Danieli, jste jeden z nejvýznamnějších a nejviditelnějších etických hackerů v České republice. Jak jste se k tomuto povolání dostal? Jestli se nemýlím, profesně jste začínal jako správce Microsoft produktů. Co bylo tím impulsem vydat se na cestu kybernetické bezpečnosti?
Daniel Hejda (CyberRangers): Děkuji, těší mě, že mě takto vnímáte. K hackingu jsem se dostal mnohem dříve, než jsem znal technologie Microsoftu. Konkrétně to bylo někde okolo mých 13 až 15 let života, kdy jsme se ocitl mezi přáteli se stejným zájmem a ze srandy jsme zkoušeli, co umí tzv. SMS a mail bombery, jak fungují vzdálené plochy anebo jsme si zkoušeli vytvářet krabičky pro phreaking, jako například Red Boxy pro vytváření tónů, díky kterým bylo možné volat z telefonních budek.
Osobně mě vždy zajímala tajemství a našel jsem v tom určité zalíbení, i když jsem to na několik let odložil. Musel jsem totiž jít pracovat a tenkrát nebylo moc možností se tím živit, respektive mě ani nenapadlo, že se tím budu jednou živit.
A jak se z bezpečnostního manažera, který jste také nějakou dobu byl, stane etický hacker? Jak jsou tyto úhly pohledu na informační bezpečnost a kybernetickou odolnost od sebe daleko?
Daniel Hejda (CyberRangers): Daleko určitě jsou, ale technická znalost je manažerům v zásadě ku prospěchu, protože na některé věci koukáte více reálně než jen teoreticky. Jako manažer jsem se musel starat o ochranu firmy ze všech možných úhlů pohledu, a to se moc nepodobá oblasti hackingu.
V roce 2019 jste spoluzaložil Cyber Rangers s.r.o., společnost, která se zaměřuje právě na etický hacking, penetrační testy, ale i obecně nastavování procesů pro zajištění kybernetické bezpečnosti či bezpečnostní školení. Jaký za ty roky vnímáte posun v zájmu českých firem o kybernetickou bezpečnost?
Daniel Hejda (CyberRangers): Za mě tu vidím posun v tom, že se o věcech začíná více mluvit. Média se tohoto tématu chytla skutečně významně, a tak už dnes i maminka na mateřské ví, co je to ransomware nebo DDoS. On také příliv popularity a poptávka na trhu vytvořily mnoho talentů, ale i ne-talentů, kteří se prezentují na všech možných sítích a věří, že najdou práci svých snů s velkým honorářem. Obecně se celé to téma posouvá kupředu a je stále více žádané. Takže řekněme, že se ze cyber security stal takový virál a snad každý (z nadsázkou) chce být buď youtuber / influencer nebo hacker. Firmy zase chtějí prodávat pentesty, cybersecurity nebo provozují SOC-as-a-Service, ale vlastně na to nemají lidi ani zkušenosti.
Na webu mj. píšete, že skutečné hackery nezajímá, jestli má organizace na papíře výborné procesy nebo ISO certifikaci, ale reálné fungování a schopnost reagovat na incident. Dokázal byste odhadnout, kolik firem, které se na vás obrátí, chtějí jen „razítko“, sepsání směrnic či certifikát, který ukážou svým klientům, a které chtějí kybernetickou bezpečnost doopravdy řešit? A jaký je tento poměr na trhu celkově?
Daniel Hejda (CyberRangers): To bohužel nevím, protože mnoho z nich nás už zná a vědí moc dobře, že u nás by s tímto nepochodili. Ti, kteří chtějí jen razítko, se na nás neobracejí a jdou raději někam jinam, kde mají jistotu, že jim dodavatel vyjde vstříc. My bychom s takovou firmou nechtěli spolupracovat, protože chceme dělat věci správně a jinak, než je dělají ostatní. A právě na tom si zakládáme v rámci Cyber Rangers.
Představme si malou společnost, která kybernetickou bezpečnost neřeší takřka vůbec. Končí třeba u nepříliš složitých hesel pro své zaměstnance, roky nezměněného defaultního nastavení informačních systémů a zastaralého školení. Čím by měla takováto firma začít, pokud by se rozhodla začít brát kybernetickou bezpečnost a odolnost vážně?
Daniel Hejda (CyberRangers): Podle mě by měla zjistit, co má a co chce chránit. Ani u velké firmy neochráníte vše a musíte si říci, co jsou „přípustné ztráty“. Až když víme co, tak se můžeme ptát jak. Tady by to bylo skutečně na dlouho, ale řekněme, že existují základy bezpečnosti, které by měl mít skutečně každý. My toto třeba řešíme často s malými i velkými firmami a vždy si s nimi sedneme, sepíšeme si to a pak se ptáme a hledáme něco, čemu se říká „low hanging fruit“ tedy opatření, která mají vysoký přínos za minimum nákladů.
Jak moc se organizace bojí najmout si etického hackera, který nejenže najde díry a slabiny v jejich systémech, ale často se dostane i k velmi citlivým, a snadno zneužitelným informacím? Co jejich obavy v praxi nejlépe snižuje, váš etický kodex, podepsané NDA, praxe a postavení na trhu nebo ještě něco jiného?
Daniel Hejda (CyberRangers): Nejvíc je to dle mého o reputaci specifické skupiny nebo firmy. Žádný papír vám nedá jistotu, že vám penetrační testy nebo využití etického hackera neublíží. A i kdybyste se soudili, tak reputace na trhu je často to nejdůležitější, jak vás vnímají zákazníci. V praxi samozřejmě podepisujeme poměrně silné smlouvy nebo NDA, ale já nejsem zastáncem papírů, i když je to nutné zlo. Reputace, kvalita a reference jsou tím, co by vám mohlo dát jistotu, že se vybíráte správně.
Podle mě se firmy moc nebojí zneužití, ale mají obavu z toho, že něco selže (systém spadne), nebo že dojde v důsledku nálezů k přehlcení interních lidí. Je to takový model pštrosa, co strká hlavu do písku. Když o problému nevím, tak jako by nebyl. A když už se to stane, tak dostaneme na řešení dané situace více peněz od majitelů, a proto počkáme a pak to budeme řešit. Vše ostatní má totiž paradoxně často vyšší prioritu než právě bezpečnost.
Jak jsou vaše nálezy slabin a zranitelností v praxi přijímány? Narážíte i na odmítání a negativní přístup ze strany interního IT či dalších útvarů, které si z různých důvodů odmítají připustit nedostatky a raději zpochybňují vaše nálezy či postupy? Nebo je nechtějí řešit z důvodů nedostatečných kapacit? A jak v takovém případě reagujete?
Daniel Hejda (CyberRangers): Přiznám se, že takovou situaci jsem nikdy neřešil. Co se občas stane, tak je klasifikace nálezu, tedy my hodnotíme podle kalkulačky NIST CVSSv3.1 a pak subjektivně. A zejména v té subjektivní rovině může docházet k rozdílnosti názorů. Vždy si necháme vysvětlit kontext a úhel pohledu druhé strany a pak třeba závažnost společně reklasifikujeme, nicméně hodnocení podle NIST CVSSv3.1 se nemění, protože vychází z jasně definovaných ukazatelů.
Pro zajištění kvalitních služeb musíte sledovat skutečnou kriminální komunitu, zjišťovat nové postupy a hrozby. Jaké vidíte trendy za poslední roky? Období před covidem, během covidu a nyní?
Daniel Hejda (CyberRangers): Osobně vidím to, že kriminální komunity nestíhají odbavovat možné cíle napadení. Od doby covidu to ještě stouplo, protože všichni jsou dnes na home-office a taktéž používají svá vlastní zařízení (BYOD), což otevírá celou řadu dalších možnosti k napadení společnosti. GenAI zase přineslo efektivitu a rychlost v možnosti provádět aktivity rychleji a rychleji vyhodnocovat získaná data. Představte si, že některé skupiny dříve procházely ukradená data ručně, aby mohly napadené společnosti dostat pod větší tlak ve formě dvojitého vydírání. Dneska ta data dají GenAI a jen se ptají, jaké informace jsou uvnitř. Na základě toho velmi rychle stanoví sensitivitu dat. Díky nástrojům generativní AI tak dokážou mnohem rychleji data rozdělovat na nepoužitelná (k volnému zveřejnění) a použitelná (připravena k dalšímu prodeji).
K podvodům v modelu B2C (klientské služby) bych se raději nevyjadřoval, protože tam je to opravdu hrozné a míra podvodů finančně motivovaných skupin je opravdu veliká. Tím myslím například reverzní inzertní podvody, investiční podvody, útok typu falešný bankéř, výhodná investice atd.
Jaký je nejčastější, resp. nejúspěšnější druh útoku? Technické prolomení zabezpečení, nalezení slabiny, nebo stále ještě útok zaměřený na konečného uživatele?
Daniel Hejda (CyberRangers): Nejčastěji je to chybné nastavení systémů, kde IT napáchalo zvěrstva. Všichni mluví o tom, že člověk je nejslabší článek, a myslí tím zejména phishing, ale není to tak úplně pravda. Spustit malware na běžně chráněném a aktualizovaném počítači je náročné, pokud by měl být doručen přes phishing nebo stažen z prohlížeče. Ukradení přístupových údajů taky nemusí být pro organizaci takový problém, pokud je útočník nedokáže využít. Vždy musí v celkovém sstému existovat slabina, díky které bude útočník schopen zneužít to, co od uživatele získal.
Dnes můžeme udělat systémy tak, aby bylo v zásadě jedno, že uživatel udělal něco, co neměl. Tím tedy nemyslím správce, privilegované uživatele nebo top management, u nich může být kompromitace identity skutečně velkým problémem.
S prováděním penetračních testů, v některých případech i testů na základě hrozeb ( red teaming), počítá i nařízení o digitální provozní odolnosti finančního sektoru (DORA), které bude účinné od ledna 2025. Jaká jsou specifika finančního sektoru, stav kybernetické bezpečnosti u finančních institucí a jakým specifickým hrozbám čelí?
Daniel Hejda (CyberRangers): Přiznám se, že s tímto segmentem teprve začínáme, a tak nemám příliš dat, abych si k tomu mohl udělat detailní obrázek. Věřím však, že již dříve existující požadavky a nařízení byla přímo úměrná minimálně zákonu o kybernetické bezpečnosti, a tyto společnosti jsou tak na danou situaci více připraveny. Myslím zejména banky a velké pojišťovny.
Je však pravda, že v režimu nařízení DORA budou i další společnosti, které kybernetickou bezpečnost dosud systematicky neřešily. Pro ně bude velmi náročné, aby se dostali do řízení bezpečnosti jako celku a začali řešit i testování, ať už formou cvičení jako v případě Red Teamu, tak aby začali řešit penetrační testování nebo zajistili dobrý proces vulnerability managementu. Problém bude představovat zejména finanční stránka věci. U nově regulovaných subjektů očekávám, že se k těmto otázkám dostanou v plném rozsahu dostanou tak za 2 až 3 roky, až vyřeší základní bezpečnostní standardy.
Jakou změnu do kybernetické bezpečnosti přináší umělá inteligence, ať už na straně útočníků, tak obránců? Jak moc a jak rychle podle vás změní nejen bezpečnost, ale i fungování informačních a komunikačních systémů, na kterých je závislá řada kritických odvětví?
Daniel Hejda (CyberRangers): To je velmi těžká a trefná otázka. GenAI přináší nový způsob práce se zaměřením na efektivitu, ale také přináší rizika ve formě lenosti a nedbalosti při ověřování si některých věcí. Samotné GenAI, respektive aplikace využívající GenAI, mají zranitelnosti, které si nikdo nedokázal představit a které se velmi špatně testují, protože jsou založeny na tzv. promptingu, tedy manipulace s promptem. Útočníci zjistili, že se ve spoustě věcí nedá GenAI věřit, a tak ji používají spíše tak, že jí zadávají obecné věci, jednodušší úkoly, které by jinak zajišťovali „junioři“ v jejich týmech. Stejně tak by to mělo být i v blue teamech, tedy na straně bránících se organizací.
GenAI určitě dokáže sepsat operační postupy, vygenerovat tabulky nebo transformovat data, případně udělat nějaké základní korelace, popřípadě vyřešit lepší detekce, ale neměli bychom se na ni příliš spoléhat. Chybovost zde může být skutečně velká a pramenící právě z nedbalosti, neznalosti a lenosti lidí, kteří GenAI využívají.
Daniel Hejda je red teamer, výzkumník, sociální inženýr a bezpečnostní konzultant s více než 15 lety praxe v oblasti IT technologií a 5 let v oblasti technologií OT. Zabývá se nejen audity, poradenstvím a testováním, ale také přednáší na předních českých konferencích. Zaměřuje se na penetrační testování, sociální inženýrství, zpravodajskou činnost a výzkum kybernetických útoků nejen státem sponzorovaných skupin (APT).
Cyber Rangers s.r.o. je skupina konzultantů, testerů a hackerů, kteří se zaměřují na ověřování funkčnosti bezpečnostních opatření nejen v České republice a na Slovensku. Naším cílem je vytvořit ve společnostech kvalitní obranné mechanismy, které předejdou kybernetickým bezpečnostním incidentům různého charakteru. Bezpečnostní řešení a návrhy jsou pravidelně ověřovány pomocí ofensivních technik, které vycházejí z postupů skutečných útočníků, zejména z postupů ransomware a státem sponzorovaných špionážních skupin.
