S narastajúcou základňou čitateľov na FonTechu sme sa rozhodli spustiť náš nový projekt, ktorým budú exkluzívne rozhovory s osobnosťami z technologického sveta na Slovensku. Každý týždeň ti teda prinesieme niekoľko zaujímavostí zo zákulisia najväčších firiem, akými sú napríklad ESET, Sygic či Alien Studio. Pohodlne sa usaď, ideme na to!

Sleduj Fontech.sk aj na Facebooku, YouTube a Instagrame!

Dnes je tu skutočne jedinečný rozhovor, ktorý dá odpoveď na mnohé otázky z bezpečnosti internetu a internetu ako takého. Ak sú ti pojmy, ako Dark web, Deep web alebo Anonymous čo i len trochu známe, si na správnom mieste. Tento rozhovor rozhodne zodpovie na tie najzapeklitejšie otázky z tejto oblasti. Na pomoc sme si povolali skutočného odborníka zo známej slovenskej firmy TrustPay – Tomáša Kokolevského.

Na začiatok sa skús v krátkosti predstaviť, kde robíš, čo ťa baví a ako si sa dostal k svojej súčasnej práci ako vedúci informačnej bezpečnosti v známej platobnej bráne TrustPay. Bola to náročná cesta?

Som absolvent FIIT STU, a profesionálne sa venujem informačnej bezpečnosti už vyše 5 rokov. Dnes pôsobím ako Information Security Officer v slovenskej spoločnosti TrustPay a.s., kde som zodpovedný za celý IT bezpečnostný program.

Zobraziť celú galériu (2)
Tomáš Kokolevský

Pred TrustPay som pôsobil na útvare ministerstva financií CSIRT.SK. Tam som bol súčasťou tímu, kde sme simulovali hackerské útoky na ministerstvá a iné štátne inštitúcie, čím sme ich pripravovali na reálne hackerské útoky. Hrať sa na hackera na ministerstvách bola veľká zábava, a rád na to spomínam. Informačná bezpečnosť je zložitá, ale lákala ma už od detstva, keď som objavil svet IRC chatov a rôznych online komunít.

Dokáže dnes niektorá vysoká škola ponúknuť dostatočne kvalifikovaných ľudí na prácu v tomto sektore alebo je zvyčajne najlepšie, ak si daný človek vyskúša nástrahy a podmienky takpovediac už na vlastnej koži?

Keď si spomeniem, ako vyzeral môj študijný program, tak na jeho konci som rozhodne nebol dostatočne kvalifikovaný. Najviac som sa naučil až praxou. Nie každá prax je ale rovnocenná, a v niektorých prípadoch ňou nezískate skoro žiadne skúsenosti s bezpečnosťou. Pre väčšinu ľudí s ktorými sa stretávam, bezpečnosť znamená, že firma používa antivírus, firewall a nejaký známy framework na vývoj softvér, a na základe toho sú presvedčení, že musia byť v bezpečí.

Potom, keď si zaplatia penetračný test (čo je skôr výnimkou ako pravidlom), sú veľmi prekvapení, že hacker za 10 hodín získal kontrolu nad celou firmou. Aby ste vedeli s hackermi držať krok, odporúčam chodiť na rôzne prednášky (často zadarmo), alebo aspoň sledovať záznamy bezpečnostných konferencií na youtube. Okrem toho sú stovky rôznych trénovacích demo systémov, literatúra, certifikácie atď.

Online platby sú dnes alfou a omegou mnohých biznisov, respektíve väčšiny používateľov, ktorí sa však mnohokrát stále zdráhajú nakúpiť kvôli bezpečnosti. Ako to vnímaš ty? Je táto obava v dnešnej dobe ešte stále opodstatnená?

Áno, do určitej miery. Ako najväčšie riziko vnímam, že široká verejnosť väčšinou zadáva platby z domácich počítačov alebo mobilov, ktoré nemusia byť bezpečné. Po vyriešení tohto by som sa online platieb vôbec nebál, a v prípade že sa niečo stane, je tu vaša banka, ktorá vám peniaze s najväčšou pravdepodobnosťou vráti. To je dokonca lepšia bezpečnosť ako pri hotovosti, lebo keď vás okradnú o cash, nikto vám ho už nikdy nevráti.

Moje osobné kritériá na bezpečný systém:

Mobil: Všetky appky boli inštalované z App Store / Google Play a sú od výrobcov s dobrou reputáciou.

PC: Na počítači nikdy nebol inštalovaný pirátený softvér a je prítomný antivírus.

Ohľadom bezpečnosti platobných brán a celkovo bezpečnosti internetu sa v poslednej dobe naozaj vo veľkom diskutuje. Stojí za týmto zvýšeným záujmom zo strany vlád, organizácií či firiem neustály nárast hackerských útokov, ktoré sú sofistikovanejšie ako kedykoľvek predtým?

Áno, ale nie je to iba záujmom hackerov o online obchod. Celkovo stúplo množstvo a hodnota informácií, ktoré spracúvame počítačmi. To prudko zvyšuje potrebu toho, aby boli tieto počítače a programy spoľahlivé (tzn. bezpečné), a nie len kvôli hackerom ale aj kvôli možným chybám, ktoré môžu spraviť napr. zamestnanci. Takéto chyby môžu zverejniť osobné údaje alebo napr. zmazať obsah vášho bankového účtu, čím je možné spôsobiť miliónové škody.

Toto všetko pochopiteľne zvyšuje záujem firiem a rôznych regulátorov o spoľahlivosť. Okrem toho je stále viac viditeľný problém s ochranou súkromia na internete. Zákonov na ochranu súkromia stále pribúda, a myslím si že sa tento trend v blízkej dobe nezmení.

Nárast hodnoty BitCoinu je rozhodne pre mnohých veľkým lákadlom a vidinou obrovského zisku. Stretávaš sa teda s výrazne zvýšeným záujmom platieb pomocou kryptomien?

Áno, ale myslím si, že o samotné platby je podstatne menší záujem, ako o nákup kryptomien s vidinou obrovského zisku. Všímam si aj obrovský boom startupov, ktoré vznikajú okolo kryptomien a Ethereum smart kontraktov, kde len čo spomeniete slovo „crypto“, tak dostanete počiatočné investície státisíce eur bez ohľadu na užitočnosť produktu/služby.

Vytlačí v budúcnosti niektorá z kryptomien s nárastom digitalizácie tradičné svetové meny, ako dolár či euro? 

Nemyslím si že euro alebo dolár zanikne, kým budú existovať štáty. Majú príliš veľký vplyv na finančný trh a určite sa ho nevzdajú bez boja. Skôr očakávam, že vzniknú národné kryptomeny, emitované nejakou centrálnou bankou. Tiež si myslím, že po čase blockchain prejde do bežných služieb, a budeme mať napríklad kataster pozemkov postavený nad blockchain technológiou.

Na čele mnohých útokov stojí skupina Anonymous, ktorá sa však v istom prezentovala múdrymi krokmi a začala napríklad výrazný boj voči teroristom. Ako šéf informačnej bezpečnosti sa určite stretávaš s nejakými zákulisnými informáciami o najväčších hackerských skupinách. Vedel by si nám priblížiť detaily z týchto útokov?

Hackerských skupín je veľa. Často ponúkajú nejakú kriminálnu aktivitu ako službu (Cybercrime as a Service), alebo fungujú ako žoldnieri a za peniaze robia rôzne činnosti, ako napr. priemyselnú špionáž firiem. Anonymous sú skôr aktivisti, kde cieľom hacku je skôr poukázať na niečo ako kradnúť dáta.  Existuje na to aj konkrétny pojem, tzv. „hacktivist“. Každopádne, firmy, ktorých servery sú napadnuté, sa z tohto aktivizmu veľmi netešia, skôr naopak.

Útoky Anonymous (tzv. „Operations“) sú tiež netypické, lebo ľudia sa v rámci operation nepoznajú a zloženie útočníkov sa mení v každej jednej takejto aktivite. Dorozumievajú sa cez nejaký ad-hoc dohodnutý spôsob, väčšinou nejaké online fórum, ale neexistuje pevný systém. Anonymous útočí hlavne na weby štátov alebo veľkých korporácií. Najčastejšie to je útok DDoS (spôsobia, že napadnutá stránka je nepoužiteľná na bežnú aktivitu). Ak sú v tom momente v skupine prítomní aj skúsenejší hackeri, je možné, že sa nabúrajú do organizácie a zverejnia dáta.

Plánovanie útoku je úloha, ktorá sa rieši niekoľko mesiacov dopredu, alebo sa dá celý proces zvládnuť behom týždňa / týždňov?

Záleží, o aký typ útoku sa jedná. Myslím si, že DDoS útok viete zorganizovať aj za pár hodín, ale pokiaľ chcete preniknúť do systémov a ukradnúť / sfalšovať dáta, najskôr budete potrebovať podstatne viac peňazí, času a technických znalostí. Tam už záleží od kvality bezpečnosti napadnutej inštitúcie – pri niektorých vám bude stačiť sto eur a dní príprav, pri iných desiatky tisíc eur a mesiace práce.

Kapitolou samou o sebe je potom takzvaný Dark Web, ktorý si však mnohokrát pletieme s pojmom Deep Web. Ako je to teda správne? Kde a čo sa nachádza v týchto jednotlivých prostrediach?

Je tam rozdiel, ale v podstate obidve sú weby, ktoré existujú v internete, ale neviete sa o nich dozvedieť cez Google, lebo sú „skryté pod povrchom“. Dark Web je často spájaný s drogami alebo inými nelegálnymi aktivitami, ale nie je to úplne tak. Pointa Dark Webu je, že webstránky sú dostupné iba prostredníctvom anonymizačnej technológie, ako napr. TOR.

Vďaka tej technológií nie je možné určiť IP adresy používateľov a ani nie je možné zistiť, na akej IP adrese sa nachádza samotný web server. Čo konkrétne už človek bude prevádzkovať na skrytom serveri, je kompletne na ňom, kľudne tam môže mať aj tajný web s návodom ako emigrovať z totalitnej krajiny. Deep web sú také webstránky, ako je napríklad váš firemný Sharepoint a SAP systém. Toto sú normálne webstránky, ale existujú na firemnej sieti, a teda sa o nich nedozviete cez Google.

Máme záznamy, že sa na nejaké osoby na Slovensku pokúšali niečo predať / kúpiť na Dark Webe alebo pre našincov je podobné obchodovanie (našťastie) stále nad ich sily?

Neviem o žiadnych oficiálnych záznamoch. Technológia nie je triviálna, ale sú o nej informácie voľne dostupné na internete.

Máš osobnú skúsenosť s Dark Webom? Je vstup a navštevovanie týchto nelegálnych stránok možné stíhať zákonom aj na Slovensku? Aká je trestná sadzba za porušenie v prípade, že je používateľ pristihnutý na Dark Webe?  

Nie som právnik, ale domnievam sa, na webstránke môžeme hodnotiť trestnosť maximálne obsahu, a nie technológie ktorou bol sprostredkovaný, keďže tá je neutrálna. A nad výškou konkrétnej trestnej sadzby by som špekuloval potom podľa toho, čoho konkrétneho sa dotyčný na internete, resp. Dark webe dopustil.

Otázka na záver: Akú radu ohľadom bezpečnosti na internete by si dal ty, ako profesionál bežnému používateľovi?

Klasika je pravidelne aktualizovať softvér (aj na mobile), a inštalujte len také programy, ktorým môžete dôverovať. Stačí jeden škodlivý program a z vášho počítača a mobilu sa stane odpočúvací systém. Okrem toho by som odporúčal spraviť si nejaký online phishing test. Vyskúšate si, ako asi bude vyzerať, keď sa vás hacker bude snažiť podviesť.

Disclaimer: Názory uvedené sú moje vlastné a nereprezentujú názory spoločnosti TrustPay, a.s.

Aká je tvoja reakcia?
Milujem to
72%
Páči sa mi to
28%
Chcem to
0%
Mám to
0%
Nepáči sa mi to
0%
Neznášam to
0%
O autorovi
Dávid Igaz
Šéfredaktor a spoločník FonTech.sk, no najmä technologický nadšenec, ktorý nepohrdne akoukoľvek novinkou. Ak by si sa potreboval o niečom poradiť, neváhaj a napíš mi na [email protected]