S kybernetickou bezpečnosťou sa na Slovensku ešte len postupne zoznamujeme. Na bezpečnosť by však mali myslieť hlavne spoločnosti, ktoré sa akýmkoľvek spôsobom pohybujú na internete. Jedným z hlavných dôvodov, prečo je táto oblasť ešte do značnej miery ignorovaná, sú financie, ktoré sa hlavne menším firmám hľadajú o niečo ťažšie.

V súčasnosti však existuje množstvo spôsobov, ktoré môžu byť finančne menej náročné. Jedným z nich je aj slovenský projekt Hacktrophy, za ktorým stojí niekoľko ľudí zo známych spoločností Nethemba, Citadelo, či ESET. O projekte Hacktrophy, ale aj ďalších témach, som sa rozprával s CEO Hacktrophy Petrom Katrincom a CEO spoločnosti Citadelo Tomášom Zaťkom.

V rozhovore sa tiež dozvieš:

• Čo je to bug bounty program
• Ako funguje Hacktrophy
• Kto je etický hacker

Spojenie ľudí z troch rôznych spoločností má za následok vznik projektu Hacktrophy. Čo to vlastne je a na čo Hacktrophy slúži?

Ide o crowd-source spôsob bezpečnosti, ktorý sa už vo svete bežne vyskytuje. Bežný spôsob odhaľovania zraniteľnosti napríklad cez penetračné testy funguje takým spôsobom, že spoločnosť si vyberie jednu konkrétnu firmu, ktorá jej urobí na základe zmluvy už spomínané testy a doručí jej ich výsledky. Toto je výborné riešenie, no má aj niekoľko úskalí.

Jedným z nich je napríklad to, že výsledok je taký dobrý, akí dobrí sú ľudia z tej danej firmy, ktorá robila testy. Ďalším je ten, že výsledky sú platné len k tomu konkrétnemu času. O mesiac už môže byť aplikácia iná a aj hackerské techniky môžu byť na inej úrovni. Na základe týchto poznatkov sa naskytá otázka, čo s tým. Bude si spoločnosť objednávať penetračné testy každý týždeň? Pravdepodobne nie, nakoľko takéto riešenie nie je veľmi ekonomické.

To, čo robí Hacktrophy sa vo všeobecnosti nazýva bug bounty program, ktorý funguje spôsobom, že spoločnosť dá verejný záväzok, že dovolí etickým hackerom zo všetkých kútov sveta hľadať zraniteľnosti daného systému. Etickí hackeri môžu chyby hľadať kedykoľvek, nakoľko tento systém nie je ničím obmedzovaný. Ak etický hacker identifikuje zraniteľnosť, tak od danej firmy dostane finančnú odmenu.

Zaujímavosťou je, že Hacktrophy založili ľudia z troch rôznych spoločnosti, ktoré si navzájom konkurujú, no do spoločného projektu sme sa pustili najmä z presvedčenia, že v dlhodobom horizonte bude význam bug bounty programov obrovským spôsobom rásť. O pár rokov bude nemysliteľné, aby niekto systém, či web aplikáciu na internete prevádzkoval bez toho, aby tam bol bug bounty program.

Množstvo ľudí si pri slove „hacker“ predstaví človeka, ktorý sedí za počítačom a jeho jediným cieľom je krádež dát, prípadne rôzna forma útoku či podvodu. Čo slovo hacker znamená a v čom je iný etický hacker, ktorý pôsobí v Hacktrophy?

Slovo hacker má v západnejších krajinách úplne iný náboj ako na Slovensku či v Čechách. U nás sa to slovo etablovalo ako synonymum zločinca. Nie je to tak a preto používame prívlastok „etický“. Rozdiel medzi neetickým hackerom a etickým hackerom je v tom, že etický hacker nemá záujem vykonávať kriminálnu činnosť a na základe oprávnenia od danej firmy dokážu vyhľadávať už spomínané bezpečnostné chyby. Neetický hacker do systému pôjde aj bez toho, že oprávnenie mať nebude. Vytvárame priestor medzi spoločnosťami, zákazníkmi a etickými hackermi.

Mám vlastnú firmu, ktorá má záujem o takúto službu. Čo musím pre to urobiť?

Je potrebné kontaktovať Hacktrophy a my sa so zákazníkom porozprávame o tom, čo chce dať do programu, pričom ho vieme upozorniť na úskalia a rôzne problémy, nakoľko sme si prešli už množstvom projektov. So zákazníkom vieme definovať, čo je predmetom testovania a čo je mimo neho.

Prejdeme si aj obmedzenia daného testovania a aj to, aké sú odmeny za jednotlivé úrovne zraniteľnosti, ktoré budú nájdené. Odmeny si môže zákazník určiť absolútne podľa vlastnej vôle, takže nie je nijakým spôsobom obmedzovaný. Vieme mu však povedať, v akej výške sa pohybuje priemerná odmena na trhu.

Povedzme, že sa firma rozhodne pre vaše služby. Ako dlho ich môže využívať, respektíve je časovo ohraničené, ako dlho môžu etickí hackeri vyhľadávať v mojom systéme chyby?

Naša služba je štrukturalizovaná na dve časti. Jedna časť je platba za samotnú službu, pričom firma si môže vybrať, či pôjde do krátkodobého projektu, ktorý bude trvať 3 mesiace, alebo do dlhodobého projektu, čo je minimálne rok. Firma musí zaplatiť poplatok za samotnú službu a zároveň musí mať pripravený rozpočet na vyplácanie odmien za nájdenie zraniteľností.

Bežne sa stáva, že firma, ktorá sa rozhodne pre dlhodobý projekt, minie rozpočet na vyplácanie odmien napríklad už za tri mesiace, nakoľko sa našlo veľké množstvo zraniteľností. V tom momente sa v našom systéme objaví informácia pre etických hackerov, že pri tomto projekte je už budget vyčerpaný.

Etickí hackeri majú možnosť nahlasovať chyby aj naďalej, no neručíme za to, že budú za to zaplatení. Čakáme potom na rozhodnutie klienta, či svoj rozpočet navýši, alebo sa rozhodne projekt pozastaviť, pokým bude mať opätovne pripravené prostriedky.

Spoločnosť, ktorá má záujem o služby Hacktrophy s vami uzatvára zmluvu. Ako máte ošetrené prípadné škody, ktoré by nastali činnosťou etického hackera?

Explicitne negarantujeme, že škody nenastanú. My chceme vytvárať ten priestor a nemáme šancu ručiť za každého z tých vyše tisíc ľudí, ktorí sú prihlásení. Do budúcna chceme, aby ich bolo niekoľkonásobne viac. Zákazníci si musia uvedomiť, že do toho idú s určitým rizikom. Aj pri penetračných testoch je riziko, aj keď je menšie.

Samozrejme, ak by sme prišli na to, že nejaký konkrétny etický hacker má nekalé úmysly, vieme informovať o tom, že etický hacker s konkrétnym menom, e-mailovou adresou a IP adresou porušil pravidlá a nie je to etický hacker, čím vlastne jeho „práca“ skončí.

Predpokladám, že existuje nástroj, ktorý kontroluje kvalitu práce etického hackera. Ako to u vás funguje a v akých výškach sa pohybujú odmeny za prácu etického hackera?

Kvalitu odvedenej práce etického hackera sleduje Hacktrophy pomocou takzvaných moderátorov. Ak etický hacker objaví zraniteľnosť, ktorá nie je dostatočne popísaná, moderátor výsledok neposunie zákazníkovi, ale vráti ho etickému hackerovi na dopracovanie.

Rozlišujeme 5 úrovní zraniteľnosti. Ide o informačnú, nízku, strednú, vysokú a kritickú úroveň. Pochopiteľne je najväčší záujem o zákazky, ktoré majú atraktívne finančné ohodnotenie. Niektorí zákazníci majú eminentný záujem platiť len za identifikovanie vysokých a kritických zraniteľností v rádovo stovkách alebo tisíckach eur. Za informatívnu, či naopak nízku nechcú platiť nič.

Sú však aj takí zákazníci, ktorí za identifikovanie informačnej či nízkej zraniteľnosti zaplatia etickému hackerovi 20 € alebo 40 € len z toho dôvodu, že chcú byť informovaní aj o takejto zraniteľnosti.

Nakoľko sme globálni, tak aj takéto nízke sumy sú v niektorých častiach sveta veľmi vzácne. Máme etických hackerov napríklad z Pakistanu, Indie, či z juhovýchodnej Ázie, ktorí sa snažia vyhľadávať aj takéto nízke zraniteľnosti, pretože aj 20 € je pre nich veľká suma. Cena za identifikovanie bezpečnostného rizika sa môže pohybovať v desiatkach, stovkách, ale aj v tisícoch eur, nakoľko to závisí od úrovne zraniteľnosti.

Spomínali ste, že etickí hackeri pochádzajú z rôznych krajín sveta. Existuje nástroj, ktorým je možné daného človeka preveriť, aby sa zabránilo tomu, že za etického hackera sa bude vydávať ten bežný, nebezpečný hacker?

Na našom portáli sú uvedené podmienky, ktoré musí každý, kto sa zúčastňuje projektov, ako etický hacker akceptovať. Treba si však uvedomiť, že keď má niekto systém, web aplikáciu, mobilnú aplikáciu alebo čokoľvek, čo funguje pomocou internetu, tak je vystavený úplne všetkým nebezpečenstvám. Nielen našim etickým hackerom, ktorí súhlasili s podmienkami a na základe nájdenia chyby môžu získať finančnú odmenu, ale aj tým zlým.

Rozlišujeme však dva tipy projektov. Verejné, kde projekt bude zverejnený úplne všetkým etickým hackerom, ktoré sú zaregistrovaní v našom systéme, alebo súkromné, ktoré sa nezverejňujú plošne, ale vyberajú sa len konkrétni etickí hackeri, ktorí sa majú daného projektu zúčastniť.

Oslovení sú etickí hackeri o ktorých vieme, že sú spoľahliví, robili už na viacerých projektoch a mali už aj vyplatené odmeny. Nevýhoda v tom je, že na súkromných projektoch robí menej ľudí ako na verejných, takže na projekt nebude pozerať až toľko očí.

Na projektoch môže pracovať viacero etických hackerov, ktorí hľadajú bezpečnostné chyby. Odmena je vyplácaná ako balík, ktorý sa rozdelí celej skupine, alebo len jednotlivcovi, ktorý chybu nájde?

V našom prípade je odmena vyplácaná za akceptovaný report. Etický hacker nájde zraniteľnosť a musí ju vyreportovať. Akceptovaný report znamená to, že náš moderátor zistí, či je zraniteľnosť relevantná a ak áno, posunie ju zákazníkovi. Zákazník si to preverí a ak povie, že ide o zraniteľnosť, v tom momente vzniká nárok na finančnú odmenu. Veľmi často sa stáva, že už moderátor zistí, že o zraniteľnosť nejde.

Ďalej sa stáva, že etický hacker si myslí, že našiel kritickú zraniteľnosť, no nakoniec ide o strednú alebo nízku. A to isté sa stáva aj naopak. Ak dvaja rôzni etickí hackeri nahlásia rovnakú zraniteľnosť, pravidlo je, že odmenu dostane ten, ktorý to nahlásil ako prvý. Druhý dostane len informáciu, že niekto iný to nahlásil skôr ako on.

To je aj ochrana zákazníka, aby neplatil za jednu vec viac ako jeden krát. Zároveň je to aj motivácia pre etických hackerov, aby nevymýšľali napríklad s predajom informácií o bezpečnostnej chybe iným hackerom, nakoľko odmenu dostane len ten, kto ju ako prvý nahlási.

Spomínali ste, že v súčasnosti máte prihlásených vyše tisíc etických hackerov. Môžete uviesť, z akých krajín pochádzajú a z akých oblastí využívajú firmy Hacktrophy najčastejšie?

Nemám úplne presné čísla, no máme etických hackerov zo Slovenska, Čiech, Nemecka, Talianska, ale aj z krajín ako Spojené štáty, India, Pakistan, či štáty Južnej Ameriky. Z toho pohľadu pokrývame všetky časové zóny.

Firmy by som zhrnul do troch kategórii. Najčastejšie sú z technologickej oblasti, finančníctva a internetoví predajcovia. Toto sú hlavní zákazníci, pričom je to možno spojené aj s tou úrovňou povedomia o bezpečnosti v jednotlivých segmentoch. Chcem však oslovovať oveľa širšiu škálu.

Fungujú podobné projekty ako Hacktrophy aj v iných krajinách? A ak áno, tak v čom sa odlišujú?

Fungujú hlavne v Spojených štátoch amerických, pričom tam to funguje už oveľa lepšie, nakoľko sú zákazníci viac otvorení. My bojujeme s tým, že v Európe sú ľudia konzervatívnejší. Častokrát sa stáva, že sem prídu možno až o dekádu neskôr niektoré mainstreamové veci, oproti USA.

Aj tam sa nám potvrdzuje, že v Spojených štátoch používajú tieto služby všetky veľké firmy ako Microsoft, Facebook či Google, ktoré si to prevádzkujú svojpomocne, ale aj iné veľké firmy ako Tesla, či dokonca Pentagon. Kedysi by ste išli za hackovanie do basy a dnes vám vyplatia odmenu (smiech).

Tam vidieť, aký to má potenciál a ten rozdiel u nás je ten, že sme prispôsobení tunajším podmienkam. Máme zmluvy a pravidlá pripravené na európske, ale aj špecificky slovenské a české právo. Rozumieme lepšie zákazníkom, ktorí sú tu a vieme sa s nimi aj fyzicky stretnúť.

V budúcnosti plánujeme otvoriť našu platformu aj lokálnym partnerom z iných európskych štátov, ktorí by mohli lokálne zastupovať Hacktrophy a zastrešovať obchodnú, ale aj profesionálnu (moderátorskú) funkciu. Chcem v podstate otvárať pobočky, pričom už rokujeme aj s jedným holandským partnerom. Ak by sa nám toto podarilo, tak by sme vytvorili ďalšiu komunitu alebo platformu pre ľudí v Európe, ktorí sa pohybujú v oblasti bezpečnosti.

Vrátim sa úplne na začiatok. Keď vznikla myšlienka vytvoriť Hacktrophy, potrebovali ste na vytvorenie tohto projektu aj nejaký kapitál? Ak áno, tak odkiaľ ste čerpali zdroje a na aké veci museli byť využité?

Investori sme vlastne my ako súkromné osoby, respektíve majitelia troch konkurenčných firiem. Vložili sme teda do projektu kapitál z našich vlastných zdrojov, ktorý bol použitý hlavne na prípravu všetkých legislatívnych vecí, ako sú zmluvy, pravidlá a podobne.

Ďalšie prostriedky boli použité na vývoj a údržbu aplikácie, či samotné nadizajnovanie procesov. Ďalšie náklady boli spojené s marketingom a samozrejme aj s výplatami pre tím, ktorý na projekte pracoval.

Ste slovenský projekt s ambíciami sa globálne rozširovať. Využívajú vaše služby slovenské firmy alebo skôr spoločnosti zo zahraničia?

Využívajú naše služby aj slovenské firmy, dokonca veľmi známe slovenské firmy, pričom Česko a Slovensko považujeme za náš domáci trh na ktorý sa koncentrujeme. Chceli sme si vytvoriť takú základňu, ktorá by nám potom umožnila urobiť pohyb smerom do Európy.

Dnes sa však už otvárame našim partnerom, pričom máme rôzne príležitosti aj z okolitých štátov, ktoré by sa mohli začať napĺňať možno už aj začiatkom nového roka. Primárne však gro našich zákazníkov tvoria firmy zo Slovenska a z Českej republiky.

Hovorí sa, že IT bezpečnosť je na Slovensku do značnej miery ignorovaná. Ako je to na Slovensku v skutočnosti v porovnaní s inými krajinami?

Je to ťažké generalizovať. Záleží to však od konkrétnej oblasti. Napríklad banky na Slovensku a v zahraničí sú na podobnej úrovni. Banky jednoducho musia dbať na bezpečnosti, pričom ich k tomu tlačí aj regulátor. Sú však aj oblasti, kde je to stále výrazne slabšie voči zahraničiu, ale tiež je otázka, že ktoré zahraničie porovnáme.

Iné je to na Západe a iné na Východe. Vieme definovať napríklad lídrov v IT bezpečnosti. Jedným z nich je Veľká Británia, ktorá je otvorená novým technológiám a vie ich využiť. Ďalšími silnými krajinami v IT bezpečnosti sú aj Holandsko, či Nemecko.