Ľudia majú všade rovnaké heslo. Je to chyba, ktorá ich môže stáť veľký balík peňazí, hovorí etický hacker

28. júna 2022 o 10:23

Milan Kyselica pracuje ako penetračný tester, teda odhaľuje skryté hrozby v systémoch
Vyhral prestížnu súťaž EY ESO, vďaka ktorej získal skúsenosti a kontakty

Milan Kyselica pracuje ako penetračný tester, teda odhaľuje skryté hrozby v systémoch
Vyhral prestížnu súťaž EY ESO, vďaka ktorej získal skúsenosti a kontakty

Jeho prácou je „napádanie“ iných webov a stránok a odhaľovanie ich zraniteľných častí. Podľa etického hackera Milana Kyselicu musí byť etický hacker často pár krokov pred tým neetickým.

„Jednou motiváciou je dobrý pocit, druhá vec je boj proti tým ‚zlým’, čo podnecuje neustále vzdelávanie sa a motivácia byť lepším. Neetický hacker má motiváciu len veľmi nízkoúrovňovú, napríklad to môžu byť peniaze alebo pomsta. Ak je etický hacker naozaj veľmi dobrý a zlepšuje sa, myslím si, že môže byť rovnako dobre zaplatený ako ten zlý.“

Ako sa dostal k práci etického hackera
Čím v súťaži zaujal porotu
Na čom momentálne pracuje
Čo motivuje etických hackerov, keď zarobia menej ako tí druhí

Čo bol tvoj prvý „veľký hack“, pri ktorom si si povedal, že sa chceš venovať etickému hackingu?

Keď som dostal svoj prvý smartfón Android, tak som sa oň začal viac zaujímať. Našiel som fórum a aktívnu komunitu, ktorá ma doviedla k rootovaniu zariadenia. Získal som tak root access, teda administrátorské privilégiá.

Zrazu som mal pocit, že zo zariadenia, ktoré si človek kúpi limitované, vie v priebehu pár hodín urobiť zariadenie, s ktorým môže robiť čokoľvek. Objavil som, že tá vec bola nejako dizajnovaná a ja som to obišiel. Takých vecí potom pribúdalo.

Hacking je totiž o tom, pochopiť, ako daná vec funguje, hľadať v tom skratky a odhaľovať chyby.

Ako si sa potom dostal k väčším veciam a napokon k práci profesionálneho etického hackera?

Spomenutý telefón s tým do veľkej miery súvisí. Robil som niekoľko webov aj s použitím rôznych redakčných systémov (CMS) a okrem toho, že web musí fičať, musí byť aj bezpečný.

Keď som ich začal prvýkrát testovať, začal som si uvedomovať, aké sú tam chyby, a viac som zaujímal o možné zraniteľnosti na weboch. Čiže som začal weby stavať a potom ich ako keby búrať.

Čo bola najzaujímavejšia „diera“ v bezpečnosti, ktorú si kedy objavil?

Spomeniem dve zaujímavé. Jedna je nedávno nájdená zraniteľnosť, objavil som session hijacking v jednej zahraničnej, pomerne obrovskej finančnej inštitúcii. Znamená to, že hocikto sa môže prihlásiť do ich VPN bez toho, aby poznal prihlasovacie údaje a druhý faktor.

Takže útočník, ktorý našiel daný web na internete, sa vedel dostať do internej siete bez akéhokoľvek hesla, stačilo mu získať platnú session jedného z už prihlásených používateľov, čím prekonal aj druhý faktor.

Takto som získal prístup do internej siete finančného sektora bez akéhokoľvek hesla. To je asi najzaujímavejší hack, je to fatálna chyba.

Tento článok je dostupný členom Startitup PREMIUM