Mrzí ho, že pojem hacker má v spoločnosti negatívne konotácie. Nie všetci hackeri sú počítačoví kriminálnici, ktorí obchodujú so zraniteľnosťami digitálnych systémov. Hackerom je podľa neho každý, kto má hlboké znalosti v nejakej oblasti, obvykle v infotechnológiách: „Hackeri môžu byť aj biológovia, genetici či jadroví fyzici.“ Bezpečnostný expert Pavol Lupták tvrdí, že hackeri s etickými zásadami (whitehats) či politicky motivovaní hacktivisti nie sú tí, ktorých by sa firmy a bežní občania mali v digitálnom svete obávať.
Správy o únikoch citlivých dát sa v médiách objavujú pravidelne. Za posledné mesiace sa však takáto kauza nevyskytla. Aj hackeri si berú dovolenky?
Nie, ale treba si uvedomiť, že najcitlivejšie prieniky sa nemedializujú. Nie je to v záujme žiadnej inštitúcie či korporácie, lebo by tým utrpela ich reputácia. Kým neexistuje verejný dôkaz, že boli kompromitovaní, obvykle to držia v tajnosti.
Čo rozhoduje o tom, že kauza prenikne na verejnosť?
V Amerike platí zákon, že ak hackeri získajú údaje vašich klientov, musíte ich, obvykle písomne, kontaktovať, inak vám hrozí pokuta. Na Slovensku takú legislatívu nemáme. Kauzy preniknú tiež v prípade, ak ich chce medializovať sám hacker. To však nemusí byť v jeho záujme, ak sleduje konkrétny, zvyčajne finančný prospech, kvôli ktorému sa robí drvivá väčšina prienikov. Podstatne menšia časť útokov ide na vrub hacktivistov, ktorí majú politické ciele. Ako nedávno, keď v Rusku nabúrali web moskovského súdu, ktorý odsúdil členky hudobnej skupiny Pussy Riots.
Fungujú hackeri tak, že najprv niečo ukradnú a potom sa to snažia speňažiť, alebo pracujú na zákazku?
Hackerov čoraz viac platia vlády. Napríklad čínska vláda buduje hackcamp, v ktorom si ich školí ako novú súčasť svojej kyberarmády. Zložitosť vírusu Stuxnet, ktorý pred pár rokmi poškodil jadrový program v Iráne, zasa indikuje, že za ním stála americká vláda. Stuxnet vraj spomalil nukleárny program Iránu do podobnej miery, ako by to umožnila fyzická invázia. Digitálne útoky môžu teda byť dosť efektívne.
Prichádzajú objednávky pre hackerov aj od komerčných firiem?
Oficiálne nie, lebo hackovanie je nelegálne. Ale existujú anonymné kryptomarkety, kde si môžete najať hackera a zaplatiť mu napríklad bitcoinmi [digitálnymi peniazmi] za to, že pre vás získa nejaké informácie, napadne alebo zhodí nejakú webovú stránku.
Čo je na hackerských trhoch teraz najväčší hit?
V posledných mesiacoch je čoraz väčší dopyt po takzvaných zero-day exploitoch. Ide o hackovacie nástroje na ešte nezverejnené zraniteľnosti digitálnych systémov. Ich najväčší a najlepšie platiaci odberatelia sú vlády, prípadne pre ne pracujúci súkromní kontraktori.
Na čo ich vlády potrebujú?
Kupujú si nástroje, aby mali lepšiu kontrolu nad technológiami, ktoré využívajú bežní občania, napríklad nad masovo používanými mobilnými telefónmi.
Aj ich reálne využívajú?
Myslím si, že áno. Pred rokom sa v Nemecku prevalilo, že tamojšia vláda financovala projekt štátneho trójskeho koňa [druh počítačového vírusu]. Bol vyvinutý za peniaze daňovníkov na špehovanie občanov.
Hovoríte o špehovaní, iní by to nazvali prostriedok boja proti terorizmu a organizovanej kriminalite. Neveríte názoru, že ak nerobíte nič zlé, nemáte sa čoho obávať?
Tento prístup je aplikovateľný len v ideálnom svete. Informácie o ľuďoch sa sústreďujú na jednom mieste a ich zneužitie obvykle stojí iba na dôvere inštitúcie, ktorá ich zbiera. Dokážete tejto inštitúcii veriť za každých okolností? Napríklad v Londýne je zrejme najhustejší kamerový systém na svete. Ako to pomohlo naplniť oficiálny cieľ – znížiť kriminalitu? Minimálne. Pritom náklady na výstavbu systému boli obrovské. Na druhej strane, potenciálne riziko jeho zneužitia je veľké. Ak sa doň niekto nabúra, dokáže kompromitovať súkromie miliónov obyvateľov Londýna.
Zdroj: TREND/Milan David
V reakcii na špiónske snahy vlády vznikli služby slúžiace na anonymizáciu používateľov internetu. Ako sa vyrovnávate s tým, že tieto služby využívajú aj kriminálne živly?
Iste, môže ich využívať hocikto. Otázka je, či výhody anonymizácie prevážia nad nevýhodami. Ja si myslím, že áno. Pozrite, aj najväčšie finančné podvody sa robia cez internet, web používajú všetci možní delikventi, no stále to nie je dôvod na zakázanie internetu.
To určite nie. Ale nepriamo pomáhať zločincom, aby boli menej vystopovateľní?
Je to jedna z nevýhod. Ale výhody, sloboda vyjadrovania, prístup k informáciám či ochrana voči represívnemu štátu podľa mňa prevažujú. V diktátorských krajinách anonymizačné služby používajú desaťtisíce bežných ľudí, pre ktorých je to jediná šanca, ako obísť vládne firewally a bez cenzorských zásahov či hrozby postihu voľne surfovať po internete.
V západnom svete hádam takýto neviditeľný plášť nepotrebujeme.
Potrebujeme. Internetová cenzúra je už aj v západnom svete, napríklad vo Veľkej Británii či Holandsku. To, že dôverujeme nášmu systému, demokracii, a sme ochotní mu poskytovať informácie, neznamená, že jedného dňa nebudú zneužité voči nám. Právo na súkromie máme aj v tomto systéme. Súčasné zriadenie západnej spoločnosti je centralizovaný systém. Jeho riadenie spadá do kompetencie ľudí, ktorým musíte veriť. A keď ľudia majú moc, sú prakticky stále vystavení tlakom na jej zneužitie. Preto potrebujeme čo najväčšiu decentralizáciu – na všetkých úrovniach.
Pokiaľ ide o spôsob, akým je organizovaná západná spoločnosť, máme vôbec nejakú alternatívu?
Ja som voluntarista, som presvedčený, že akékoľvek vzťahy majú zmysel jedine vtedy, keď sú obojstranne dobrovoľné. Myslím si tiež, že všetky služby v spoločnosti by mali byť predmetom voľného trhu.
Aj funkcie, ktoré zabezpečuje štát? Napríklad sociálne služby?
Určite. Mohlo by to fungovať na báze konkurencie občianskych komunít, ktorým by ste na základe slobodne podpísanej zmluvy odvádzali časť platu – 20, 30 alebo 50 percent – a za to by ste mali zabezpečené školstvo či zdravotnú starostlivosť. Ak by ste vo svojom združení zistili korupciu, zrušili by ste s ním zmluvu a prešli do iného. Združenia by o klientov súťažili na voľnom trhu. Nie ako teraz, keď má štát garantovaný príjem vo forme našich daní na poskytovanie „sociálnych istôt“.
Vráťme sa k hackerským útokom. Pokiaľ sú iniciované vládou alebo konkurenciou, vieme aspoň o ich motivácii. Na rozdiel od hacktivistov. Akú máme istotu, že napríklad členovia skupiny Anonymous nabudúce nezhodia web nejakej nemocnice?
Na to, aby vám niekto zhadzoval web, musí mať dosť pádny dôvod alebo ho musíte veľmi nahnevať. Osobne útoky v štýle skupiny Anonymous neschvaľujem, ale akceptujem ich ako formu protestu. O mnohých veciach rozhodujú politici bez akejkoľvek spätnej väzby od občanov. Napríklad pri tvorbe zákonov sa stáva, že hromadná pripomienka verejnosti sa odignoruje. Čo majú ľudia potom robiť? Ísť do ulíc alebo útočiť na weby. Ak akceptujeme, že tisíce ľudí majú právo vyjsť do ulíc a úplne zastaviť premávku, prečo by sme nemali akceptovať, že majú právo zahltiť internetové servery inštitúcií, ktoré ignorujú ich názory? Je to len iná forma protestu.
Otázka je, či je to motivácia alebo manipulácia.
Rovnako môžete zmanipulovať pouličnú demonštráciu. Jediný rozdiel je v tom, že ak sa chcete zúčastniť pouličnej demonštrácie, musíte vstať a ísť aj do dvadsaťstupňových mrazov. Na to, aby ste sa zúčastnili útoku na web, vám stačí spustiť počítačový program. Masová kolaborácia sa vo virtuálnom svete určite lepšie organizuje.
Čo v oblasti digitálnej bezpečnosti nespôsobia hackeri alebo vlády, to dokonajú nedôsledné firmy. Ako nedávno Facebook, keď sa na verejných stránkach používateľov zobrazili ich súkromné e-maily, alebo Google, ktorý mlčal o chybe v systéme Android s potenciálom vymazať všetky dáta z mobilu.
Otázka je, ako sa takéto informácie dajú zneužiť a pretaviť na finančný prospech alebo zneužiť voči používateľom. Mnohí majú webové stránky, ktoré sú úplne zraniteľné, ale hackerom jednoducho nestojí za to ich kompromitovať. Ale keď ste šéf veľkej spoločnosti alebo politik...
Ľudia masívne vkladajú osobné informácie do digitálneho prostredia a potom sa dozvedia, že sa im niekto neznámy v nich môže prehrabávať. Ako môže tento systém dlhodobo vydržať?
Narážate na tlaky Európskej komisie regulovať Facebook alebo iné veľké služby, ktoré zbierajú množstvo citlivých informácií o „nevinných“ používateľoch? Osobne som proti tomu, lebo je nemorálne, aby na nezodpovedných používateľov Facebooku, ktorí nečítajú jeho „klauzuly“ a dobrovoľne mu poskytujú množstvo osobných citlivých informácií, doplácali zodpovední daňovníci, ktorí regulácie „na ochranu súkromia“ zaplatia. A to bez možnosti si vybrať či to chcú alebo nie. Ak Facebook ignoruje právo na súkromie a ľudia ho aj tak používajú, zrejme im to až tak neprekáža. Ak im to prekážať začne, prejdú ku konkurencii.
Sú zákony na ochranu osobných údajov v súčasnej podobe dostatočné alebo ich treba zlepšovať?
Nepodlieham ilúzii, že moje dáta sú chránené. V tuctoch inštitúcií vám skenujú občiansky preukaz, vaše osobné údaje sa nedajú považovať za akokoľvek chránené. Pred pár rokmi z katastra nehnuteľností unikli rodné čísla vlastníkov nehnuteľností na Slovensku. Ak ste vtedy niečo vlastnili, vaše rodné číslo je veľmi pravdepodobne verejné. A s tým nič nespravíte. Pokiaľ ide o zákony, myslím si, že ochrana osobných údajov by mala byť zabezpečovaná primárne formou obojstranných zmlúv tak, aby každá strana mala motiváciu na jej dodržiavanie.
Upozorňujete na chyby v systémoch, aj keď vás o to firmy alebo inštitúcie priamo nepožiadajú. Napríklad na zraniteľnosti v SMS lístkoch pre hromadnú dopravu alebo v čipových zákazníckych kartách. Prečo to robíte? Čakáte, že si prevádzkovatelia potom objednajú vaše služby?
Nie, nečakáme. Ani sme z toho nikdy reálny biznis nemali. Prečo sme to spravili? Okrem toho, že sme poukázali na vážny bezpečnostný problém, bola to aj forma verejnej prezentácie. Rozpočet na reklamu nemíňame na bilbordy, radšej investujeme do prelomenia celoplošne používanej technológie, ktorá ohrozuje súkromie veľkej časti obyvateľstva.
Ako reagovali inštitúcie, ktoré ste na zraniteľnosti upozornili?
Niektoré naše upozornenie ignorovali, iné sa ozvali, že ich systém zraniteľný nie je, a pridali výstrahu, že ak naše zistenia zverejníme, tak nás zažalujú. K tomu však nikdy nedošlo, aj keď sme opis tejto zraniteľnosti zverejnili. Vždy sme pritom pred zverejnením nechali dodávateľovi niekoľko mesiacov na vytvorenie opravy alebo aspoň čiastočne bezpečného riešenia.
Pracovali ste aj na bezpečnostnej analýze slovenského biometrického pasu. Ako na vaše zistenia reagovalo ministerstvo vnútra?
Podarilo sa nám na základe údajov z biometrického pasu spraviť jeho nedokonalý klon, v ktorom niektoré informácie chýbajú. Požiadali sme ministerstvo, aby nám poskytlo oficiálnu čítačku pasu. Chceli sme overiť, či tento klon pasu ňou bude akceptovaný. Odmietli to a odporučili nám, aby sme sa obrátili na dodávateľa čítačiek. To sme nespravili, lebo pravdepodobne by nám poskytol čítačky v štandardnej konfigurácii bez možnosti čítať slovenské biometrické pasy.
Akú majú firmy záruku, pre ktoré robíte bezpečnostný test, že získané údaje sa nezneužijú?
Máme striktné dohody o mlčanlivosti. Akékoľvek informácie o našich klientov nikdy nezverejňujeme, inak nám hrozia veľmi vysoké pokuty. A samozrejme strata reputácie, čo je v našom biznise najväčšia devíza.
Ako ste sa dostali k biznisu s informačnou bezpečnosťou? Boli ste zamladi hackerom?
Svojím spôsobom áno. Ale nikdy som nikomu neublížil, neukradol osobné údaje ani nespôsobil akúkoľvek škodu. Hackerom je podľa mňa každý, kto má hlboké znalosti v nejakej oblasti. Hackeri môžu byť aj biológovia, genetici či jadroví fyzici.
Sú hackeri najlepší ochrancovia digitálnych systémov?
Často to tak je. Ľudia sa vyvíjajú aj z etickej stránky. Určite udávajú aktuálne digitálne trendy, poukazujú na zraniteľnosti a tak zvyšujú bezpečnosť technológií, ktoré dennodenne používame.
Pavol Lupták (33)
vyštudoval bratislavskú Slovenskú technickú univerzitu a České vysoké učení technické v Prahe. Je držiteľom bezpečnostných certifikácií CISSP a CEH, vedie slovenskú pobočku Open Web Application Security Projectu (OWASP). Spoluzakladal platformu pre stretávanie hackerov a digitálnych umelcov Progressbar a Spoločnosť pre otvorené informačné technológie (SOIT). Pravidelne prednáša na svetových bezpečnostných konferenciách. Má 15-ročné skúsenosti v oblasti IT bezpečnosti, penetračného testovania a tvorby bezpečnostných auditov. Je majiteľom a konateľom spoločnosti Nethemba.
Článok vyšiel v aktuálnom vydaní TRENDU 40/2012
Foto na titulke a v článku - Milan David
