Rozhovor s jedním z uznávaných odborníků v oblasti etického hackingu – Daniel Hejda, spoluzakladatel Cyber Rangers
Etický hacking se stal nedílnou součástí moderního světa, kde je stále větší potřeba ochrany citlivých informací a dat. Pokud se tedy zajímáte o to, jaké jsou výhody a nevýhody etického hackingu, jak ho správně provádět a co se vyplatí firmám, abyste minimalizovali rizika, určitě neváhejte a přečtěte si tento rozhovor.
Daniela Hejdu můžete také slyšet v podcastu KyberGuru od KPBI ve spolupráci se Středočeským krajem & VISKem (Vzdělávací institut Středočeského kraje), kde představuje téma testování pomocí aktivních metod a co je a není etické při plánovaném testu. Rozhovor si připravila manažerka prevence kriminality Veronika Kučerová.
1. Jaké etické zásady musíte během „hackingového“ projektu dodržovat? Jak postupujete při hledání zranitelností a slabých místech v systému?
„Vždy musíme dodržovat zejména smluvní závazky a co není ve smlouvě tak je v zásadě zakázáno.“
„Hranice jsou však stanoveny nejen smlouvou, ale i zákony, které nesmíme překročit, a proto mnoho z nás si musí být vědomo povinností, které máme.“
„Co se týká postupů tak záleží na tom, co je předmětem testování. K některým testům máme mezinárodní metodiky a postupy, ale některé testy jsou o našich interně zavedených postupech. U komplexnějších testů je potřeba velká dávka kreativity, a tak trošku jiného způsobu přemýšlení nad vlastnostmi produktů a služeb. Příkladem může být manipulace lidí, kterou daný člověk neočekává, případně pokus o vstup do budovy z místa, které ke vstupu běžných osob neslouží. Vždy to je o poznání daného systému, procesu, služby nebo části infrastruktury, která je předmětem testování.“
2. Jaké rady byste dal společnostem nebo organizacím, které se snaží zlepšit svou kybernetickou bezpečnost a zabránit tak potenciálním útokům?
„V první řadě je nutné si uvědomit co chráníme. Není možné ochránit vše, a proto existují přípustné ztráty, ale také části, bez kterých se náš obchod zastaví.“
„Musíme si uvědomovat co je pro nás klíčové a okolo toho stavět barikády ve formě různých protiopatření.“
„V první řadě bychom měli vědět co máme (inventura a identifikace našich klenotů), co potřebujeme (obchodní analýza), co znamená, když to nemáme (dopadová analýza) a co se může stát, že o to přijdeme (analýza rizik). Pokud máme toto všechno, pak můžeme přistoupit ke strategii kybernetické bezpečnosti a následně posoudit co a kdy máme zavést, koupit anebo upravit v naší organizaci.“
3. Kde berete inspiraci v oblasti informovanosti o nejnovějších hackingových technikách a trendech?
„Nejvíce se inspiruji čtením, posloucháním a hledáním informací v celé šíři internetu. Nejvíce se toho člověk dozví na Telegramu nebo různých podvodných fórech, ale člověk musí k informaci přistupovat obezřetně, protože ne všechno je pravda.“
„Každá informace by měla být vždy ověřena z 3 nezávislých zdrojů, aby ji bylo možné považovat za potenciálně pravdivou (to je běžný princip v novinařině myslím).“
„Také musíme neustále testovat a zdokonalovat se, tedy používáme mnoho placený platforem, kde se vystavují nové, ale i staré zranitelnosti, které se pokoušíme zneužít a tím získáváme znalost a zkušenost o způsobu, průběhu a dopadu při zneužití. Trénování je pro mě a vlastně pro celý tým minimálně 50 % času, který musíme investovat do sebe.“
4. Jakým způsobem přistupujete k tzv. etickým dilematům, která se mohou vyskytnout během projektu ve zkoumané problematice, a jaké kroky podnikáte?
„Etické dilema neexistuje. U nás platí, že co je psáno to je dáno a pokud je potřeba něco dokončit (pokračovat do systému dále například), tak vždy konzultujeme vše s klientem. Není možné zajít za hranici smluvního ujednání. Během testování se může stát, že narazíme na něco, co by mohlo být dosti zásadní ke zneužití a proti produkčnímu systému to nelze testovat, jelikož by mohl selhat. Z tohoto důvodu jdeme za klientem, probereme rizika a domluvíme, jak testování proběhne a zda jej zákazník chce. Někdy je snazší instalovat záplatu než se snažit za každou cenu zneužít nějakou zranitelnost a jindy je potřeba skutečné ověření a k tomu využíváme například testovací prostředí, kde se simulují zranitelné systémy a proti nim se pak zranitelnost testuje. Pokud však najdeme zranitelnost v produktu třetí strany (například veřejný emailový server) a zjistíme, že by mohlo být ohroženo více klientů danou zranitelností, tak kontaktujeme napřímo výrobce a pokoušíme se to s ním řešit ještě dříve, než zranitelnost oznámíme klientovi, abychom snížili míru ohrožení subjektu, který není předmětem testování. Výrobce pak má čas na okamžitou opravu, ale běžně se před zveřejněním dává ochranná lhůta 90 dní.“