Slovenija

'Etični hekerji imajo veliko znanja, a so zlonamerni vedno korak pred njimi'

Ljubljana, 17. 12. 2022 18.14 |

PREDVIDEN ČAS BRANJA: 11 min
Avtor
Kaya Kamenarič
Komentarji
5

V Sloveniji je potekalo prvo srečanje Hack The Box (HTB), namenjeno izobraževanju in mreženju etičnih hekerjev. Prav slovensko podjetje je namreč pridobilo posebno dovoljenje organizacije za izvedbo dogodka. Navdušenci so najprej samostojno reševali hekerske izzive, nato pa jim je pomagal še David Kavčnik, ki je na seznamu desetih najboljših certificiranih etičnih hekerjev na svetu. Z njim smo med drugim spregovorili o strasti do hekanja, pogajanju z zlonamernimi hekerji, stanju kibernetske varnosti v Sloveniji in o tem, ali tudi etične hekerje kdaj zamika, da bi prestopili mejo legalnega.

Hekerski dogodek
Hekerski dogodek FOTO: Damijan Žibert

Vsakih 11 sekund se v svetu zgodi napad z izsiljevalsko programsko opremo, ti pa so po poročanju Cybercrime Magazine svetovno gospodarstvo v letu 2021 stali približno 20 milijard. Take in podobne številke opozarjajo na nujnost ozaveščanja o kibernetski varnosti in izobraževanja t. i. etičnih hekerjev. Na tem področju deluje tudi ena vidnejših svetovnih organizacij Hack The Box (HTB), ki je z 1,2 milijona članov največja skupnost navdušencev nad hekerskimi izzivi na svetu.

Gre za svetovno platformo, ustanovljeno leta 2017, ki združuje cel svet hekerjev, za lokalne dogodke pa organizatorji potrebujejo posebno dovoljenje od organizacije, ki ga je zdaj pridobilo slovensko podjetje Telprom. "Tako so prvič dobili priložnost, da se zares povežejo tudi naši lokalni hekerji," pravijo v podjetju. 

Že skoraj od samega začetka je član platforme tudi etični heker David Kavčnik. "Veliko se govori o tem, da šolski sistem premalo praktično izobražuje na področju kibernetske varnosti. Tudi v pogovorih z mladimi se izkaže, da je temu vsaj delno tako," pravi Kavčnik in pojasnjuje, da so se v njihovem podjetju odločili, da ne bodo s prstom kazali na morebitne krivce za pomanjkanje kadra s tega področja, ampak bodo raje aktivno pristopili k reševanju te problematike. Čeprav se trenutno osredotočajo na grajenje skupnosti v Sloveniji, se jim bodo verjetno kmalu pridružili tudi strokovnjaki in začetniki iz bližnjih držav. "Smo praktično edini v tem delu Evrope, ki organiziramo ta dogodek," je povedal. 

Namen dogodka je združiti tako strokovnjake kot laike in tako ustvariti skupnost, ki bi lahko med seboj nesebično delila izkušnje in si pomagala. Njihov dolgoročni načrt je, da bi prikaz posameznih rešitev hekerskih izzivov izvajali različni strokovnjaki tudi iz drugih, konkurenčnih podjetij, da lahko mladi dobijo čim več različnih pogledov, opremljenih s praktičnimi primeri iz našega vsakodnevnega dela.

V petek se je dogodka udeležilo okoli 20 hekerjev, ki so v približno štirih urah rešili enostavne (3x easy box) izzive, najprej samostojno ali v manjši skupini, potem pa skupaj s Kavčnikom, ki je dodal še praktične primere in odgovarjal na vprašanja. V prihodnosti sicer načrtujejo tudi podeljevanje nagrad. "Verjamem, da so tudi nagrade tiste, ki bi lahko privabile mlade, vendar si prvotno želimo, da je brezplačna pridobitev praktičnega in uporabnega znanja s področja kibernetske varnosti tisto, kar bi mlade privabilo na dogodek," pravi Kavčnik.

'Besedo hekanje pogosto povezujemo s kriminalnimi aktivnostmi, kar pa ni vedno nujno pravilno'

Hekanje dejansko pomeni iskanje in zlorabo različnih varnostnih pomanjkljivosti informacijskega sistema, naj si bo na nivoju komunikacijskega omrežja, operacijskega sistema ali spletnih in drugih aplikacij, pojasnjuje Kavčnik.

 "Velikokrat besedo hekanje povezujemo s kriminalnimi aktivnostmi, kar pa ni vedno nujno pravilno. Podjetja in organizacije nas, etične hekerje, najamejo, da preverimo ustreznost različnih varnostnih mehanizmov, ki zagotavljajo varnost v informacijskih sistemih," pravi in dodaja, da na podlagi ugotovitev nato pripravijo obsežno tehnično in vodstveno poročilo, ki ga predstavijo naročniku, in poskrbijo, da dejansko razume varnostne pomanjkljivosti in načine za odpravo le-teh.

Da je Kavčnik resnično strokovnjak na svojem področju, dokazuje tudi umestitev na lestvico najboljših 10 etičnih hekerjev na svetu. Organizacija EC-Council podeljuje in skrbi za certifikacije s področja kibernetske varnosti, med drugim podeljujejo tudi certifikat Certificiran etični heker, ki ga je pridobil tudi Kavčnik. 

Umestitev na lestvico poteka tako, da kandidati opravijo teoretični in praktični del izpita, kjer se ocenjujeta hitrost in pravilnost izvedbe posameznega testa, najboljših 10 v določenem časovnem obdobju pa objavijo na svoji lestvici. "Vsako priznanje je seveda potrdilo, da stvari delaš prav. Kljub temu, da so certifikacije nujno potrebne za prikaz kompetentnosti posameznika, pa so zgolj delček potrebnega, da si res strokovnjak na področju oziroma etični heker," pravi.

Od serviserja računalnikov do operativnega direktorja podjetja

In kako se je znašel v vlogi etičnega hekerja? Kot pravi, se je za tehnologijo in računalništvo zanimal že od otroštva, odkar je dobil prvi računalnik. "S programiranjem kot takim sem se bolj kot ne srečal zgolj v srednji šoli, z učenjem hekanja pa sem začel v mladih letih. Takrat sicer ni bilo toliko možnosti za izobraževanje, kot jih imajo mladi danes, vendar so se, če te je področje zanimalo, na spletu še vseeno našle informacije, iz katerih si lahko začel svoje raziskovanje," pravi.

David Kavčnik
David Kavčnik FOTO: Damijan Žibert

Kariero je začel s servisiranjem računalnikov, nato pa je servis prevzel še vzdrževanje informacijskih sistemov, vključno s komunikacijskimi omrežji, strežniki in delovnimi postajami različnih podjetij in organizacij. "Vsak nov segment s področja informacijskih tehnologij, ki sem ga spoznal, mi je dal zagon za pridobivanje novih znanj," pravi, vzporedno pa se je še vedno ves čas, a bolj za hobi, ukvarjal z učenjem etičnega hekanja. Njegovo zanimanje za informacijske sisteme je kmalu preraslo izzive dela v servisu, zato je sprejel priložnost za zaposlitev v podjetju Telprom.

Tam je začel kot tehnik za podporo uporabnikom, občasno pa je pomoč nudil tudi na oddelku za komunikacijska omrežja, kajti to je področje, na katerem je želel nadaljevati svojo kariero. Z veliko samoiniciativnosti je rešil tudi marsikateri izziv s področja komunikacijskih omrežij in hitro postal samostojni inženir, po nekaj zahtevnih projektih pa prevzel tudi vodenje celotnega oddelka. 

Njegovo željo po nenehnem izboljševanju in širitvi obsega storitev je opazil tudi lastnik in izvršni direktor podjetja, ki ga je nato imenoval za operativnega direktorja podjetja. V port folio storitev so tako začeli vse bolj vključevati tudi kibernetsko varnost. "V podjetju smo vpeljali storitev izvajanja varnostni pregledov informacijskih sistemov in s tem je tudi moj hobi etičnega hekanja prerasel v profesionalno kariero," je dodal. 

Bi lahko vsak postal uspešen etični heker? 'Visoke plače niso dovolj dobra motivacija'

Kavčnik pravi, da bi etični heker lahko postal kdor koli, ki ga področje iskreno zanima in je v izobraževanja s področja kibernetske varnosti in informacijskih sistemov pripravljen vložiti ogromno svojega tako prostega kot službenega časa. "Lahko bi rekli, da je biti etični heker nekako tudi življenjski slog, saj je potrebno tudi veliko svojega prostega časa posvetiti izobraževanju s tega področja, saj je to področje res zahtevno," pravi sogovornik. 

Že dolgo obstaja prepričanje, da so inženirski poklici s področja informacijskih tehnologij na splošno izjemno dobro plačani v primerjavi z drugimi poklici, toda Kavčnik meni, da dobro plačilo ni dovolj dobra motivacija za to, da bi nekdo postal uspešen etični heker. "Prvotno mora obstajati iskreno in resnično zanimanje za področje, v nasprotnem primeru bo tempo potrebnih izobraževanj za to področje prehud in bi, preden bi uspeli pridobiti dobro plačo, obupali," je prepričan. 

"Se strinjam, da so eksperti s področja informacijskih tehnologij, naj si bodo programerji, sistemski inženirji, inženirji za kibernetsko varnost ali drugi, dobro plačani. Vendar pa je plača primerna ekspertnemu poznavanju posameznih področji, za kar pa je treba dedicirati tudi veliko svojega prostega časa in odrekanj na drugih področjih, kar pa posledično in logično prinese večjo plačo," pojasnjuje. 

David Kavčnik
David Kavčnik FOTO: Damijan Žibert

Pri starosti hekerjev seveda ni omejitev, nekatere, med drugim tudi Kavčnika, je etično hekanje na primer zanimalo že v osnovni šoli. Opomnil je, da vsakemu začetniku seveda manjkajo izkušnje, ki pa jih na začetku svoje karierne poti niti ne morejo imeti. "Na drugi strani pa so mladi običajno bolj vedoželjni in željni se še dokazati, tako da več svojega časa vlagajo v izobraževanja na tem področju, na drugi strani pa se lepo dopolnjujejo s svojimi starejšimi kolegi, ki jih lahko vodijo in jim pomagajo s svojimi dragocenimi izkušnjami," je prepričan.

Po svetu obstajajo številne skupnosti navdušencev nad hekanjem, takšna društva pa že obstajajo tudi v Sloveniji. Predvsem gre za društva, ki mlade spodbujajo k raziskovanju tega področja in jim pomagajo pri razvoju morebitne kariere iz tega področja. "Tudi na državni ravni že obstajajo tekmovanja, kjer se udeleženci preizkusijo v različnih izzivih s področja kibernetske varnosti, primer je vaja kibernetske varnosti Locked Shields, ki je potekala pod okriljem NATO," je izpostavil sogovornik. 

'Kibernetski napadi na kritično infrastrukturo lahko ogrožajo tudi človeško zdravje in življenje'

"Ozaveščanje o kibernetski varnosti je izjemnega pomena, saj se dotika praktično vsakega uporabnika elektronskih naprav: mobilnih telefonov, računalnikov, pametnih hiš," pravi Kavčnik. Dnevno se število elektronskih naprav, ki jih uporabljamo, še povečuje, vse te naprave pa potencialno predstavljajo določeno varnostno tveganje, nevešči uporabniki pa ga še povečajo. 

Danes želimo imeti vse informacije na dlani, izjemno pomembno je, da so te informacije na dlan dostavljene varno. "Tukaj poleg ostalih inženirjev, ki bodo zagotavljali, da se v ves ta razvojni proces vključuje tudi kibernetsko varnost, potrebujemo tudi etične hekerje, ki bodo preverjali varnost teh sistemov," trdi Kavčnik. 

"Velikokrat je znesek odkupnine nekajkratnik zneska, ki bi ga bilo treba vložiti v zaščito informacijskega sistema, da do takega vdora ne bi prišlo," opozarja Kavčnik.

Ko govorimo o gospodarski škodi, je najpogostejša zahteva zlonamernih hekerjev še vedno pridobitev finančnih sredstev. To lahko storijo z onemogočanjem delovanja informacijskega sistema in zahtevo po odkupnini, s katero nam dajo dostop do programske opreme, ki bi omogočala povrnitev delovanja informacijskega sistema, ali pa s krajo podatkov in zahtevo po odkupnini, da podatkov ne objavijo javno ali prodajo, je pojasnil. 

Pravi, da o kibernetskem kriminalu ne govorimo zgolj v gospodarstvu, vendar tudi na državnem nivoju v primeru kibernetskih vojn in podobno. "V primerih, ko govorimo o kibernetskih napadih na kritično infrastrukturo držav, pa žal govorimo tudi o dejanskem ogrožanju človeškega zdravja in tudi življenja," je še dodal.

Pri tem sogovornik zagotavlja, da pogajanje s hekerji vsekakor ni smiselno. "Tako tvegamo, da kljub plačilu morebitne odkupnine še vedno objavijo podatke ali pa ne posredujejo potrebne programske opreme, ki bi nam ponovno omogočila delovanje informacijskega sistema. Obenem pa jih s temi odkupninami dodatno financiramo in omogočamo njihov nadaljnji razvoj in širitev ter nadgradnjo njihovih dejavnosti," je prepričan.

Dodal je, da si želi, da bi bili na točki, ko bi lahko rekel, da se dejansko tudi v praksi nobeno podjetje s hekerji ne pogaja. "Vendar če si predstavljamo, da je podjetje 20 let na trgu in celotno poslovanje bazira na informacijskem sistemu, do katerega čez noč nimajo dostopa, v takih primerih predvsem manjša podjetja velikokrat odkupnino plačajo in tvegajo, da jim hekerjih resnično posredujejo programsko opremo, s katero lahko ponovno vzpostavijo delovanje informacijskega sistema in pridejo do podatkov," razlaga in pojasnjuje, da je to za njih v primeru, da se to res zgodi, kljub vsemu še vedno ceneje kot ostati brez vseh podatkov. 

David Kavčnik
David Kavčnik FOTO: Damijan Žibert

Ali etični hekerji dohajajo zlonamerne hekerje?

Znanja na strani etičnih hekerjev je veliko, vendar so zlonamerni hekerji vedno korak pred njimi. Kot pravi Kavčnik, za to obstaja več razlogov. "Med drugim zlonamerni hekerji niso omejeni z zakonodajo in za njih ne obstajajo omejitve in pravila, kaj smejo in kaj ne. Lahko napadajo vaš osebni elektronski račun in prek njega pridobijo podatke za dostop do nadaljnjih sistemov, lahko tudi službenih, potem pa vas lahko izsiljujejo za nadaljnje pridobivanje podatkov," razlaga. Poleg tega pa zlonamerni hekerji veliko svojih aktivnosti izvajajo masovno. Primer je pošiljanje zlonamernih sporočil, saj jih dnevno lahko pošljejo na milijone. "In če so uspešno zgolj pri enem odstotku? Je to že veliko," še pravi Kavčnik.

Prepričan je, da se za varnostne preglede ne odloča dovolj podjetij, predvsem v segmentu srednjih in manjših podjetji. Večja podjetja so sicer vezana k opravljanju takih pregledov že z raznimi certifikati, za manjša in srednja podjetja pa je kibernetska varnost še vedno prevečkrat zgolj nepotreben strošek. 

"Kljub temu moram omeniti, da se vseeno trend zavedanja pomembnosti kibernetske varnosti dviguje, vendar še vedno žal ne s takim tempom kot na drugi strani zlorabljanje pomanjkljivega varovanja informacijskih sistemov," meni. Njihovo podjetje sicer sodeluje tako z manjšimi kot srednjimi in velikimi podjetji, za večje in obsežnejše projekte, ki jih ne morejo v celoti pokriti sami, pa se z veseljem povežejo tudi v različne konzorcije s poslovnimi partnerji.

Heker
Heker FOTO: Shutterstock

'Podjetij, ki ponujajo tovrstne storitve, je veliko, težava je v njihovi kakovosti'

V Sloveniji je podjetij, ki tovrstne storitve ponujajo, veliko, pravi Kavčnik, ki opozarja, da je težava v kakovosti teh storitev. "Tako da konkurenčnih podjetij, pri katerih so zaposleni eksperti za to področje, vseeno ni veliko," je dejal. 

Na trgu velikokrat srečajo podjetja, ki so že imela izkušnjo z nekakovostno izvedenim varnostnim pregledom in ga zato ne želijo ponoviti, saj iz tega pregleda niso znali razbrati dodane vrednosti, ki bi dejansko doprinesla k izboljšanju kakovosti kibernetske odpornosti podjetja. Zato je potrebno, da potencialni naročnik točno opredeli potek in pričakovanja samega varnostnega pregleda z izvajalcem. 

Zanimalo nas je še, če tudi etične hekerje kdaj zamika, da bi prestopili mejo legalnega. "Prepričan sem, da katerega med nami kdaj zamika kakšna taka aktivnost, morda niti ne iz finančnega vidika, vendar bolj iz zanimanja za tehnologijo," pravi Kavčnik. Njega osebno tako početje sicer ne mika. "Pri našem delu je etičnost ena izmed ključnih komponent, brez katere svojega dela ne moreš opravljati kakovostno." Dodal je, da brez pridobitve vseh potrebnih dovoljenj naročnika in podpisa obsežne birokratske dokumentacije ne izvajajo nobene interakcije z informacijskim sistemom.

KOMENTARJI (5)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

Astalaviva1958
17. 12. 2022 19.28
+9
napizdit nekoga da si inštalira teamviewer ali pa anydesk pa mu pol zakleneš pc pa pokradeš vse z online banke ni hekanje...to je scamerstvo.
flojdi
17. 12. 2022 19.00
+3
Lepo./imam namrec medaljo.prvo v zivljenju.dobljeno letos.na njej pise :naj heker podjetniskih idej.ker mi je nekje uspelo biti v dobri in pravi ekipi(bilo nas je 5 )/ naj pa povem ..da so meni nekoc..sodelavci znali reci : merki da te ne vidi sef..nam bo zvisal normo. .al pa..da dva dni po podani ideji dobis knisco..al pa da si sef prisvoji idejo ..in te pol ne mara do te mere da das odpoved./ej..eni pac..zivijo po starem..in ne marajo nikakrsne spremembe..cetudi je novo boljse tudi zanje
Ramzess
18. 12. 2022 11.09
+1
"da dva dni po podani ideji dobis knisco..al pa da si sef prisvoji idejo" Imajo, takih primerov je bilo veliko, so ljudje bili dobronamerni, potem pa končali v zaporu, njihovo delo pa ukradli in zlorabili. Spomni se primera fanta, ki je našel neko rešitev za banko, ta mu je to vzela, za obtožila in revež je končal v zaporu, banka pa je njegovo rešitel izkoristila.
flojdi
18. 12. 2022 18.41
.sj .tudi mojo idejo so tam kjer so mi dali knjizco..par dni po tem mojo idejo veselo Uporabili.preverjeno in dokazljivo s pricami.
flojdi
18. 12. 2022 18.41
.ampak se mi ne da ubadat s preteklostjo..sploh ne z Gnilo

Piškotki

To spletno mesto uporablja piškotke. S piškotki zagotavljamo boljšo uporabniško izkušnjo, enostavnejši pregled vsebin, analizo uporabe, oglasne sisteme in funkcionalnosti. S klikom na »Strinjam se« dovoljuješ vse namene obdelave. Posamezne namene pa lahko izbiraš in urejaš s klikom na »Nastavitve piškotkov«. Več o piškotkih lahko prebereš tukaj.

Omogoči uporabo piškotkov za ogled video vsebin, za boljše delovanje in napredno oglaševanje in si ob pregledu vsebin zagotovi optimalno uporabniško izkušnjo. S klikom na »Strinjam se« dovoljuješ vse namene obdelave. Posamezne namene pa lahko izbiraš in urejaš s klikom na »Nastavitve piškotkov«. Več o piškotkih lahko prebereš tukaj.