Dnes je pondelok, 26.október 2020, meniny má: Demeter
Čas čítania
8 minutes
Zatiaľ prečítané

Pavol Gabaj: "Tvárim sa ako zlodej."

september 20, 2020 - 14:00
MSc. Pavol Gabaj (29) je bezpečnostný konzultant. Radí klientom ako sa čo najlepšie chrániť pred hrozbami na internete, ktoré zasiahli celý svet. Do praxe uvádza konkrétne odporúčania pre firmy, aby si mohli efektívne nastaviť opatrenia obrany a tak predísť možným bezpečnostným incidentom. Testuje bankové systémy a ich zraniteľnosť a používa pri tom techniky, ktoré používajú aj reálni útočníci. Jednoducho sa legálne hrá na zlodeja s dobrým úmyslom, a ešte je a to aj zaplatený.

Priblížte nám v reálnych kontúrach náplň vašej práce.

V technickej oblasti robím to čo bežný hacker, ale s povolením firmy a výrazne obmedzeným rozsahom činností, ktoré môžem vykonávať. Má to veľké opodstatnenie, pretože klienta zvyčajne zaujímajú len chyby v tom-ktorom systéme ktorý chce otestovať. Okrem iného sa čiastočne venujem aj oblasti riadenia bezpečnostnej politiky. To je tá menej zaujímavá, ale  napriek tomu dôležitá oblasť. Ako príklad, to znamená že sa musia vytvoriť smernice, teda dokument ktorý určuje čo a akým spôsobom bude v danej oblasti fungovať, kto je za to zodpovedný atď. Je to preto, že keď dôjde k incidentu, každý by mal vedieť ako zareagovať a ako bude celé riešenie situácie prebiehať. 

Mám účet v banke a zlodej (hacker) mi chce z neho ukradnúť peniaze. Vy sa tvárite ako zlodej, aby ste našli cestu ako môžete moje peniaze ukradnúť? 

Presne tak. Používam rovnakú metodológiu, pristupovať môžem ale len k systémom ktoré boli vopred dohodnuté. V skutočnosti hľadám cestu, ako v krádeži zabrániť iným reálnym zlodejom. To je aspekt etického hackingu. Zdokonaľujeme a staráme sa o bezpečnosť. Problémy nastávajú najmä pri vykonávaní zmien v systémoch. Ak sa napríklad banka rozhodne pridať funkciu pôžičky cez internet banking do ich aplikácie, bezpečnostný konzultant testuje či sa v systéme pridaním tento funkcie nezaniesla aj nejaká nejaká zraniteľnosť. Nie vždy ide o priamu finančnú stratu, niekedy ide napríklad aj o to zistiť či daný systém nezobrazuje aj dáta čo by nemal, alebo napríklad či nie je možné získať osobné údaje užívateľov. 

Kupujem si dovolenku v cestovnej kancelárií a pracovníčka si zapíše moje údaje do svojho počítača. Pracujete aj na tom, aby sa na čiernom trhu neobchodovalo s osobnými údajmi?

Našim cieľom je minimalizovať riziko. Aktivita bezpečnostného konzultanta by mala napomôcť prevencii situáciám kedy by mohli dáta uniknúť. Môže to byť vo firme, ale aj pri  jednotlivcoch. V kreditnej agentúreEquifax unikli v roku 2017 údaje o zhruba stopäťdesiatich miliónoch ľudí. Boli tam dátumy narodenia, adresy, čísla vodičských preukazov a social security numbers čo je ekvivalent k nášmu rodnému číslu. Celkovo to bolo obrovské množstvo údajov, ktoré sa dajú na čiernom trhu zneužiť. V mene okradnutých ľudí môžu zlodeji vytvoriť bankové konto či si dať vystaviť novú kreditnú kartu v ich mene. K finančnému profitu sa teda dá dostať aj nepriamo. 

Nepoznaná a zaujímavá práca. Dlho ste ju hľadali?  

Od malička ma fascinovali počítače a chcel som v tejto oblasti pracovať. Išiel som na vysokú školu do Veľkej Británie. Etický hacking a sieťovú bezpečnosť som mal obsiahnuté už v bakalárskom štúdiu a magisterské štúdium som vyštudoval na jednej z najlepších škôl ohľadom bezpečnosti -  Royal Holloway, University of London. Počas štúdia som stážoval aj pre BBC na oddelení informačnej bezpečnosti. Ponuku pracovať v tejto oblasti som dostal už počas posledného ročníka a rovno zo školy som šiel pracovať. Na trhu je nás veľký nedostatok. Musíme sa neustále vzdelávať, lebo útočníci zdokonaľujú svoje útoky, hráme sa na mačku a myš. Počítačové systémy nie sú jednoduchou záležitosťou, dosiahnuť priateľne bezpečný systém je náročná úloha. Absolútne bezpečný systém je zvyčajne aj absolútne nepoužiteľný, čiže musíme vždy zároveň nájsť rovnováhu užívateľskej prívetivosti. 

Musíte sa tváriť  ako zlodej v reále ste človek, ktorý chce krádeži predísť. Máte voľné ruky pri svojej práci?

Mám zviazané ruky a musím si dávať veľký pozor čo robím, lebo napríklad je veľmi nepríjemné ak by systém ktorý estujem, ktorý môže byť kritický pre danú prevádzku, padol. Systémy ktorých sa môžeme dotýkať sú jasné dané. Oproti bežnému hackerovi mám obmedzený čas aj rozsah. Klienta zaujíma len daný systém, funkcia alebo časť infraštruktúry. Ako zamestnanec dostanem konkrétnu úlohu a všetko je zmluvne podchytené. Používame rôzne techniky a nesmieme ich zneužiť, funguje aj silný etický aspekt.

Je o vašu prácu veľký záujem? Potrebujú si firmy chrániť si svoje údaje?

Povedomie o tematike bezpečnosti sa veľmi zlepšuje, firmy si uvedomujú dôležitosť tohto aspektu a stále viac sa zaujímajú o možnosti ochrany. Ešte pred 15-20 rokmi to tak vôbec nebolo. Finančné následky a najmä firemná reputácia donútila firmy konať a nájsť si na to rozpočet. Na svete je už aj legislatíva, ktorá ukladá povinnosti firmám v rôznych oblastiach. Ide o prácu s obrovskou perspektívou. Aj na Slovensku vzniká stále viac firiem zaoberajúcich sa etickým hackingom. 

Digitalizácia chodí čím ďalej tým viac aj do našich domácností, vaša pracovná prestíž prudko stúpa.

Áno, ľudia si začínajú kupovať senzory aj domov (senzor teploty, čistoty vzduchu, digitálna váha  alebo chladnička) a nemyslia na to že sú to vlastne malé do internetu pripojené počítače a ich ochranu. Boli prípady keď hacker hackol chladničku pripojenú na internet a odosielal z nej SPAM. 

Ktorýkoľvek hacker sa teda môže dostať do mobilného telefónu každého človeka?

To by som netvrdil. Ak máte mobilný telefón, robte si pravidelný up date, tým eliminujete jeho zraniteľnosti záplatami od výrobcu. Pre čitateľov by som odporúčal, aby nebol najnižšie visiacim jablkom, ktoré sa najľahšie zvesí zo stromu. 

Vaša práca mi evokuje vojenské prostredie. Ako vyzerá útok hackera, ktorý chce zaútočiť? 

Existujú rôzne postupy, ale bežný útočník, s ktorým sa človek môže na internete stretnúť, si nájde zraniteľnosť v softvéri. Nie všetci ľudia či firmy majú najnovšiu update verziu softvéru. Stiahne si exploit kód (kód, ktorý dokáže zneužiť zraniteľnosť) a skúša ho použiť. Väčšina počítačov mu to kvôli nainštalovanej záplate nedovolí, ale stane sa, že nájde aj pre seba vhodného kandidáta ktorý záplatu nemá. Konania hackerov sú rôzne, stáva sa, že zašifrujú všetky súbory alebo dáta so svojím kľúčom a požadujú výkupné. 

Vaša práca je pravdepodobne vašou veľkou záľubou.

Jednoznačne áno. 

A jej nepríjemná stránka?

Veľa firiem nás vníma ako nutné zlo, pretože bezpečnosť chápu ako niečo čo síce musia mať, ale nevidia za tým priamy benefit ako napríklad vyšší obrat. Neprilákame im hneď viditeľných zákazníkov a hodnota našej práce sa im dokazuje veľmi ťažko. Keď je bezpečnosť na dobrej úrovni nič sa nedeje. A zdanlivý pokoj môže pôsobiť na menežment firiem klamlivým dojmom. 

Systém - načo sú mi bezpečnostné dvere aj tak ma nikdy nevykradli?

To je dobrý príklad. A dať si ich namontovať po krádeži je neskoro. Najlepšie je mať zabezpečenú primeranú formu bezpečnosti vzhľadom na sektor, v ktorom firma pôsobí a podľa toho s akými dátami a klientelou narába. Z bezpečnosti a súkromia sa dá vybudovať aj dobré PR a firmy na to postupne prichádzajú. Keď investujú do bezpečnosti, môžu svojím užívateľom ukázať ako im na práci a užívateľskej bezpečnosti naozaj záleží.

Spätné väzby od klientov sú asi rôzne.

Vo veľkej väčšine sú vďační a radi, ak sme našli chybu a informovali o jej dopade. Veľmi výnimočne sa stretávame aj s iným prístupom. Firmy majú svoje zabehnuté postupy, firma si nás objedná, my prídeme a začneme im v nich nachádzať nedostatky. Zistíme zlé nastavenie atď. a oni teraz musia podnikať zmeny. Takéto zmeny nie vždy podnikajú radi, najmä, keď im to doteraz fungovalo tak trochu so šťastím že na tie veci doteraz neprišiel nikto so zlým úmyslom. 

Môžete našim čitateľom poradiť ako chrániť svoj počítač a údaje v ňom?

Základnou vecou je mať antivírusový program a updateovaný systém, to znamená nainštalované všetky aktualizácie. Rozumiem, keď menej technicky zdatný človek povie, že aktualizácia mu spomaľuje mobil, ale aktualizácia nie je len o nových funkciách. Zapláta aj bezpečnostné diery. Treba si dávať pozor čo a od koho si inštalujeme. Väčšina ľudí si sťahuje čokoľvek. 

Buďte opatrní pri emailoch a dávajte pozor čo v nich odsúhlasujete a kam dávate svoje údaje. V jednej firme sme mali SPAMový test, ktorý spočíval v tom že sme poslali email, pri ktorom sme sa tvárili, že sme nový benefitový systém danej firmy. Veľa ľudí kliklo a prihlásilo sa s ich firemnými údajmi, čiže sme nadobudli ich mená a heslá, ktoré sme mohli použiť v ďalšom kroku útoku. Využili sme ich na vstup do internej siete. Užívatelia nič nečítajú, len rýchlo klikajú a nesústredia sa. Tým pádom sú schopní nainštalovať si všetko možné. Pravdepodobnosť, že zo sto súborov, ktoré na internete nájdete, môže byť jeden infikovaný, nie je zanedbateľná. 

Chápem to tak, že svojim správaním na internete si do bytu vpúšťam celkom cudzieho človeka. 

Súhlasím. Veľa ľudí má počítač od firmy, ktorý ak nieje priamo ich majetkom nevnímajú ako svoj a o to menej sa o neho starajú. V rodinách bolo v minulosti bežné mať jeden počítač. Je rozumné do neho nastaviť istú formu ochrany, aby najmladší člen nepoklikal na všetko možné. A nevykonávať všetky úkony pod administrátorským účtom. V prípade útoku to vie obmedziť jeho dôsledky. 

Aký je stav bezpečnosti na Slovensku?

Vidím, že dochádza okrem iného aj k legislatívnym zmenám, takže tendencia je pozitívna. Rozhodne je čo dobiehať pri stredných a malých firmách, ale povedomie tu už existuje a neustále sa zlepšuje.  Rozhodol som sa vrátiť na Slovensko koncom roku 2018, lebo som cítil povinnosť priniesť sem svoje vedomosti a pokúsiť sa o zmenu.

Podarilo sa vám zmenu aj uskutočniť?

Najprv som bol trochu šokovaný, ale postupne vnímam zhodnotenie svojej práce, čo mi dáva zadosťučinenie a podporuje ma zostať doma na Slovensku. 

Zažívate počas pracovnej doby zábavné momenty?

Ale áno. Testovali sme pobočku jednej banky, s cieľom dostať sa dovnútra a na to ľudia potrebujú prístupové karty. Vonku pred bankou bol stánok s kávou a my sme sa s majiteľom dohodli, že zaplatíme zľavu pre ľudí z banky ak sa preukážu svojou kartou. Zistili sme ako karty presne vyzerajú, spravili si kópie a  keďže to boli smart karty, nefungovali nám. Keď sme prišli sebaisto k turniketu a zistili sme, že nás karta nechce pustiť, pán strážnik nás zavolal: „Poďte páni sem, tu si vybavíte novú“. Tak sme sa dostali k funkčným kartám na meno konkrétneho človeka, čo samozrejme bolo zaujímavým bodom na dodanej správe pre klienta. 

Povolanie bezpečnostného technika vznikla ako nutnosť dnešnej doby kedy je internet naozaj všade. Pri jeho vypnutí by ste o ňu prišli?

Nie nutne. Moja práca vznikla s pribúdajúcou zložitosťou počítačových systémov. Nie všetky systémy sú online. Internet dáva útokom len čerešničku na torte, dá sa útočiť aj na diaľku. Bezpečnostné problémy v rôznej forme existovali vždy len ich dopad bol menší. 

Existuje vo svete viac hackerov - zlodejov ako etických hackerov?

Odpoveď nie je jednoznačná, pretože kyber zločin začína byť globalizovaný a podľa najnovších štatistík má vyššiu výnosnosť a menšiu šancu na chytenie zlodeja ako pašovanie drog. Hlavnou hrozbou nie je interná hrozba v rámci krajiny, ale fakt, že skupiny hackerov nezaujíma koho napadnú. Chcú z útokov vyťažiť čo najviac a mať z toho čo najväčší profit. Tak ako každý zlodej. 

 

 

- - Inzercia - -