Od zkoušení prvních exploitů na střední po vedení vlastního týmu. Tohle je příběh Fera, který je v Citadelu už 10 let

Fero je ten typ člověka, který na první dobrou neoslní hlučnou energií, ale spíš klidem a přemýšlivostí. Aby ne: to, jak věci fungují, ho zajímá celý život. O hackování se začal zabývat na střední, na vysoké zkoušel první útoky a dnes vede v Citadelu svůj tým a školí developery z nejrůznějších firem. V rozhovoru s Ferem se bavíme o jeho desetileté cestě v Citadelu i o tom, v čem firmy nejčastěji chybují z hlediska bezpečnosti.

Jak tě napadlo být hackerem? Jak ses k hackování dostal?

Už na střední škole jsem zkoušel si o hackingu hledat dostupné informace a zkoušet jak věci fungují, ale, nejvíce času jsem tomu věnoval při vysoké. Vystudoval jsem v Bratislavě na Fakultě elektrotechniky a informatiky STU bezpečnost informačních systémů.  

Co tě na tom baví?

Baví mě zjišťovat jak věci fungují. Ale ještě víc mě baví, když se mi je podaří přinutit dělat něco jiného, než se od nich očekává a co chci já. To je super.

Pentestři jsou zvláštní komunita. Baví mě, jak stále něco vymýšlejí, zpochybňují a ohýbají.

Taky se zajímám o open source technologie, Linux, kryptografii, bezpečnost mobilních aplikací a samozřejmě celkově o ofenzivní bezpečnost. Moje cesta do Citadela se vyvinula přirozeně a už jsem tu 10 let.

Jaké technologie testuješ, jaké typy projektů tě nejvíce baví a proč?

Nejvíc mě baví  hackovat mobily, weby a školit bezpečnost pro developery. Nejdůležitější pro mě je, aby bylo vše při startu ze všech stran dobře připravené, na nic se nečekalo a byla to fungující spolupráce. Pak to má drive a dostatek času se do projektu ponořit a najít co nejvíce zranitelností.

Jaká jsou podle tebe nejčastější rizika u firem z pohledu bezpečnosti?

Absence security pohledu při vývoji softwaru - vývoj je nucen od počátku dělat věci funkční, aby měly požadované funkce, což je pochopitelné. Z mého pohledu by se ale nemělo zapomínat na bezpečnost. A to od začátku - měla by být součástí návrhu a samotného vývoje.

Bezpečnost by měla být součástí vývoje od začátku – ne až na konci.

Většina nových developerů totiž nemá znalosti bezpečnosti, neznají zranitelnosti a dělají stejné bezpečnostní chyby, jako dělali vývojáři před 10 lety.  Určitě bych doporučil dát tomuto prioritu. Čím déle trvá, než se přidá bezpečnostní pohled na software, tím více času hacker pro útok dostává.

Myslím si, že do budoucna se bezpečnost zlepší na základě automatizace a AI, nejen z pohledu zranitelností, ale i vývoje. Méně lidského faktoru bude znamenat méně vstupních bran do firem.

Co bys jako etický hacker vzkázal firmám z pohledu bezpečnosti právě teď?

Vzdělávejte developery a celkově zaměstnance z pohledu bezpečnosti - nejen papírově, ale hlavně prakticky. Je důležité, aby bezpečnost nebyla ve vývoji na druhé koleji. Je třeba mít na paměti, že na testování je třeba čas a na opravy také. Útočník má oproti firmám neomezené množství času a čím více prostoru mu dáme, tím více škod napáchá.

Co ti na práci etického hackera přijde obtížné a jak s tím pracuješ?

Nejobtížnější je stíhat sledovat novinky a dovzdělávat se při práci. Všechno se mění velmi rychle a je hodně nových a neprobádaných technologií a zranitelností.  

Baví mě zjišťovat, jak věci fungují. Ale ještě víc mě baví, když je přiměju dělat něco jiného, než se od nich čeká.
Sice není třeba to znát do hloubky, ale je třeba vědět, jak to funguje. Čím hlubší informace mám, tím samozřejmě lépe, ale je to velmi náročné. Jiná cesta, než si na to uvolnit čas neexistuje. Je potřeba stále sledovat, co se děje, načítat si o tom informace a pak si to vyzkoušet.

Jaké výzvy ve své roli etického hackera vnímáš a jsou pro tebe aktuální?

Posouvat se dále. I po deseti letech v oboru se neustále zlepšovat. Na začátku to jde mnohem lépe, ale tempo se přirozeně zpomaluje tím, čím více věcí člověk zná a umí. Pak se člověk dostane do fáze, kdy musí jít víc a víc do hloubky a na to je potřeba hodně času.

Nejtěžší na téhle práci je udržet tempo s tím, jak rychle se všechno mění. 

Jaký přínos vnímáš, že pro klienta má tvoje práce etického hackera Citadelo?

Jednoznačně to, že díky provedení hloubkového manuálního penetračního testu mu dodávám nejdůležitější informace k zabezpečení jeho systémů. Klientovi se tak po implementaci oprav významně snižuje potenciální riziko zneužití. Pomáhám mu tím posilovat obranu, chránit jeho  i dobré jméno společnosti.

V čem je podle tebe Citadelo unikátní?

Jedna z věcí, které si na Citadelu cením nejvíc, je to že jsme flexibilní a vždycky se umíme dohodnout. Když je potřeba něco vyřešit nebo udělat jinak, vždycky se dokážeme domluvit – jak v týmu, tak s klientem.

Jak se máš v Citadelo, jací jsou kolegové a prostředí?

Dobře, jinak by jsem tu těch deset let nebyl 🙂 Pentestři jsou speciální komunita. Baví mě, jak stále něco vymýšlejí, zpochybňují a ohýbají. Neustále je co se učit.
Kde se můžeš jako začínající etický hacker začít vzdělávat, nebo rozšiřovat své vědomosti?

Jako první platformu bych určitě doporučil Portswigger Academy a OWASP security project. Také bych doporučil GitHub, Youtube, kde sleduješ lidi, kteří dávají writeups (články a odkazy). Nejdůležitější je, aby si to člověk uměl sám nastudovat a vyzkoušel, než aby udělal jen certifikát.

Když už mluvíme o osvědčeních: za mě bych doporučil certifikáty od Offensive Security jako OSCP, OSWE. To může začít dělat každý ještě před tím, než vůbec jako hacker někam nastoupí.

Jak je práce v Citadelu kombinovatelná se školou, pokud jsi student?

Během studia jsem pracoval jako developer, což je u studentů docela běžné a dalo se to zvládat. K hackování jsem se naplno dostal až na konci školy.