Etický hacker: Ľudia majú všade rovnaké heslo. Ak sa k nemu hacker dostane, môže ľahko získať aj ich platobné údaje (ROZHOVOR)

  • Milan Kyselica pracuje ako penetračný tester, teda odhaľuje skryté hrozby v systémoch
  • Vyhral prestížnu súťaž EY ESO, vďaka ktorej získal skúsenosti a kontakty
Milan Kyselica
EY
  • Milan Kyselica pracuje ako penetračný tester, teda odhaľuje skryté hrozby v systémoch
  • Vyhral prestížnu súťaž EY ESO, vďaka ktorej získal skúsenosti a kontakty

Jeho prácou je „napádanie“ iných webov a stránok a odhaľovanie ich zraniteľných častí. Podľa etického hackera Milana Kyselicu musí byť etický hacker často pár krokov pred tým neetickým.

„Jednou motiváciou je dobrý pocit, druhá vec je boj proti tým „zlým“, čo podnecuje neustále vzdelávanie sa a motivácia byť lepším. Neetický hacker má motiváciu len veľmi nízkoúrovňovú, napríklad to môžu byť peniaze alebo pomsta. Ak je etický hacker naozaj veľmi dobrý a zlepšuje sa, myslím si, že môže byť rovnako dobre zaplatený, ako ten zlý.“

Čo bol tvoj prvý „veľký hack“, pri ktorom si si povedal, že sa chceš venovať etickému hackingu?

Keď som dostal svoj prvý smartfón Android, tak som sa začal oň viac zaujímať. Našiel som fórum a aktívnu komunitu, ktorá ma doviedla k rootovaniu zariadenia. Získal som tak root access, teda administrátorské privilégiá.

Zrazu som mal pocit, že zo zariadenia, ktoré si človek kúpi limitované, vie v priebehu pár hodín urobiť zariadenie, s ktorým môže robiť čokoľvek. Objavil som, že tá vec bola nejako dizajnovaná a ja som to obišiel. Takých vecí potom pribúdalo.

Hacking je totiž o tom, pochopiť, ako daná vec funguje, hľadať v tom skratky a odhaľovať chyby.

Ako si sa potom dostal k väčším veciam a napokon k práci profesionálneho etického hackera?

Spomenutý telefón s tým do veľkej miery súvisí. Robil som niekoľko webov aj s použitím rôznych redakčných systémov (CMS) a okrem toho, že web musí fičať, musí byť aj bezpečný.

Keď som ich začal prvýkrát testovať, začal som si uvedomovať, aké sú tam chyby a začal som viacej zaujímať o možné zraniteľnosti na weboch. Čiže som začal weby stavať a potom ich ako keby búrať.

Čo bola najzaujímavejšia „diera“ v bezpečnosti, ktorú si kedy objavil?

Spomeniem dve zaujímavé. Jedna je nedávno nájdená zraniteľnosť, objavil som session hijacking v jednej zahraničnej, pomerne obrovskej finančnej inštitúcii. Znamená to, že hocikto sa môže prihlásiť do ich VPN bez toho, aby poznal prihlasovacie údaje a druhý faktor.

Takže útočník, ktorý našiel daný web na internete, sa vedel dostať do internej siete bez akéhokoľvek hesla, stačilo mu získať platnú session jedného z už prihlásených používateľov, čím prekonal aj druhý faktor.

Takto som získal prístup do internej siete finančného sektora bez akéhokoľvek hesla. To je asi najzaujímavejší hack, je to fatálna chyba.

Startitup PREMIUM logo
Tento článok je dostupný členom Startitup PREMIUM

(Zrušiť môžeš kedykoľvek)

Najnovšie video

Fontech

ĎALŠIE ČLÁNKY Z FONTECH.SK

Fontech