10 rokov etického hackingu: Ferova cesta v Citadelo

Fero nie je ten najhlasnejší človek v miestnosti. Skôr premýšľavý typ, ktorého odjakživa zaujímalo, ako veci fungujú – a ako ich prinútiť fungovať inak. Táto zvedavosť ho priviedla k hackingu. Začal sa oň zaujímať už na strednej, prvé útoky skúšal počas vysokej školy a dnes v Citadelo vedie tím a školí vývojárov. V rozhovore hovorí o svojej desaťročnej ceste, najčastejších chybách firiem v oblasti bezpečnosti a o tom, ako si udržiava aktuálne vedomosti.

Ako si sa dostal k hackingu?

O hackingu som začal hľadať informácie už na strednej škole. Zaujímalo ma, ako veci fungujú, a chcel som si to vyskúšať. Najviac času som tomu ale venoval na vysokej. Študoval som bezpečnosť informačných systémov na Fakulte elektrotechniky a informatiky STU v Bratislave.

Čo ťa na tom baví najviac?

Baví ma zisťovať, ako veci fungujú. Ale ešte viac ma baví, keď ich dokážem prinútiť robiť niečo iné – nie to, na čo boli pôvodne určené, ale to, čo chcem ja. To je super pocit.

"Pentesteri sú špeciálna komunita. Baví ma, ako stále niečo vymýšľajú, spochybňujú a ohýbajú."

Zaujímam sa aj o open-source technológie, Linux, kryptografiu, bezpečnosť mobilných aplikácií a ofenzívnu bezpečnosť celkovo. Moja cesta do Citadelo vznikla prirodzene a už som tu 10 rokov.

Aké technológie testuješ a aké typy projektov ťa najviac bavia?

Najradšej testujem mobilné aplikácie a weby. Baví ma tiež školenie vývojárov o bezpečnosti. Najdôležitejšie je pre mňa to, aby bolo všetko na začiatku dobre pripravené – aby sa na nič nečakalo a spolupráca fungovala. Vtedy to má drive a dostatok času na to ponoriť sa do projektu a nájsť čo najviac zraniteľností.

Aké sú podľa teba najväčšie bezpečnostné riziká vo firmách?

Najväčší problém je nedostatok bezpečnostného pohľadu pri vývoji softvéru. Vývojári musia čo najrýchlejšie dodať funkčné riešenie a funkcie, čo je pochopiteľné. Ale bezpečnosť by mala byť súčasťou návrhu od začiatku.

Väčšina nových vývojárov nemá dostatok vedomostí o bezpečnosti. Opakujú tie isté chyby, aké robili vývojári pred desiatimi rokmi. Odporúčal by som preto, aby sa bezpečnosti dávala vyššia priorita. Čím neskôr sa do vývoja pridá bezpečnostný pohľad, tým viac času má útočník na útok.

Myslím si, že do budúcna bezpečnosť zlepší automatizácia a umelá inteligencia – nielen pri hľadaní zraniteľností, ale aj vo vývoji. Menej ľudského faktoru znamená menej vstupných bodov pre útočníkov.

Čo by si odkázal firmám z pohľadu bezpečnosti?

Vzdelávajte vývojárov aj zamestnancov z pohľadu bezpečnosti – nielen formálne, ale hlavne prakticky. Bezpečnosť nesmie byť vo vývoji na druhom mieste. Treba myslieť na to, že testovanie aj opravy si vyžadujú čas. Útočník má oproti firme neobmedzený čas a čím viac priestoru mu dáme, tým väčšie škody môže napáchať.

Čo je pre teba na práci etického hackera najťažšie a ako to zvládaš?

Udržať krok. Všetko sa mení veľmi rýchlo – nové technológie, nové zraniteľnosti. Nemusíš všetko poznať do hĺbky, ale musíš vedieť, ako to funguje. Čím hlbšie poznatky máš, tým lepšie. Ale vyžaduje si to čas. Iná cesta neexistuje – treba si vedome vyhradiť čas na štúdium, čítanie a testovanie.

Aké výzvy vnímaš ako senior etický hacker?

Posúvať sa ďalej. Aj po desiatich rokoch sa dá stále zlepšovať. Na začiatku ide učenie rýchlejšie. Ale čím viac človek vie, tým ťažšie sa napreduje – treba ísť viac do hĺbky a na to treba mať priestor.

Akú hodnotu prinášaš klientovi ako etický hacker v Citadelo?

Dávam mu hlboký manuálny penetračný test systému. Vďaka nemu získa najdôležitejšie informácie pre zlepšenie svojej bezpečnosti. Po implementácii opráv sa výrazne znižuje riziko zneužitia. Pomáham tak posilniť ich ochranu aj dobré meno.

Čím je Citadelo podľa teba výnimočné?

Vážim si našu flexibilitu. Keď je niečo potrebné upraviť alebo spraviť inak, vieme sa vždy dohodnúť – medzi sebou aj s klientom.

Aký je tím a prostredie v Citadelo?

Výborný – inak by som tu 10 rokov neostal. 😊 Pentesteri sú špeciálna komunita. Baví ma, ako stále niečo vymýšľajú, spochybňujú a ohýbajú. Neustále sa mám čo učiť.

Kde by mal začať začínajúci etický hacker?

Odporúčam PortSwigger Academy a OWASP Security Project. Tiež GitHub a YouTube – sledovať ľudí, ktorí zdieľajú writeupy a linky. Najdôležitejšie je vedieť sa učiť a skúšať veci sám, nie len zbierať certifikáty.

Keď už hovoríme o certifikátoch – odporúčam tie od Offensive Security, ako OSCP alebo OSWE. Dá sa s nimi začať ešte pred prvou prácou v bezpečnosti.

Dá sa práca v Citadelo zvládať popri škole?

Počas školy som pracoval ako developer, čo je u študentov celkom bežné. K hackingu som sa naplno dostal až ku koncu štúdia, ale dalo sa to zvládnuť.