezpečnostních principů.

Musím říct, že ve firmách narážím na spoustu bezpečnostních problémů. Zatím se nám v Cyber Rangers nestalo, že bychom měli v reportu, který posíláme klientům na konci našeho testování, méně než pět nálezů. Přičemž velkou část z těch věcí by šlo snadno opravit.

A navíc to ani nemusí být tak drahé, jen je potřeba mít někoho, kdo firmy danou oblastí provede a pomůže jim s nastavením a identifikací takzvaných low-hanging fruits, což jsou opatření s vysokým dopadem na bezpečnost, ale nízkými náklady, které lze navíc realizovat relativně rychle.

Co se v reportech objevuje nejvíc?

Nejčastěji se jedná o tzv. miskonfigurace, tedy chyby způsobené samotnými správci, pokud se bavíme o infrastruktuře. 

Méně časté jsou chyby výrobců softwaru. Hodně často se setkáváme se špatnými implementacemi technologie, které jsou už od prvopočátku nasazené tak, že jsou zranitelné proti mnohým útokům.

U webových aplikací jsou to nejčastěji zranitelnosti typu Cross-site scripting a hned poté bych řekl, že jde o možnost nahrát na server různé typy web shells, které umožní ovládání příkazového řádku serveru skrz internetový prohlížeč.

Bohužel se setkáváme i s mnohými problémy s autentizací, kdy je možné krást přístupy do aplikací nebo obcházet vlastní autentizaci v aplikacích, ale přiznám se, že to tahám spíše z paměti, protože si podrobné statistiky nálezů samostatně nevedeme a reporty ihned po předání a akceptaci zákazníkem mažeme s ohledem na bezpečnost (co nemáme, to nám totiž nemůže nikdo ukrást).


Přizpůsobují se firmy současným hrozbám i tím, že využívají služeb etických hackerů?

Spíš bych v souvislosti s firmami mluvil o penetračních testerech. Pentester volí podobné metody jako etický hacker, jen řeší i méně závažné zranitelnosti, které nemusejí mít přímý dopad na bezpečnost firmy, ale v případě propojení s nějakou další hrozbou může dojít k umocnění dopadu.

Etický hacker se snaží proniknout firemním zabezpečením a následně provádět operace tak, aby dosáhl předem stanoveného cíle. Tím může být identitní systém, účetní systém, data a různá úložiště, cloudy nebo třeba platební brány či seznamy kreditních karet. Nedochází tak k identifikaci všech zranitelností, ale jde se do hloubky. 

Etický hacking – nebo spíše Red Team Operations, jak se tomu říká v zahraničí – je o tom, najít různé cesty průniku, které se následně zabezpečují. Je to pro firmy trénink jejich obrany. Proto se tyto operace často opakují, aby se našlo co nejvíce cest, vyzkoumalo co nejvíce projevů a odladila se jak preventivní, tak i detekční a reakční opatření nejen technického charakteru.


Jaká je podle vás nejčastější bezpečnostní chyba?

Zaměřuji se hlavně na webové aplikace, perimetr a lidi. A téměř každá webová aplikace je zranitelná na Cross-site scripting (XSS), tedy na vložení škodlivého kódu.

Problém je přímé využití této zranitelnosti při Red Team cvičení, protože doručení kódu do aplikace může být složité, i když mnoho veřejně přístupných článků a údajných odborníků říká opak. Podobné názory ale zjevně nejsou postaveny na reálných zkušenostech. 

Velké nedostatky vidím taky v zabezpečení proti útokům Denial-of-service (DoS). Mnoho webových aplikací není nastaveno, aby odolalo i běžným aplikačním DoS útokům, protože se to prostě netestuje.


Narazil jste jako etický hacker na nějakou kuriozitu, zranitelnost, která vás pobavila?

Často je to spíš k pláči než k smíchu. Třeba když na serveru najdete soubor admin.txt a v něm přihlašovací údaje administrátora. Uvnitř stejného systému potom objevíte rodná čísla, adresy a další citlivé údaje sta tisíc osob.

Co mě zaráží hodně, je to, když se něco najde ve velkých systémech, které používají tisíce firem všude po světě. Například zranitelnost s možností spuštění libovolného kódu. Přitom tyhle systémy by měly být protestované skrz naskrz. Nechápu, jak tam taková chyba vůbec může být. 


Roste popularita cloudových řešení. Zaměřujete se i na testování bezpečnosti v této oblasti?

Určitě ano. Testování cloudu je nicméně specifická oblast vyžadující specifický přístup. Každý cloud je jiný a má své vlastní zranitelnosti. A vy tak musíte konkrétní cloud znát až do úrovně nastavení a implementace. Osobně si třeba nemyslím, že dokážete správně otestovat cloud, který jste nikdy nepoužívali.

Zrovna my se zaměřujeme na prostředí Microsoft 365 a Azure, protože Amazon Web Services nebo Google Cloud neznáme a nikdy jsme v těchto službách nic neprovozovali.

 

Jaké trendy v hackingu momentálně pozorujete?

Jako zásadní téma vidím velké jazykové modely (LLM), které teď firmy živelně zavádějí do všeho, co provozují. Chybí regulace a jen málo firem se soustředí na testing LLM, obvykle jdou rovnou po hlavě do adopce, což způsobuje problémy na mnoha frontách. Nejenže mají systémy postavené na LLM své zranitelnosti, ale mohou velmi snadno vyzrazovat informace o souborech, které jim slouží jako znalostní báze.

„Zlým“ hackerům může necenzurovaný jazykový model snadno posloužit k překračování všemožných etických hranic. Pokud je jeho znalostní báze postavena na dobrém základu, mohou mít v ruce velmi silnou zbraň. S tím je nutné něco dělat. 


Už s tím ti „zlí“ hackeři nějak aktivně pracují?

Zatím hlavně testují, co umělá inteligence dokáže a jak ji můžou využít. Už se nicméně můžeme setkat s nástroji založenými na necenzurovaném jazykovém modelu, které vypadají velmi slibně – byť je jejich trvanlivost nízká a spolehlivost využití ve smyslu autonomních útoků malá.

Mnoho z těchto nástrojů funguje coby asistent pro přípravu útoku, kterého ale stejně musí operátor korigovat. Snadno by se mohlo stát, že o sobě útočník neopatrnou manipulací s LLM prozradí informace, které vyšetřovatele dovedou k jeho odhalení. To nikdo z hackerů nechce, a možná proto jsou zatím ve využívání LLM opatrní.

Samozřejmě: média jsou schopna se chytit jakéhokoliv příspěvku na hackerských fórech a vytvořit z něj velkou kauzu, ale tyto články jsou přehnané a ve výsledku jen zmnožují obavy a posilují propagandu „zlých“ hackerů.

AI už nicméně začínají využívat různí podvodníci. Nechci jim říkat hackeři, protože nic nehackují, jen přicházejí s běžnými podvody. Roste počet videí, případně voice botů, kteří se vás snaží obrat o peníze.



Máte v oblasti etického hackingu nějaký vzor?

Postupně jsem zjistil, že lidi, které jsem dřív sledoval, jsou spíše mediálními hvězdami než hackery. A tak se v našem týmu inspirujeme hlavně navzájem. Nicméně mnoho inspirativního materiálu je k nalezení v rámci různých YouTube kanálů. Mám pár youtuberů, kteří mi dávají zajímavý obsah a zdokonalují mě v kritickém myšlení, nezbytném pro mou práci.

Co si myslíte, že je největší omyl, který se mezi lidmi traduje o etickém hackingu?

Lidi si pojem etický hacking neumějí vyložit. I proto se mu snažím spíš vyhýbat. Jsme pentesteři, redteameři a bug bounty hunteři a doufám, že se tyto pojmy v našem prostoru postupně uchytí víc. A to i v našich materiálech, etických kodexech a závazcích, kde veřejnosti říkáme, co a jak děláme.

Lidi se mě vždycky ptají, jaký je rozdíl mezi etickým a neetickým hackerem, ale to lze jen velmi obtížně posoudit, natož vysvětlit. Dlouho jsem se domníval, že tím rozdílem je smlouva, ale nemusí tomu tak být vždy, existuje i dobročinný hacking, kde smlouvu nemáte.

Co si z rozhovoru odnést?

  • Etický hacker hledá různé cesty, jak se dostat do firemních systémů, aby je následně pomohl zabezpečit.
  • Daniel Hejda vidí velké nedostatky v zabezpečení webových aplikací proti Cross-site scriptingu (XSS) a útokům Denial-of-service (DoS).
  • Podle Hejdy se firmy pracující se systémy postavenými na velkých jazykových modelech (LLM) málo soustředí na jejich testování.
  • AI zatím více než klasičtí hackeři využívají různí podvodníci. Roste počet videí, případně voice botů, kteří se nás snaží obrat o peníze.
Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
6 tipů na to, co udělat před dovolenou a jak zůstat v bezpečí na cestách

6 tipů na to, co udělat před dovolenou a jak zůstat v bezpečí na cestách

6 tipů na to, co udělat před dovolenou a jak zůstat v bezpečí na cestách
8 pravidel, se kterými ve firmě zavedete politiku bezpečných hesel

8 pravidel, se kterými ve firmě zavedete politiku bezpečných hesel

8 pravidel, se kterými ve firmě zavedete politiku bezpečných hesel
Poněkud drahý teambuilding. Jak firma přežila útok ransomwarem LockBit

Poněkud drahý teambuilding. Jak firma přežila útok ransomwarem LockBit

Poněkud drahý teambuilding. Jak firma přežila útok ransomwarem LockBit
ChatGPT nemusí vědět všechno. Která data rozhodně nesdílet s modely AI?

ChatGPT nemusí vědět všechno. Která data rozhodně nesdílet s modely AI?

ChatGPT nemusí vědět všechno. Která data rozhodně nesdílet s modely AI?
QR kódy: nová hrozba, na kterou si dejte pozor

QR kódy: nová hrozba, na kterou si dejte pozor

QR kódy: nová hrozba, na kterou si dejte pozor
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň