Odborník na IT bezpečnosť: Zrušil som si všetky bankové účty, prešiel na kryptomeny a získal trvalý pobyt v Paname

Tému etických hackerov sme na našom portáli preberali už niekoľkokrát. V skratke ide o špecialistov na počítačovú bezpečnosť, ktorí svoje schopnosti nevyužívajú na preniknutie a ukradnutie cenných dát spoločností, ale na vyhľadávanie chýb a zraniteľností. Firmy im za nájdené nedostatky platia alebo rovno zamestnávajú.

V tejto oblasti podniká aj Pavol Lupták, ktorý je držiteľom prestížnych bezpečnostných certifikátov CISSP a CEH a založil spoločnosti Nethemba a Hacktrophy (spoluzakladateľ).

On sám hovorí, že s rastúcou digitalizáciou našich životov, je otázka digitálneho súkromia a bezpečnosti pálčivejšia ako kedykoľvek predtým. Venuje sa preto aj kryptomenám a využíva na svojich zariadeniach aplikácie založené na súkromí používateľa.

V rozhovore sa okrem iného dozvieš:

• Či si etických hackerov môžu dovoliť aj malé firmy a jednotlivci;
• Či je možné v dnešnom svete dosiahnuť úplnú anonymitu;
• Aký smartfón a notebook využíva a prečo sa z ohľadom na súkromie a bezpečnosť rozhodol práve pre tieto modely;
• Zoznam aplikácií, ktoré používa a nepoužíva na základné činnosti online

Pavol, ty si podnikateľ v IT bezpečnosti a máš niekoľko firiem, v rámci ktorých sa venuješ white hackingu. Majú o takéto služby slovenské firmy dostatočný záujem ak to porovnáš so zahraničím? Zaostávame alebo sme popredu povedzme od západných krajín?

Áno. S rastúcou digitalizáciou našich životov, je otázka digitálneho súkromia a bezpečnosti pálčivejšia ako kedykoľvek predtým. Naši klienti sú všetky spoločnosti, pre ktorých je ochrana súkromia či dát svojich klientov, tak kľúčová, že pokladajú za dôležité za to platiť a minimalizovať tým riziko potenciálneho zneužitia. Takže celý finančný sektor, mobilní operátori, e-shopy a vlastne všetky organizácie v oblasti Internetových služieb.

Záujem na Slovensku o takéto služby je približne rovnaký ako v Českej republike. V zahraničí je dopyt po službách IT bezpečnosti vyšší hlavne vo vyspelejších krajinách, kde je rozvinutý sektor služieb a existuje väčšia potreba ochrany údajov (to platí o celej Západnej Európe). Napríklad teraz sa snažíme presadiť v Latinskej Amerike, konkrétne v Paname a Kolumbii, čo je podľa nás ešte relatívne nerozvinutý trh, ale vnímame to ako veľkú výzvu.

Zaostalejšie krajiny majú výhodu, že je tam menšia konkurencia a väčšie šance na presadenie sa. To je častokrát dosť náročné, lebo trh s IT bezpečnosťou tam je príliš malý a treba ho pracne rozvinúť. Tohto sme svedkami napríklad s naším startupom Hacktrophy, ktorý je v Strednej Európe unikátny a na budovanie trhu s bug-bounty programami sme v tejto oblasti sami.

Na akej úrovni sa pohybujú platy, respektíve odmeny White Hat hackerov na Slovensku? Rozhodnutie či sa stane hacker tým dobrým alebo zlým, totiž záleží asi nielen od charakteru, ale jedným z veľkých faktorov budú určite aj peniaze.

Je to prudko individuálne. Od 1000 do 5000 € v závislosti od schopností a samotnej produktivity. Skutočne šikovní hackeri si na svetových bug bounty programoch dokážu zarobiť bez problémov aj 10000 € mesačne.

Čo sa týka zabezpečenia a penetračných testov systémov či aplikácií. Majú šancu si služby profesionálnych firiem najať aj menšie firmy a malí developeri? Je to pre nich ekonomicky dostupná možnosť?

Naše najlacnejšie penetračné testy začínajú na úrovni pár sto eur, v prípade Hacktrophy cenotvorba dokáže úplne závisieť od samotného zákazníka, takže si dovolím tvrdiť, že penetračné testy aj bug bounty programy si dokážu dovoliť už aj skutočne malé firmy. Hacktrophy je tiež využívaný fyzickými osobami na hľadanie zraniteľnosti v osobných weboch.

Vo svojich článkoch, rozhovoroch ale aj statusoch sa často dotýkaš témy anonymizácie a žitia v paralelnej spoločnosti. Čo to konkrétne pre teba znamená? A dá sa v dnešnom svete žiť úplne anonymne a mimo dosah štátu?

Posledných pár rokov sa stal zo mňa digitálny nomád (alebo tiež tzv. “perpetual traveller”), to znamená, že v žiadnej krajine nie som viac ako pár mesiacov do roka. Väčšinu času cestujem, zrušil som trvalý pobyt v EÚ, získal trvalý pobyt v Paname, zrušil som takmer všetky bankové účty a prešiel na kryptomeny. Zaobstaral som si globálnu SIM kartu Google FI.

Byť skutočne anonymný je extrémne ťažké v dnešnej dobe, obzvlášť, keď chceme interagovať so súčasným finančným systémom, ktorý tvrdo vyžaduje KYC/AML (proces overovania totožnosti  klientov, ktorý zahŕňa overenie totožnosti a adresy pomocou vládnych dokladov – vodičský preukaz, občiansky preukaz alebo pas. pozn. redaktora), reguluje a zakazuje používanie hotovosti nad istú sumu, či monitoruje prakticky všetky vykonané platby vo fiat svete.

SITA

Už len používaním mobilného telefónu/smartfónu, ktorý má každý z nás vo vrecku zasielame obrovské množstvo citlivých informácií (napríklad o našej polohe) spoločnostiam Apple/Google/Microsoft a sprostredkovane štátu.

Ak chceme žiť život so súčasnými výhodami modernej spoločnosti, tak žiť mimo dosah štátu je prakticky nemožné. Dá sa byť ale globálny a flexibilný, a využívať selektívne rôzne benefity rôznych štátov vo váš prospech. A o to a osobne snažím a stále v tom zlepšujem.

Aký smartfón používaš a máš nejaké špeciálne používateľské návyky ako je napríklad vypínanie smartfónu na stretnutiach? Súkromie ľudí sa totiž často skloňuje práve v súvislosti s využívaním smartfónu. Dva operačné systémy a pripojené služby, využívané drvivou väčšinou používateľov, pritom vyvíjajú giganti Google a Apple.

Momentálne používam Google Pixel 2XL (a v októbri sa chystám kúpiť Google Pixel 4XL) primárne vďaka podpore Google FI. Výrobcovia telefónov (Apple/Google/Microsoft) o vás štandardne vedia všetko a preto som dlhodobo fanúšik privacy-aware alternatívnej Android distribúcie Lineage OS (bohužiaľ na môj súčasný telefón ešte nie je preportovaná).

Screenshot / Marques Brownlee / YouTube

Väčší problém ako bezpečnosť Google produktov, je ich “privacy”, teda ako zabezpečiť, aby informácie z nich nedostával a nevyužíval Google. To sa dá bohužiaľ v obmedzenej miere, na úkor použiteľnosti samotného telefónu, ale napríklad spomínaný Lineage OS to zvláda celkom dobre (s knižnicou microg). Na telefóne používal prakticky výhradne šifrovanú komunikáciu (Signal, Threema) a tradičným mobilným hovorom/SMS správam sa snažím úplne vyhýbať.

Je mi ale jasné, že som bohužiaľ kompletne trackovaný – ako mobilným operátorom, tak Google-om a sprostredkovane ďalšími stranami, ktorým tieto informácie poskytujú (štát). Preto som si zaobstaral aj Android tablet, ktorý nemá GSM baseband (slot na SIM kartu), iba wifi a umožňuje mi vykonávať bezpečné Signal hovory bez toho, aby bolo možné zistiť, kde sa fyzicky nachádzať.

Tiež som si objednal RFID shield (faradayovu klietku) – obal na môj telefón, do ktorého keď ho dám, tak telefón úplne vypnem od akejkoľvek komunikácie. Zaobstaral som si tiež zrejme najbezpečnejší komerčne predávaný laptop na svete (Purism Librem) a rozbehol tam vysoko bezpečný bezpečný Qubes OS.

Dnes sa zdá, že dopyt po bezpečnejších aplikáciách a šifrovaných četoch rastie a ľudia začínajú byť všímavejší. Aké aplikácie bežne počas svojho dňa využívaš ty na četovanie, mailovú komunikáciu, prehliadanie webu či spravovanie financií?

Na chatovanie používam Signal a Threema. Na konferenčné šifrované hovory Wire. Na mailovú komunikáciu používam mailových klientov – mutt (môj Linux desktop) a r2mail2 (moje Android zariadenia). Všetku komunikáciu v rámci firmy kompletne šifrujeme PGP alebo S/MIME.

Okrem toho na súkromnú poštu používam ProtonMail.com. Na prehliadanie webu som začal používať Brave prehliadač. Na financie používam krypto peňaženky v segregovanom prostredí.

Máš nejakú známu aplikáciu, ktorú vyslovene nepoužívaš z hľadiska súkromia a bezpečnosti dát?

Na citlivú komunikáciu nepoužívam Facebook Messenger, Skype, Telegram, Google Hangout či tradičné mobilné hovory / SMS správy. Z technológii, ktoré sú z hľadiska bezpečnosti prekonané a neodporúčajú sa používať, sú napríklad Java applety či Flash. Preto sú štandardne v moderných prehliadačoch vypnuté.

Si odborníkom aj na kryptomeny, pričom v tvojich príspevkoch som zachytil, že Bitcoin označuješ za pseudoanonymnú menu. Ktorá je tá skutočne anonymná a v čom je medzi nimi hlavný rozdiel?

Pseudoanonymná kryptomena je mena, ktorá má verejný blockchain s verejnými (nezašifrovanými) transakciami. Napríklad Bitcoin (Bitcoin lightning network toto už rieši). Pri spárovaní danej transakcie s identitou vo fyzickom svete, je možné častokrát deanonymizovať aj ďalšie krypto transakcie. Čo napríklad býva spôsob odhalenie identít predávajúcich/kupujúcich na kryptomarketoch.

Skutočne anonymná kryptomena je napríklad Monero alebo Zcash. Disponuje vlastnosťou “fungibility” (vzájomná zameniteľnosť), čo znamená, že jednotlivé coiny nemajú žiadnu transakčnú históriu a navzájom sú zameniteľné, teda rovnaké. Preto sa skutočne anonymné kryptomeny tiež nazývajú tiež “digitálna hotovosť”, kedže tradičná hotovosť, ako ju poznáme, má tiež vlastnosť “fungibility”.

Svet kryptomien zažil svoj doterajší vrchol počas konca roka 2017. Odvtedy Bitcoin a ďalšie veľké kryptomeny klesali na hodnote a teraz opäť o čosi vyrástli. Ako sa k tomu má stavať bežný človek? Sú kryptomeny niečo, čo budeme v budúcnosti bežne využívať a stále je tu priestor na investíciu do nich?

Ak sa niekomu na kryptomenách nepáči ich veľká fluktácia a volatilita, tak odporúčam použiť niektorý stable coin (napríklad DAI), ktorý zdieľa vlastnosti kryptomien a súčasne je decentralizovaným spôsobom naviazaný na americký dolár. Ja o svetlej budúcnosti kryptomien nepochybujem. Pochybujem ale o budúcnosti štátnych peňazí (preto ich používam a skladujem len v nevyhnutnej miere).