Petr Váchal: Hacking přešel od virů k psychologickým manipulacím a AI útokům
„Stejně jako se posunuly hrozby, by se měla posouvat i bezpečnost firem. Ta je ale v ČR až na pár oblastí stále v dost špatném stavu,“ tvrdí Petr Váchal, etický hacker s více než 10 lety zkušeností v kybernetické bezpečnosti.
Před 20 lety si stahoval warez a viry mu „hackly“ vlastní počítač. Dnes je z Petra Váchala uznávaný etický hacker, který se pohybuje na hraně mezi světem zločinu a obrany. V rozhovoru se podělil o znepokojující realitu současných kyberútoků – technologie se posunuly, lidská psychika a umělá inteligence se často stávají klíčovými nástroji útočníků.
Hrozby jsou stále sofistikovanější, a přestože se stále více firem i jednotlivců snaží chránit, odborníků na kybernetickou bezpečnost je pořád nedostatek. Co vše znamená být hackerem a jak se proti moderním hrozbám můžeme chránit my?
Pamatujete si, kdy jste poprvé „naboural“ nějaký systém, třeba jen ze zvědavosti? Co to bylo za moment a jak vás to ovlivnilo v budoucí kariéře?
Ano, byl to můj vlastní systém, protože jsem jako teenager samozřejmě stahoval kdysi dávno warez a sám jsem si tak hacknul, nebo spíše zaviroval počítač. To mě celkem vystrašilo, ale zároveň i nadchlo. Díky tomu jsem začal hledat informace o těhlech nekalých technikách. Nicméně před 20 lety toho na internetu moc k dohledání nebylo.
I tak jsem ale narazil na pár nástrojů a jako první nástroj jsem si vyzkoušel Cain&Abel, což byl v té době strašně super program na „hackování“. S tím jsem poprvé, tuším, že v 8. třídě základní školy, zkoušel různé „věci“, které ten program umožňoval.
Pokud byste měl vysvětlit dítěti, co to znamená být etický hacker, jak byste mu popsal svoji práci?
Představte si, že etický hacker je něco jako ochranka, ale místo zámků na dveřích kontrolujeme zámky na počítačích a sítích. Firmy a organizace mají různé systémy, které chrání důležitá data – třeba hesla, bankovní účty nebo citlivé informace. Ale žádný systém není dokonalý a může mít slabá místa.
Moje práce je najít ty slabiny dřív, než to udělají nějací zloději nebo hackeři, kteří by chtěli data ukrást nebo poškodit. Zkouším různé způsoby, jak se do systému dostat – jako kdybych byl jeden z těch zlých hackerů – jenže já to dělám legálně a s dovolením. Pak ukážu vlastníkům systému, co by měli zlepšit, aby byli v bezpečí.
související kurzy:
Ofenzivní bezpečnost a Red Teaming v praxi
Petr Váchal
Ethical Hacker BEMOP s.r.o.
Měl jste někdy příležitost čelit hrozbě, která byla natolik neobvyklá či závažná, že vás překvapila? Vzal jste si z ní nějaké ponaučení?
Že bych přímo čelil hrozbě, to se říci nedá, neboť nepracuju jako SOC analytik a podobně. Ale jinak těch hrozeb, které mě překvapily, je spousta. Každou chvíli přichází nové a nové hrozby a styly útoků.
Pokud pominu exploitace různých zranitelností, kde někdo udělal chybu již ve vývoji a problém stačí vyřešit aktualizací, vždy se snažím z hrozby poučit a sám je pak kolikrát využívám při testování systémů a lidí.
Jak se podle vás liší současné hrozby oproti těm, které byly běžné před pěti nebo deseti lety? Překvapuje vás něco na tom, kam se svět kybernetické bezpečnosti posunul?
Rozdíl mezi hrozbami tehdy a dnes je obrovský, a to jak z hlediska technologií, tak strategie útočníků. Když se podívám zpět na dobu před 10 lety, většina útoků byla více „přímočará“. Bylo hodně malwaru v podobě virů, červů a trojanů, které cílily na jednotlivce nebo firmy s primárním cílem způsobit chaos nebo krást data.
Phishing existoval, ale nebyl tak sofistikovaný. Ransomware teprve začínal získávat na popularitě. Dnes je kvůli AI technologiím hacking úplně jinde.
Co mě asi jako jediné překvapuje, je samotný přístup firem k bezpečnosti. Stejně jako se posunuly hrozby, by se měla posouvat i bezpečnost firem. Ta je ale v ČR až na pár oblastí stále ve špatném stavu.
Jak vnímáte roli AI v budoucích kyberútocích? Mohla by vést k tomu, že útoky budou ještě sofistikovanější a těžší odhalit?
To už se nyní děje. Phishingové e-maily už teď vypadají velmi dobře a je těžké rozlišit, zda psal e-mail rodilý mluvčí nebo to byl překlad AI. AI samozřejmě usnadňuje spoustu věcí a to platí i v hackingu. Nemusíte si pamatovat či dohledávat mraky informací, ale stačí vědět, jak se zeptat AI a ta vám ráda poradí, co dělat.
Hodně se mluví o lidské stránce kyberútoků – například o tom, jak útočníci využívají psychologii při phishingu. Je to podle vás větší hrozba než technické slabiny systémů?
Rozhodně. A to i s ohledem na dnešní generace. I když mohou mít systémy zranitelnosti, tak je často lze různými cestami eliminovat. To u lidí neplatí. Lidé jsou tvorové zvědaví, a tak vždycky, když budete vědět, jak na ně, máte vyhráno. To však neznamená, že se hrozbám vedoucím přes uživatele nejde nijak bránit, i když si to spousta lidí myslí.
Dnešní generace mladých navíc bezpečnost vůbec neřeší. Všichni zbrkle klikají, kam nemají, hledají informace i za cenu, že sami něco odešlou, každý by chtěl být influencer, takže mají často veřejné profily na sociálních sítích atd. To dává nejen hackerům ale i různým podvodníkům spoustu informací k útoku navíc.
související kurzy:
IT Security architect
Ondřej Fišer
Senior Security Specialist, Aricoma
Je na hackerských technikách něco, co vás i po těch letech nepřestává fascinovat?
Nepřestávají mě fascinovat dvě věci. První věc je ta, že často vám stačí pochopit koncept a vystačíte si s tím pěkně dlouho. Když to uvedu na příkladu – pokud se jednou naučíte obcházet bezpečnostní technologie jako EDR a antivir, tak i když vám ta technologie třeba za půl roku váš malware zastaví, víte, že stačí udělat pár úprav a pokračujete dále.
A ta druhá věc je samozřejmě vynalézavost útočníků.
Co by mohla Česká republika jako celek udělat lépe, aby se snížilo riziko kybernetických útoků na státní instituce?
Ve státních institucích obecně chybí lidé na bezpečnost. Samozřejmě nejčastěji je to způsobené stropem peněz, který se pak často řeší „více“ pozicemi najednou, aby se plat přiblížil alespoň na nějakou úroveň.
Tudíž určitě by mohla zrušit tabulky a posuzovat náročnost práce individuálně, což by vedlo k tomu, že by následně i ve státní sféře bylo alespoň nějaké množství odborníků. Říkám nějaké množství, protože když se podíváme například na certifikované manažery kybernetické bezpečnosti, tak zjistíme, že jich v ČR moc není.
Když se podíváte na stránku ISACA a vyjedete si seznam osob s certifikací CISM, tak zjistíte, že v ČR je to 32 lidí! Samozřejmě tu máme i další takové manažerské certifikace jako CISSP apod., ale ten počet certifikovaných lidí v ČR moc velký není a v hackingu je to podobné. Již několikrát jsem potkal společnosti, kde byli etičtí hackeři bez certifikací nebo jen s obecnými certifikacemi.
Samozřejmě certifikace není zárukou kvality, ale minimálně to vypovídá o nějakých znalostech.
Kdybyste měl jedním jednoduchým krokem poradit, jak se chránit online, co byste doporučil úplně každému?
Asi bych měl začít něčím jako – mějte antivir a dělejte X věcí, které se dozvíte na internetu.
Ale odpovím takto: Na prohlížení internetu a stahování souborů používejte virtuální počítač nebo sandbox.
Tohle když lidé udělají, mají slušnou šanci, že se jim do PC nic nedostane. Neříkám, že to nejde, ale je to jedna z cest, která odfiltruje právě třeba i ransomware zaměřený jen na konkrétní počítač. V takovém případě, kdyby uživatel stáhl a spustil takový ransomware, si zašifruje jen ten virtuální počítač a data mu přežijou. Virtuálku obnoví a jede dál.
Říká se, že nejlepší hackeři jsou ti, kteří dokážou myslet „out-of-the-box“. Máte vy nějaké oblíbené techniky na udržení kreativity a inspirace?
Ono někdy je fajn myslet out-of-the box, někdy je fajn myslet jako in-box. Záleží na úhlu pohledu a na konkrétní situaci. Každopádně pokud to vezmeme obecně, často se snažím na věci dívat z různých úhlů pohledů.
Kybernetická bezpečnost je dynamický obor. Jak se udržujete v obraze, když se všechno mění tak rychle? Doporučil byste nějaké své oblíbené zdroje a metody vzdělávání?
Je to těžké a i v bezpečnosti je už dnes spousta podoborů. Tudíž v první řadě se zaměřuji na konkrétní podobory. Pak samozřejmě sleduji globální věci v podstatě každý den ráno, když si sednu k počítači. Sleduji zdroje jako The Hacker News, BleepingComputer, dále pak sleduji komunity na LinkedInu a často i příspěvky kolegů.
Co se týče pak testování některých zranitelností a zlepšování skills, tak rozhodně doporučuji akademie jako TryHackMe a HackTheBox.
Jaké jsou podle vás největší mýty, které účastníci o etickém hackingu mají, když přijdou na váš kurz? A jak se případně jejich pohled během kurzu změní?
Tak to nevím, ale možná bych řekl, že si myslí, že je ten obor mnohem jednodušší, než se zdá. Myslím, že ale spousta lidí rychle pochopí, že to tak není.
Obecně ale platí, že si lidé myslí, že když jste hacker, tak se umíte za 10 minut nabourat například na letiště a zdarma si pořídit letenky. To tak opravdu není. Pak si často lidé myslí, že hacking je vždycky neetický, což také není pravda.
Pokud byste měl v několika větách shrnout, co účastníci po kurzu dokážou nebo jaké dveře jim kurz etického hackingu otevře, co byste jim řekl?
Tento kurz otevírá řadu témat, která je nutné znát ke složení zkoušek jako eCPPT, OSCP, apod., což jsou praktické zkoušky v oblasti hackingu, které jsou celosvětově uznávané. Určitě si nedovolím tvrdit, že po tomto kurzu si mohou účastníci dát rovnou jednu z těchto certifikací.
To bude chtít ještě opravdu velkou dávku času a tréninku, ale budou znát minimálně potřebné základy, budou vědět, na co se zaměřit a kde trénovat, a kromě různých zajímavostí se možná i dozví, jestli je to vůbec obor pro ně, protože v oblasti hackingu je opravdu spousta věcí k neustálému učení.
