Spoznajte zákutia penetračného testovania s Tomášom Zaťkom
Na hosťovskú stoličku sa tento raz posadil Tomáš Zaťko, s ktorým sme debatovali o jeho vnímaní IT sveta. To, že je v IT ako doma, podčiarkuje aj fakt, že založil tri IT firmy – Citadelo, Binary Confidence a Hacktrophy. Prečítajte si, čo sme preberali v 13. epizóde podcastu lokál hosť.
S Tomášom sme zaspomínali na jeho začiatky, kedy sa objavila jeho vášeň k hackovaniu. Bol veľmi zvedavé dieťa, zaujímal sa o to, ako veci fungujú – medzi jeho prvé „hacky“ patrí aj to, keď si hru Tetris ozvláštňoval tým, že na krátky čas z nej vybral baterky a sledoval, ako sa zmenil chod hry.
Svoj prvý počítať zo série Didaktik dostal už počas základnej školy. V tom období začal navštevovať krúžok, kde sa, okrem hrania počítačových hier, učili aj programovať. Viac ako hranie ho fascinovalo práve programovanie. Už ako školák sa dokázal programovaniu venovať v stovkách hodín.
Keď v roku 1996 otvorili v meste prvú internetovú kaviareň, bol tam! Hoci spočiatku nebolo na internete takmer nič, aj tak spustil veľký ošiaľ. Hlbší pohľad na internet získal vďaka Jurajovi Bednárovi, ktorý bol tiež naším lokál hosťom. Záujem o informačné technológie mu vydržal až do dospelosti. Vyštudoval Fakultu elektrotechniky a informatiky STU v Bratislave, popri ktorej už pracoval v IT oblasti.
BLUE A RED TEAM
Vo svojom podnikaní sa venuje aj penetračnému testovaniu. Priblížil, že pen testeri sa snažia systém dostať do „veľmi nezvyčajných situácií“ (napr. keď na internetovej stránke odpovedia na otázku nezmyselnou odpoveďou) a na základe chybových stavov zisťujú, čo sa deje v systéme. Týchto testerov na tzv. blue team si externe najímajú firmy, aby vykonali penetračné testovanie a odhalili chyby a zraniteľné miesta.
Zatiaľ čo cieľom blue teamu je systém, cieľom red teamu je misia. V tomto prípade môže znieť zadanie od klienta takto: „Máte 3 týždne na to, aby ste nás vyhackovali.“ Aj v tomto prípade sa pen testeri snažia odhaliť prípadné chyby s cieľom pomôcť klientovi.
Tomáša sme sa opýtali aj na to, či si vie predstaviť, žeby ich vymyslený klient voviedol do omylu a vyhackovali firmu, ktorá by o tom nevedela? Tomáš má jednoznačnú odpoveď: „Procesy máme už vytunené a keď nám začne svietiť nejaká červená kontrolka, tak na ňu reagujeme. Čiže toto by sa u nás nemalo stať.“
V debate sme sa ďalej presunuli k rozdielom medzi automatickým a poloautomatickým testovaním, ale aj k rizikám, ktoré testovanie prináša. Firmám, ktoré sa rozhodnú pre penetračné testovanie, odporúča, aby mali pripravené samostatné prostredie, ktoré možno vymazať. Samozrejme, nie vždy je to možné – v tom prípade testujú na produkčnom prostredí, čo si vyžaduje veľkú opatrnosť.
Okrem testovania spoza počítačov sa v menšej miere venujú aj fyzickej bezpečnosti. Fyzické prieniky do firiem sa často podobajú na „bondovky“. Prinášajú so sebou veľký adrenalín a napätie. Tomáš prezradil, že zatiaľ ich nikto pri takomto fyzickom prieniku neodhalil.
Tak ako naši predchádzajúci hostia, aj Tomáš je fanúšikom umelej inteligencie. Myslí si, že Chat GPT si nájde svoje miesto aj v penetračnom testovaní. Zatiaľ nevie odhadnúť, ako veľmi to zmení podstatu jeho práce.
BEZPEČNOSTNÝ BALÍČEK
- Používať dvojfaktorovú autentifikáciu – avšak nie SMS, ale v ideálnom prípade používať hardwarový token na FIDO2 štandarde alebo jednorázové kódy.
- Mať náhodne vygenerované heslá uložené v password manažéri.
- Komunikovať cez šifrované aplikácie, napr. Signál.
- Ukladať kryptomeny na hardwarovú peňaženku, napr. Trezor.