Hogyan kezdődött nálad az IT biztonság iránt való érdeklődés?
Az egyetem alatt egy évfolyamtársammal kitaláltuk, hogy csinálunk egy bizniszt, azonban sok tárhelyre lett volna szükségünk, ugyanis sok képet, videót kellett feltölteni. Végül mi raktunk össze egy szervert, és azt gondoltuk, hogy fiatal egyetemistaként értünk a szerverek működtetéséhez. Gyorsan kiderült, hogy ez nem így van. Amikor előjöttek az első problémák a nálunk tárolt weboldalakkal kapcsolatban, akkor kezdett el igazán érdekelni, hogy hogyan tudnak megtámadni, hol a rés a pajzson?
Elkezdtem érdeklődni az IT security iránt, majd Győrben összehozott az élet Páncél Zolival, őt kértem meg, hogy nézze meg a szervert, hol lehet a rés. A válasza az volt, hogy „ott is talált lyukat, ahova nem is nézett.”
Ez adott egy löketet, így elkezdtem foglalkozni vele, végül pedig beszippantott az IT security.
Ijesztő az emberek számára a hacker szó? Vagy inkább az IT biztonsági szakembert használod?
Az IT biztonsági szakember megnevezést azért nem használom, mert az olyan „öltönyös embernek” tűnik. Ha valakinek azt mondod, hogy IT biztonsági szakember vagyok, akkor azt mondja „jó rendben, én meg marketing asszisztens”. De ha valakinek azt mondod, hogy etikus hacker vagy, akkor egy kicsit meglepődik és elindulhat egy beszélgetés.
Meglepődnek, hogy nem fekete csuklya van a fejeden?
Igen, megkérdezik, hogy ez legális munka-e, tényleg van-e ilyen? De néha tényleg félnek az embertől. Elgondolkoznak, hogy most akkor beengedjük-e a hálózatra vagy sem. De természetesen mindenkinek elmondom, hogy nem csinálok semmi olyat, amire nincsen felhatalmazásom. Etikus hackerként törvényi jogi kötelezettségeim vannak, illetve az etika is ahhoz köt, hogy ne nézzek meg olyan rendszert, amire nem kértek meg.
Sérülékenységvizsgálatokkal, behatolási tesztekkel, tudatosító kampányokkal foglalkozol. Jellemzően egyedül szoktál dolgozni?
Úgy indult, hogy egyedül, és érdekes módon a koronavírus hozott egy nagy áttörést ebből a szempontból. Amikor berobbant és azt érzékeltük, hogy minden megállt, akkor rengeteg megkeresés jött, hogy csináljunk penetrációs teszteket. Így 1,5-2 évig 4-5 alvállalkozóval dolgoztam folyamatosan. Az egy nagyon jó, de sűrű időszak volt. Kialakult egy olyan csapat, akikre számíthatok, ha van olyan munka, amit gyorsan kell elvégezni. Úgyhogy a csapat létszáma változó, 1 és 5 fő között mozog.
Van YouTube csatornád és a Hack és Lángos podcast epizódokban is szerepelsz. Hogy látod, ezek segítik a munkádat, szakmailag bővülsz vagy tudás átadásnak használod?
Kezdjük a csatornával, mert az volt az első. Én annak idején blogot írtam, és tudtam, hogy rendszeresen kell blogot írni, mondjuk minden héten egyet. Viszont egy blogbejegyzést megírni mindig nagyon macerás volt, folyton átírtam, mert nem tetszett. Jött egy téli időszak, amikor úgy voltam vele, hogy nem akarok tovább írni, és egy hirtelen ötlettől vezérelve azt gondoltam, hogy akkor csinálok inkább videót. Teljesen amatőr volt az elején, rossz kamerával, rossz mikrofonnal. A csatorna azzal a céllal indult, hogy megismerjenek az emberek, tudják, hogy ki vagyok én, mivel foglalkozom, ki az etikus hacker, mit csinál, mire kell odafigyelni.
A feleségem mindig csodálkozva nézett, hogy ezzel töltöm a szerda estéimet, de végül lett anyagi vonzata is. Egyszer ültünk az autóban, akkor volt 1,5-2 éves a csatorna, és előtte lévő nap ment ki egy videó, hogy indul az etikus hacker mentor programom, akit érdekel az jelentkezzen. Mentünk be a városba és folyamatosan csörgött a telefon, azzal kapcsolatban, hogy hol kell jelentkezni, hol kell fizetni stb. Akkor tudtam azt mondani, hogy itt van az eredménye a szerda estéimnek.
Volt olyan penetrációs teszt, ahol nagyobb cégeket is megkértek, hogy adjanak ajánlatot, és mégis én kerültem kiválasztásra. Amikor megkérdeztem, hogy miért én, a válasz az volt, hogy „a Te csatornádat nézzük, benned bízunk.”
Ma már nagyon szeretem csinálni, szeretek tudást átadni és szeretek tanulni. Ha van egy téma, ami érdekel és csinálok róla videót, annak utána kell olvasni mélyebben. A Hack és Lángosnál meg főleg, mert előtte nem volt arra szükségem, hogy heti szinten nézzem meg az IT security híreket, most viszont fel kell készülni az adásokra.
Így azt gondolom, hogy ez számomra is előnyös.
Említetted a mentor programot. A videók közben eszméltél rá, hogy kevés a kiberbiztonsági szakember és nincs megfelelő képzés Magyarországon?
Én nem akartam ebbe az irányba elmenni, nem akartam oktató videót csinálni. Mándó Milán keresett meg, a Minner Akadémiától, hogy csináljunk egy ilyen képzést. Ez akkor még sima képzés volt, mentorálás nélkül, amit előre elkészítettünk, és kirakhattam a saját felületemre is. Akkor döbbentem rá, hogy erre van igény.
Tudod, hogy hány hacker végzett ezeken a tanfolyamokon nálad?
Fejből nem tudom, sok jelentkezés jön egyszerre, mert ez nem olyan tanfolyam, ami keretek közé van szorítva, ez teljesen rád van bízva. Valaki 2 hónap alatt végez vele, valaki pedig elhúzza 3 évig. Nehéz megmondani, de rendszeresen vannak új hallgatók hirdetés nélkül is.
Sérülékenységvizsgálat vagy penetrációs tesztelés?
A sérülékenységvizsgálatot annyira nem kedvelem, a pentesztelés a fő profilom. A sérülékenységvizsgálat esetén, például van egy ház, ahol résnyire nyitva van az ajtó. Ennél a pontnál szólsz, hogy itt nyitva van az ajtó. Pentesztnél ezt nem teszed meg. Odamész, megpróbálod berúgni az ajtót, és lehet, hogy van bent két pitbull, akik szét akarnak szedni és nem engednek be. Innentől kezdve pentesztnél ez nem találat, hiszen nem tudsz elvinni semmit a házból, ezzel szemben a sérülékenységvizsgálatnál be tudsz menni, de nem látod mi van a pitbullokkal.
Mit szeretsz a pentesztben?
Amikor összeállnak a morzsák. Szerintem a penteszt folyamata 80%-ban unalmas tud lenni addig, amíg az egész rendszert feltérképezed, lefuttatsz pár automata toolt, ami segíthet, és próbálod összerakni a fejedben, hogy mi történt igazából. Ez nem egy intuitív, és nem egy túl izgalmas történet, de ha találsz valahol egy fogást, amit elkezdesz tekergetni, megnézed jobbról-balról, és össze tudod fűzni egy olyan lánccá, amiből kivitelezhetsz egy sikeres támadást, az izgalmas dolog.
Tudsz említeni olyan sérülékenységet, amelynek a megtalálására büszke vagy és beszélhetsz róla?
Kettő olyan van, ami eszembe jut. Az egyik esetnél, egy IT security cégnek a termékét vizsgáltam néhány évvel ezelőtt. Bár a termék tök jó volt, de sikerült bejuttatni egy exploitot az ügyfélszolgálati rendszerbe. Beküldtem egy hibajegyet végső próbálkozásként és egy napra rá jött visszajelzés, hogy ez a script lefutott, és onnantól kezdve meg lehetett ismételni.
Volt egy másik eset, ahol érzékeny adatokkal dolgoznak. Itt a rendszerben találtunk egy csomó apróságot, amik ott voltak, de nem tudtunk velük mit csinálni. Két ilyen álmatlan éjszaka után kijött belőle egy olyan lánc, hogy akármilyen feladóval beküldött e-maillel elértem, hogy a rendszer a háttérben kreált egy adminisztrátori felhasználót.
Hogyan kezdtél el bug bountyval is foglalkozni szabadidődben?
Nagyon ritkán bug bountyzok, de amikor van rá időm, akkor élvezem. Ha az ember követ külföldi youtubereket, akkor időnként feléled a vágy, hogy milyen jó lenne csinálni, mennyi lehetőség van benne. Plusz vannak olyan srácok a csapatban, akik évek óta bug bountyznak, nagyon jó eredményekkel, kiváló gondolkodással.
Ha sok időm lenne, én is foglalkoznék vele. Próbálkoztam nagy nemzetközi oldalakon, de azzal az idővel, amit rá tudok fordítani, esélyem se volt. Ekkor jött képbe a Hacktify platform. Szimpatikus volt, hogy nincsen rajta tumultus, és volt rögtön egy program, amit megnéztem és találtam is benne hibát. Ami kifejezetten jó élmény volt, hogy jelentettem a hibát és 2 vagy 3 napon belül a Hacktify-tól meg is kaptam az összeget.
Ha bug bountyzni szeretnék valamikor a jövőben, akkor biztosan a Hacktify lenne az első, ahol megpróbálnám, mert nem szeretek úgy dolgozni, hogy nincs benne sikerélményem.
Hogy látod, mit rontanak el a cégek leggyakrabban az IT biztonságban?
Beszélhetünk a fejlesztésekről, az üzemeltetésről vagy az emberek képzéséről. Mind a három helyen vannak hibák.
Én a legjobban a technikai részt látom. Régen rengeteg olyan rendszerrel találkoztunk, ahol olyan OWASP Top 10-es hibák voltak, amiket könnyű volt feltárni. Azt veszem észre, hogy
a KKV cégeknél ezek a hibák már háttérbe szorultak. Viszont, amik ennek hatására előjöttek, azok a logikai hibák, amikor a működésben vannak olyan hibák, amiket már említettem, például, hogy beküldünk egy e-mailt és a háttérben létrejön egy új felhasználó. Ezek nagyobb hangsúlyt is kapnak a penteszt során.
Az oktatásban pedig hatalmas elmaradás van szerintem. Gondoljunk bele, hogy a tűzvédelem oktatás minden évben kötelező, de manapság hackerrel többet találkozunk, mint tűzzel, az IT security awareness tréningek mégis nagyon el vannak felejtve.
Említetted, hogy amikor megemlíted, hogy etikus hacker vagy, az embereknek kikerekedik a szemük. Hogy látod, ez a koronavírus óta elfogadottabb?
A KKV-k még mindig elmaradottak ilyen szempontból, felmerül bennük a kérdés, hogy kinek lehetnék én célpontja? Mindig el kell mondani, hogy bárki fel akarhat téged törni, mert a Te szervered is remek ugródeszka lehet ahhoz, hogy nagy szervezetet sikerüljön elérniük.
De a GDPR óta sokkal jobban lehet az embereket motiválni, főleg, ha sok ügyféladat van a rendszereikben.
Egy körülbelül 50 fős vállalatnak mit tanácsolnál, hogyan tudja elkerülni a kritikus sérülékenységeket?
Elsősorban azt, hogy patcheljenek mindig mindent, vagy nagyon szabályozzák le, hogy honnan érhető el az adott rendszer.
Ezenkívül ne hanyagolják el a frissítést, korlátozzák a hozzáféréseket és képezzék a munkatársakat.
Mit tanácsolnál annak, aki etikus hacker szeretne lenni?
A nyelvtanulás nagyon fontos ebben a szakmában. Minden új információ angolul jelenik meg először, így, ha valaki azt nem érti, lemarad. Illetve kell az az attitűd, hogy az illető mögé akarjon nézni a dolgoknak.
A podcast adás itt érhető el.
