Papíroví bezpečnostní manažeři dávají firmám falešný pocit bezpečí, říkají etičtí hackeři v O2 CyberCast #3

Testujeme, konzultujeme, vzděláváme. Aby svět byl bezpečnější místo. Tak zní hlavní motto firmy Cyber Rangers, která se zaměřuje na etický hacking. „Provádíme ‚zlé‘ hackerské aktivity, ale v dobrém duchu,“ říká Daniel Hejda, jeden ze zakladatelů. „Dělali jsme správce, pracovali ve firmách i u dodavatelů. Kybernetická bezpečnost zaostávala všude. A hodně. Tak jsme si řekli, že chceme světu pomoci víc než jen nasazováním Windows serverů,“ glosuje vznik firmy druhý ze zakladatelů, Jan Marek.

„Bylo mi 11 let a lidi okolo sebe jsem štval tím, že jsem jim posílal SMS nebo mail bombery. Dřív to šlo, dneska by si s tím chytrý telefon poradil,“ vzpomíná Daniel Hejda, jak sám před lety jako puberťák zneužíval možnosti a mezery tehdejších technologií. I dneska takové mezery společně s Janem Markem hledá. V zabezpečení firem. A stále je nacházejí.

„Mnohdy ve firmách nefunguje ani základní hygiena. A kybernetická bezpečnost není jen o samotném zabezpečení, ale postavit jde jen nad něčím, co samo o sobě musí fungovat,“ shodují se v rozhovoru pro náš O2 CyberCast.

O2 CyberCast – podcast pro všechny, koho zajímá kyberprostor a jeho bezpečnost. Pořadem provází ředitel bezpečnosti O2 Radek Šichtanc. Tentokrát si povídal s Danielem Hejdou a Janem Markem ze společnosti Cyber Rangers, která se zabývá etickým hackingem.

V něm Radkovi Šichtancovi zodpověděli i otázky týkající se organizace hackerských skupin, insider threatu nebo pravděpodobnosti, že etický hacker přeběhne na temnou stranu síly.

Podcast si můžete poslechnout na Spotify, Apple Podcasts a Google Podcast, pokud preferujete video, najdete ho na YouTube. 

Níže nabízíme souhrn těch nejzajímavějších odpovědí:

Co by měl umět opravdu dobrý etický hacker? Potřebuje specifické vzdělání?

Jan Marek: Spíš než o vzdělání je to o přístupu. Člověk bude bojovat s větrnými mlýny a musí být připravený na to, že to, co věděl včera, je dneska už zase málo. Čeká ho neustálé vzdělávání, proto musí být dostatečně zapálený. Nejde fungovat v režimu „v osm přijdu, ve čtyři končím“.

Daniel Hejda: Taky musí mít silné soft skills. Jasně, musí vědět, jak to rozbít. Ale pak to taky vysvětlit a popsat. Napsat dobrý report a dobře se v něm vyjádřit, to je 50 % naší činnosti. Tohle klasičtí hackeři neřeší, těm jde jen o to rozbití.

A co různé bezpečnostní certifikace? Jsou dostatečným důkazem znalostí a dovedností, které případný zájemce o pozici etického hackera má?

Jan: Osobně bych certifikace rozdělil do několika kategorií. Část z nich je postavená čistě obchodně, marketingově. Slibují toho mnohem víc, než certifikace reálně obsahuje. Pak jsou tu certifikace, které kombinují teorii s praxí, nebo jsou jen o praxi. Po studentech chtějí přesně ty věci, se kterými se v praxi potkají, včetně reportu. Ty jsou dobré. A pak je tu třeba OSCP certifikace, která je technicky dobrá, ale říká mi o tom člověku především to, jak je odolný a jakou míru šílenství je ochotný podstoupit. Podle mě je na hraně užitečnosti, z pohledu nějakého časového horizontu, který na ni člověk má.

V poslední době pak vídám i dost „certifikací za účast“. Lidi je předkládají jako něco, co má prokázat jejich znalosti. A mnoho firem je tak vnímá, což je samozřejmě špatně. Jsou to všechny ty online kurzy, webináře, které jsou „certified“, ale někde pod tím je malým písmem „za účast“. Je to problém i pro účastníky, dává jim to falešný pocit, že něco umí.

Kybernetická bezpečnost se přirovnává k práci detektiva. Sami máte v názvu slovo rangers/strážci. Připadáte si jako detektivové, jako strážci?

Daniel: Při forenzním vyšetřování jsme opravdu detektivové, u pen testování je to především o hledání děr podle předem definovaných scénářů.

Jan: Občas si jako detektiv připadám, když zjišťuju informace od zákazníka. Forenzní vyšetřování je o zajišťování stop, ale také o diskuzi s lidmi, kteří často nepřiznají, co se stalo. Leze to z nich jako z chlupaté deky. A my musíme mnohdy přijít na to, co mezi řádky probublává, byť zákazník říká, že zrovna v této části systému se nic nestalo.

Daniel: Nám přitom otevřenost pomáhá v řešení. Čím je klient otevřenější při incident response a při forenzce, tím menší ztráta je na konci dne. Zatajováním, mystifikováním tratí jen zákazník, my totiž ztrácíme cenný čas. Lepší je říci všechno na rovinu. Nejsme pojišťovna, nejsme policie ani auditoři.

Lidí, kteří se v Česku věnují oblasti kyber bezpečnosti, je málo. Tohle se v posledních letech ozývá z trhu. Jak se na to díváte vy?

Jan: Záleží na kontextu a na tom, koho hledáte. Na trhu je přetlak firem, které nabízejí ofenzívní testování. A naopak nedostatek „Blue team“ lidí, kteří mají chránit organizace zevnitř. V mnoha firmách musí securitu zastat IT tým.

Těch exekutivců, kteří mají ruce, mozek a dělají kybernetickou ochranu je fakt málo. Ale lidí, kteří si chtějí o kyber securitě povídat, těch je zase docela dost. A bobtná to. Ve finále to pak končí tím, že takový „papírový manažer“ přijde s formulářem, odškrtá si stupidní otázky a firma z nich vyvodí závěr. Realita je ale zakopaná v detailech, které je potřeba vytáhnout. Přemíra papírových manažerů ubližuje, dává firmám falešný pocit bezpečí.

Přebíhají etičtí hackeři na temnou stranu síly? Tedy do oblasti klasického hackingu?

Daniel: Určitě se to děje, ale osobně jsem se s tím nesetkal. A pozor na to, že jsou tu i hackeři, kteří dělají tu nelegální činnost nevědomky. Živí se legální aktivitou typu „vyvíjím kryptografický algoritmus“ a vlastně ani nevědí, že jsou součástí nějaké trestné činnosti.

Jan: Přesně. Známe případy, kdy si hackeři najali pen testerskou firmu, která za ně dělala špinavou práci. Ta si to samozřejmě měla ověřit, i když figurovala jen jako subdodavatel. A pak je tu ještě další aspekt: Je tady mnoho a mnoho toolů, které demonstrují, jak se dá něco položit, a které se zároveň dají weaponizovat. Každý, kdo takový tool napíše, by si měl před jeho uveřejněním uvědomit, k čemu všemu se dá použít.

Jak vůbec vypadá struktura hackerského světa? Jsou hackerské skupiny nějak organizované?

Daniel: Míra organizovanosti se odvíjí od velikosti skupiny. Jsou tady velké ransomwarové skupiny, které mají široký záběr. Mají 24/7 portály, jsou dobře organizované. Můžeme u nich mluvit o interních odděleních a vlastně fungují jako běžná korporátní firma řádově s 20 až 50 zaměstnanci. Z nichž spousta vlastně ani neví, že pracují jako hackeři. Prostě si z volného trhu poptávají lidi na pozice pen testerů. Pak jsou tam samozřejmě i odborníci na kryptografii, specialisté na obcházení antivirů, odborníci na anonymizaci… Zkrátka jde o dobře organizovanou firmu, která vyvíjí software, který pak používá k útokům. A pak jsou tu jednotlivci. Takoví, kteří s vámi komunikují přes Proton Mail a chtějí pár tisíc výkupného.

Tyhle dvě skupiny se liší záběrem i cíli, po kterých jdou. Malí nedělají žádnou zpravodajskou činnost a využívají zranitelnosti, které se objeví. Velké společnosti s velkými zisky si svoje cíle vybírají. A volí firmy, u kterých si zjistili, jestli a kolik mají na zaplacení výkupného.

Jsou právě peníze tou hlavní motivací pro hackery?

Daniel: Na konci dne jsou za většinou aktivit opravdu finance. Myslím, že IBM k tomu má i výzkum, který říká, že hlavní motivací bývají peníze. Pak je to zpravodajství nebo poškození reputace. Další motivací může být aktivismus, tedy zase poškození něčí reputace nebo propagace nějaké konkrétní myšlenky. A jsou tu i „state sponsored“ skupiny, které zajišťují zpravodajství až kyberšpionáž v rámci států. Zjišťují, jak jsou na tom ostatní země z pohledu vojenského zajištění, patentů, výzkumu, vědy…

A co interní zaměstnanci a jejich zhrzenost jako motivace? Setkali jste se s tím?

Jan: Setkali jsme se s tím dvakrát, ale případů je určitě víc. Jenže ty firmy mají IT v takovém stavu, že vlastně ani nezjistí, že se něco stalo. A důležité je rozlišovat příčiny. Typicky to zaměstnanec udělat chce, protože je zhrzený výpovědí. Nesleduje zisk, ale chce jen škodit. Pak to může být zaměstnanec, kterému někdo vyhrožuje. A pak jsou tu zaměstnanci, kteří to dělají kvůli odměně.

A je důležité si říct, že řešením v tomto případě není, že mu přidáte 50 nebo 100 % na mzdě. Odměny se se v tomto případě pohybují v řádech stonásobků mzdy. A je vlastně nesmysl to řešit takto. Ve firmě by měl být především vyřešený přístup ke kyber bezpečnosti. A nejsou to nové přístupy, třeba takový zero trust koncept je tady třeba 15 let… Nebavíme se o implementaci řešení za miliony. Jsou to vlastně jednoduché věci.

Daniel: Každý zaměstnanec ve výpovědi znamená hrozbu. Obchodník, který si odnese data ze CRM. Ajťák, který si odnese všechny dokumenty, konfigurace, všechna hesla. Ve firmách dnes bohužel neexistuje ani základní hygiena. Když mi odejde IT správce, tak změním všechna hesla. To se neděje. Byl jsem u několika odchodů top ajťáků ve firmě a management na to vždycky nahlížel tak, že se rozcházejí v dobrém. Neudělali vůbec nic, čím by snížili riziko. A to, že se nic nestalo? Příště to může být úplně jinak…

Jan: Důvodem není, že by nevěděli, že to mají udělat. To ví přeci každý. Ale na spoustu věcí nám ve firmě řeknou: „O tomhle už se bavíme fakt dlouho, ale nemůžeme to udělat, protože se pak půlka věcí rozbije“. A v tu chvíli je ten problém úplně jinde. Kyber bezpečnost postavíte jen nad něčím, co samo o sobě funguje.

Jaká je podle vás budoucnost etického hackingu?

Daniel: Ti, co se tu zjevili za covidu, tak postupně odpadnou. Věřím, že profesionalita se vytříbí a udrží se jen ti, kteří tomu budou dávat opravdu hodně.

Jan: Etický hacking se výrazně promění. Jsou tu nové technologie, nové oblasti a i ty potřebují testování. Z pohledu „Blue team“ lidí se bude tlačit na technologie, které zastanou co nejvíce práce za lidi. Bude ale potřeba ověřovat a testovat, jestli to opravdu funguje. Půjde o takovou dvousečnou zbraň, chytré krabičky, které díky strojovému učení většinu vyhodnotí a vyřeší samy: Pro „modré“ to bude pomoc v podobě mnohem většího výkonu proti hackerům, zároveň ale nebudou moci říct, proti čemu a jak konkrétně je chrání.

Všechny díly O2 CyberCastu o kyberprostoru a jeho bezpečnosti najdete na YouTube, Spotify, Google Podcasts, Apple Podcasts a našem LinkedInu.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.