Článek
Článek si také můžete poslechnout v audioverzi.
Myslí jako útočníci, chovají se jako útočníci. Hledají zranitelnosti, které následně zneužijí, aby se dostali k potenciálně zneužitelným informacím. Škody ale nepáchají. Ti, na které cílí, jim za to ještě rádi platí. Co dokážou etičtí hackeři zjistit a jak vypadá jejich práce, popisuje pro SZ Byznys Vojtěch Sláma, odborník na kybernetickou bezpečnost a šéf etických hackerů Citadelo.
Co všechno dokáže etický hacker zjistit o lidech jen za pomocí veřejně dostupných informací?
Etický hacker může za pomocí veřejně dostupných informací, techniky zvané OSINT (Open Source Intelligence), zjistit mnoho osobních údajů. Adresy, telefonní čísla (osobní i firemní), informace o zaměstnání (kde pracujete, jak dlouho, na jaké pozici, jaké máte kolegy a jaké s nimi máte vztahy), rodinné vztahy.
Lidé často zveřejňují mnoho informací na sociálních sítích, a to včetně vašich fotografií, tudíž i váš vzhled, styl. Vaše stravovací návyky, vaše koníčky, ale třeba i kdy a kam jedete na dovolenou.
Jak tyto získané informace mohou pomoci podvodníkům, kteří se nás třeba snaží okrást?
Etický hacker tyto informace využije výhradně se souhlasem klienta, nebezpečí je, když se k takovým údajům dostane ten „zlý“, takzvaný black hat hacker. Ten, například když bude chtít infiltrovat nějakou firmu, velmi snadno najde, kdo v ní pracuje, jaké má návyky, koníčky, rodinné vztahy. To vše pak může použít k mnoha úkonům – může snáz uhodnout vaše hesla, může zjistit vaše zranitelnosti, slabé stránky a dostat se skrz vás k vaší organizaci.
Nejenom, že útočník může vytvořit váš falešný profil, může vytvořit takový profil i vašeho kolegy nebo šéfa, a to včetně hlasu. Hlasem vašeho šéfa vám potom může volat a požadovat od vás citlivé informace nebo hesla. Nebo vám dokonce řekne, ať zaplatíte fakturu, kterou vám poslal mailem – peníze však jdou například hackerovi nebo organizaci, která ho najala.
Dojít ale může i k fyzickým krádežím. Když se na sociálních sítích pochlubíte fotkami z pláže a řeknete, že vás ještě čeká několik dní sluníčka, můžete se vrátit do vykradeného bytu. Informace o finanční situaci jedince zase mohou být zneužity pro investiční podvody nebo přesvědčivé falešné investiční nabídky.
Existence na internetu nikdy není bez rizika
Jak se má člověk pohybovat na internetu svobodně, využívat sociální sítě, ale zároveň se chovat zodpovědně?
V dnešní době je téměř nemožné navigovat internetem bez jakéhokoli rizika, ale existují způsoby, jak toto riziko co nejvíce snížit. Říkáme tomu digitální hygiena. Každý uživatel by si měl uvědomit, co je nezbytně nutné sdílet online.
S příchodem pokročilých a stále dostupnějších AI technologií, které umí vytvořit přesvědčivé deepfakes ze selfies a videí, bychom měli být obzvláště opatrní s tím, co o sobě na internetu zveřejňujeme. A to platí nejenom o nás samotných, ale například i o našich blízkých a dětech. Obecně platí, že čím méně osobních informací sdělíme na sociálních sítích, tím lépe pro naši online bezpečnost.
Digitální hygiena podle Vojtěcha Slámy
Udržování tzv. digitální hygieny je klíčové pro ochranu vaší online identity. Informace, které sdílíte např. na sociálních sítích prostřednictvím fotografií a videí, mohou potenciálním útočníkům poskytnout cenné údaje.
Lidé si často neuvědomují, jak je jejich osobní digitální identita propojena s tou pracovní. Ačkoliv firmy chápou kybernetická rizika a chrání se pomocí zabezpečených sítí, antivirů, VPN a dalších technologií, když zaměstnanci používají stejné přihlašovací údaje pro osobní i pracovní účely, veškerá opatření na straně organizace mohou být k ničemu. Soukromé přihlašování na nezabezpečených veřejných WiFi sítích může vést k tomu, že přístupové údaje uniknou osobám, které by k nim neměly mít přístup. To může vést k získání nejen přístupu k osobním účtům, jako jsou sociální sítě, ale v horším případě i k citlivým informacím celé firemní infrastruktury.
Má se běžný člověk bát toho, že by se stal třeba cílem hackerského útoku?
Není třeba se vyloženě bát, ale určitá opatrnost je namístě. Lidé si často představují hackerský útok pouze jako dílo zlého hackera, který se snaží telefonicky vylákat osobní údaje nebo peníze, ale existuje mnoho typů kybernetických útoků. Ne vždy jste cílem jako jednotlivec, můžete se stát součástí složitějšího plánu, ať už jako prostředek k proniknutí do vaší organizace nebo jen jako jedna z mnoha obětí, jejichž osobní údaje byly ukradeny a prodány.
Zjistit, zda vaše údaje již byly kompromitovány, je možné na webu Have I Been Pwned. Stačí zadat váš e-mail a zjistíte, zda vaše e-mailová adresa figuruje v nějakém z mnohých úniků přihlašovacích údajů, možná prostřednictvím nějaké služby, kde jste registrováni a jejíž databáze byla zcizena hackery.
Soustředit se při kybernetické ochraně pouze na technologická řešení a opomenout lidský faktor je jako stavět nedobytnou pevnost, ale nechat otevřenou bránu.
Jaký dopad na firmu může mít chyba jednoho zaměstnance?
Jeden „běžný“ člověk však může ohrozit celé organizace, a to nejenom firmy, ale i státní infrastrukturu – například ministerstva či řízení letového provozu. Hackeři mohou využít identitu občana nebo také zaútočit na elektrárny, vodní přehrady a další. Všechny tyto útoky ale mohou začít prostou neopatrností či chybou jednoho člověka.
Cílem takových útoků může být například nedostupnost služby pro její uživatele, krádež dat, převzetí kontroly nad danou službou nebo také propaganda a šíření dezinformací. Stále častěji dochází k útokům zahlcením, tzv. DDoS (distr denial of service), které způsobí nedostupnost služby.
Zároveň je nutno podotknout, že hackerské útoky budou stále častější, a to jak na firmy, tak na jednotlivce, proto je velmi důležité se v tomto ohledu vzdělávat.
Zlepšuje se způsob, jakým si lidé chrání svoji bezpečnost? Protože propracovaných útoků alespoň v mém okolí přibývá. A to i ve formě falešných investičních reklam a podobně.
Řekl bych, že ano, vždy je ale co zlepšovat. Je skvělé, že se o této problematice mnohem více píše v médiích a veřejnost má zájem o bezpečnost na internetu. Jak říkáte, schopnosti útočníků se stále zlepšují, zároveň ale firmy i jednotlivci mají čím dále více možností, jak se jim bránit. Například právě penetrační testování a spolupráce s etickými hackery může firmám pomoci být před útočníky alespoň o půl kroku napřed.
Přestože zažíváme technologický rozmach, nejslabším článkem v kybernetické bezpečnosti zůstává člověk. Vzdělávání a školení zaměstnanců je účinným nástrojem, jak kybernetickým útokům předcházet a jak se jim bránit. Školení od odborníků na kybernetickou bezpečnost, jako je Citadelo, může firmám a jejím zaměstnancům výrazně pomoci.
Vás baví práce etického hackera? Snažit se lidi okrást, ale nic nevzít?
Práce etického hackera je pravým opakem nudy. K jeho práci totiž nutně potřebuje neustále se vzdělávat. V používaných technologiích, opatřeních zvyšujících bezpečnost, jako je například biometrie aplikací, na druhé straně samozřejmě v útočných technikách a dostupných nástrojích pro etický hacking, to vše se neustále vyvíjí a mění. Tempo vývoje navíc stále zrychluje, a to zejména s nástupem umělé inteligence. Pro etického hackera je tedy každý den v práci novou výzvou v boji za bezpečnější svět.