Pete Herzog je bezpečnostní výzkumník a hacker s více než 30 lety zkušeností, během kterých aplikoval své hackerské techniky na všechno od Al po Zero-Trust. Je spoluzakladatelem The Institute for Security and Open Methodologies (ISECOM.org), Urvin.ai AI R&D a Invisibles.cat AI Music. Zakladatel OSSTMM - Open Source Security Testing Methodology Manual, HackerHighschool.org a Cybersecurity Playbook. Žije podle motta: Hacknout všechno, ale nikomu neublížit.
Vaše bezpečnostní kariéra začala velmi brzy v oblasti fyzické bezpečnosti, ve které jste začal pracovat už během Vašich studií. Jak jste se k tomu dostal a bavilo vás to? Podařilo se vám později tyto zkušenosti s fyzickou bezpečností zúročit ve vašich projektech etického hackingu?
V různých prostředích od obchodu s obuví přes čerpací stanice až po kina jsem za minimální mzdu pracoval vlastně už od patnácti let a měl tak možnost poznat, jak se tyto firmy snaží svá aktiva a majetek zabezpečit. Když pak toto zabezpečení selhalo, viděl jsem výsledek z první ruky a následně zaváděl příslušná protiopatření. Do svých 24 let jsem vystřídal snad 20 těchto zaměstnání a díky tomu znal všechny triky, jak tato ochranná opatření obejít, přičemž v pěti případech byl proponent přímo vedoucí prodejny, kterého pak propustili za krádež. Takže co se bezpečnosti týče, dala mi tato zaměstnání skutečně jedinečnou zkušenost přímo z bitevního pole. Jakmile jsem pak začal pracovat v „profesionální“ kybernetické bezpečnosti, nebyla pro mne většina souvisejících konceptů novinkou, protože v té době byla většina aspektů kybernetické bezpečnosti velmi podobná bezpečnosti fyzické. V tomto ohledu po těch letech vím, že technologie dělají bezpečnost chytřejší, rychlejší a možná hezčí, ale jsou ve skutečnosti málo v čem „nové“.
Vaše první pozice v oblasti informační bezpečnosti byla v německém IBM a jejich čerstvě otevřeném oddělení etického hackingu pro Evropu, což bylo v době, kdy „internet byl ještě mladý a prostý“, jak jste uvedl v jiném rozhovoru. Na jakých typech projektů jste tehdy pracoval a jsou nějaké, které obzvlášť vyčnívají?
Byla to skvělá zkušenost, protože jsme měli možnost konzultovat v nejznámějších bankách a společnostech v Evropě a Severní Americe: M&M Mars s miskami bonbónů v zasedacích místnostech, banka La Caxia, Scottish Power, Telia Telekom, Airbus a mnoho dalších. Jeden z projektů, který mi utkvěl v paměti, je příběh zaměstnance společnosti Telia, který provozoval vlastního internetového providera z firemního zařízení. V té době bylo připojení k internetu drahé, takže na tom určitě velmi dobře vydělával. IT personál věděl, že je něco špatně, protože měli nízkou síťovou propustnost a velké latence, ale nemohli přijít na to, kde je problém. Sledovali jsme síťový provoz a našli jsme zdroj problémů, ale nebylo možné zjistit, který přesně z tisíců počítačů by to mohl být. Vytvořil jsem tedy útok DoS na tento systém v interní síti. Poté, co jsem ho popáté vyřadil z provozu, zavolal na podporu IT jeden znepokojený zaměstnanec, že se síť chová divně a jestli nejsou naplánované výpadky. Když jsme mu nabídli, že se u něj zastavíme a zkontrolujeme to, odmítl. Šli jsme tam tedy stejně a pod stolem našli dva počítače, které používal jako tyto servery. Dostali jsme ho.
"Technologie obecně může udělat zabezpečení chytřejším, rychlejším nebo hezčím. Nemůže ale změnit to, co zabezpečení dělá. A v tom, co to „dělá“ vlastně je, jsme dost omezeni."
Na internetu je dnes snadno dostupných celá řada zdrojů o informační bezpečnosti, metodik penetračního testování a různých pokročilých nástrojů, což tehdy nebylo. Jak jste postupoval při získávání relevantních informací nebo nástrojů pro konkrétní projekty, na kterých jste pracoval?
Většina nástrojů, které se mi tehdy dostaly do rukou, byla vytvořena přímo v rámci výzkumu IBM. Pracoval tam Wietse Venema, „vynálezce“ prvního scanneru SATAN a mimo jiné také tvůrce Black Thumb, programu pro spouštění různých DoS útoků. Měli jsme i další skenery a malé hackerské nástroje pro mix síťových a modemových útoků. Poté, co jsem odtamtud odešel, to bylo o tom připojit se k hackerským skupinám a udržovat kontakt s dalšími hackerskými nadšenci. Tyler Shields, který byl v @Stake, byl bratranec mého tehdejšího nejlepšího kamaráda, takže jsme se znali a sdíleli si hračky, nástroje a různé pirátské FTP úložiště. Připojil jsem se i k různým náhodným hackerským skupinám, abych získal další věci, ale většina z nich byla odpad. Občas jsem měl své vlastní nápady na nástroje nebo exploity a přestože jsem nebyl moc velký kodér, většinu jsem si nakonec dokázal udělat sám. Nakonec se v určitou chvíli objevilo packetstormsecurity, z nějž se poté stal primární zdroj, kam se tehdy přesně pro tyto věcičky chodilo.
Jaký byl nejzajímavější projekt etického hackingu, na kterém jste během své kariéry pracoval? Můžete se podělit o nějakou anekdotu ze své kariéry etického hackera?
Jeden takový projekt byl penetrační test proti jedné bance v Andoře někdy těsně po přelomu tisíciletí. To bylo v době, kdy jsem pracoval s novým a opravdu výborným týmem, do kterého patřil i skvělý člověk, se kterým pracuji dodnes, Lluis Vera, který vlastní společnost Ackcent Security v Barceloně. Byl to dost náročný test, protože administrátor věděl, že budeme testovat a vypínal počítače a systémy, které jsme sondovali. Jelikož v určitý moment bylo už celkem jasné, že se nejedná o náhodné výpadky, usoudili jsme, že nejspíš sleduje provoz z našich IP adres. Takže jsme začali simulovat provoz na mnoho náhodných systémů najednou, aby s námi nebyl schopen držet krok. Nakonec se nám do sítě podařilo proniknout, a dokonce jsme se dostali i do počítače tohoto administrátora, kde jsme našli analyzátor síťového provozu a potvrdili si tak naše podezření. Jako třešnička na dortu ale bylo, že jsme se dostali ke jménům majitelů jednotlivých účtů, což je velký problém pro banku provozující privátní bankovnictví v zemi jako je Andorra. A samozřejmě jsme si pohráli s účtem dobře placeného administrátora a upravili mu oprávnění na úroveň účtu, který jsme dostali pro testování jejich bankovní aplikace. Setkání po testu pak bylo docela dost zábavné.
Byl to nepřehledný test, protože administrátor věděl, že testujeme, a vypínal počítače a blokoval nás všude, kde jsme sondovali. Takže jsme usoudili, že musí sledovat naše IP adresy, protože to bylo příliš náhodné. Tak jsem se rozhodl zahltit síť smetím z více hostitelů, všechny ze stejné IP, takže pokud by nás sledoval, bylo by tam příliš mnoho šumu, aby s námi udržel krok. Podařilo se nám proniknout do sítě a dokonce jsme se dostali do Adminova počítače, kde jsme viděli, že má spuštěný síťový analyzátor. Ale šlehačkou na dortu bylo to, že jsme mohli zjistit jména lidí přidružených k bankovním účtům, což je velký problém pro země, které provozují soukromé bankovnictví, jako je Andorra. A samozřejmě jsme si pohráli s účtem dobře placeného administrátora a vyprázdnili ho na fiktivní účet, který jsme dostali pro testování privilegií v jejich bankovní aplikaci. To bylo zábavné setkání po testu.
Jak vás napadlo vytvořit OSSTMM (Open Source Security Testing Methodology Manual)? Co vás na procesu tvorby takové příručky nejvíce bavilo?
Po odchodu z IBM jsem dost bojoval s tím, že všechno to testování jen velmi málo pomáhalo najít všechny díry nebo vyřešit všechny problémy, které v organizaci s bezpečností souvisejí. Připadalo mi to spíše jako takový filmový kousek než jako služba. Proto jsem se rozhodl vytvořit metodiku testu ne se nezaměřím na prolomení, ale na vybudování obrany. Jistě, během testu k prolomení obrany docházelo, ale o to až tolik nešlo. Cílem bylo zmapovat díky kterým všem chybějícím opatřením bylo možné prolomení provést, aby výsledný report neříkal jen „aktualizujte wordpress na verzi 3.21“, ale rovněž upozornil na návazná opatření jako například, že administrátorské rozhraní by mělo být dostupné na špatně uhodnutelné adrese a ne výchozím umístění a jeho dostupnost na síťové vrstvě by měla být omezena na TTL 2.
Uvědomil jsem si, že bezpečnostní test by měl být měřením, které vám pomůže mít správně padnoucí zabezpečení, jako když si zkoušíte košili. Na výzkumu a tvorbě pro OSSTMM mám nejraději vzrušující okamžiky heuréky, kdy najdu chybějící kousek skládačky nebo si uvědomím, že jde o určitý vzor, a objevím dříve neznámé vlastnosti zabezpečení. Tento pocit mě stále žene kupředu. Pro účely OSSTMM jste si dal tu práci a vytvořil nový typ licence, aby metodika zůstala svobodná a otevřená, ale zároveň aby se zabránilo forkům a přepisům. Proč jste přepisování metodiky považoval za problém? Problém je v tom, že se má jednat o standard. Nešlo ani tak o to, že bychom nechtěli, aby ji lidé forkovali, ale aby ji forkovali a nazývali ji OSSTMM, což by bylo matoucí. Takže jsme chtěli, aby byla otevřená a užitečná a zároveň zůstalo jasné, co je standard. Tento účel to splnilo – co jsem koukal, došlo k mnoha přepisům a adaptacím do mnoha dalších věcí.
Ve vzdělávacích programech, jako je hackerhighschool. org, propagujete hacking, a konkrétně kreativitu, vynalézavost, vytrvalost a neustálé učení se novým věcem jako přístup k životu. Co bylo motivací stát se „učitelem“ a začít s těmito typy projektů? Děláte ještě technickou práci, a pokud ne, chybí vám?
HHS zbožňuji. Myslím, že ve světě, který je spojením kybernetického a fyzického a kde jsou životy lidí od práce až po zábavu online, je opravdu inspirující. Mladí lidé vstoupili do tohoto světa jako součást sociálních sítí svých rodičů a nad svou online identitou a existencí vlastně neměli kontrolu. HHS jim ji pomáhá získat zpět. Pravdou totiž je, že hackera nikdo dlouho nekyberšikanuje. Za posledních 20 let jsme kolem HHS vybudovali skvělý tým v čele s Bobem Monroem, Vincem Spearsem, Amelií Szczuchniak a Htet Aung (Starry), kteří jsou dnes v samém srdci projektu. Já sám se v HSS stále velmi angažuji, ale svůj čas věnuji hlavně výzkumu OSSTMM 4, pen testům, poradenství firmám a vedení projektů v oblasti umělé inteligence a Webu 3. Asi bych ale umřel, kdybych už dál nemohl pracovat na bezpečnostním výzkumu. Zbývá ještě tolik věcí, které je třeba vyřešit, a u většiny z nich jsme velmi blízko nalezení odpovědí.
Točí se tyto zmiňované odpovědi kolem umělé inteligence? Jaká přesně bude podle vás její role v budoucnosti kybernetické bezpečnosti?
Ne, netočí se kolem umělé inteligence. AI může pouze učinit bezpečnostní kontroly chytřejšími a méně závislými na lidském vlivu, jehož expertíza je dosti variabilní. Pokud tedy lidé mají 40 – 80 % úspěšnost při správném nastavování svého zařízení a AI má 75 % úspěšnost, pak AI konzisteně zvýší úroveň bezpečnosti všech takových zařízení. Lidé jsou chaotičtí, nedůslední a nepoučitelní. Beru to tak, že každou interakci člověka s procesem lze považovat za jednu neopravitelnou zranitelnost. Umělá inteligence je tedy odpovědí na odstranění této zranitelnosti. Což je dobře. Ale AI sama o sobě nevytváří nové zabezpečení, spíše jen zlepšuje způsob, jakým s bezpečností zacházíme.
Technologie obecně může udělat zabezpečení chytřejším, rychlejším nebo hezčím. Nemůže ale změnit to, co zabezpečení dělá. A v tom, co to „dělá“ vlastně je, jsme dost omezeni. A přesně takový výzkum děláme, protože odhalujeme vyskytující se vzorce a řešíme hádanky. Přijde nám, jako bychom objevovali Matrix.
Dám vám příklad. Za 25 let jsme identifikovali 12 provozních opatření, a žádné další. Důkazy o souvisejících vzorcích ukazují, že jich nemůže být více. Víme, že cokoli, nad čím nemůžete mít v interakci kontrolu, tomu musíte důvěřovat. Tyto důvěry mají své vlastnosti. S jistotou jsme věděli o 8 takových vlastnostech, takže jsme na základě logiky, že kde není kontrola, tam je důvěra, věděli, že nám chybí 4 vlastnosti důvěry. Tak jsme se pustili do hledání, při němž jsme objevili dvě možné nové opatření. Vyhodnotili jsme je a zjistili, že to ve skutečnosti nejsou opatření, ale vlastnosti opatření. To nás dále vedlo k pochopení toho, jak nám tyto dvě vlastnosti umožňují určit, jakou má daná společnost bezpečnostní strategii, jaký typ politiky může mít a kde má pravděpodobně největší slabiny. A při poznávání toho, jak tyto nové vlastnosti ovlivňují související bezpečnostní opatření, se nám podařilo najít zbylé dvě z chybějících vlastností důvěry. Takže když říkám, že je toho ještě hodně, co se o zabezpečení musíme naučit, je to opravdu tak. Je to o důvěře, kontrole, záměru, čase, interakci, obtížnosti, kontextu atd. Jde o to, jak to všechno spolu souvisí a dohromady tvoří to, čemu říkáme bezpečnost.
… po těch letech vím, že technologie dělají bezpečnost chytřejší, rychlejší a možná hezčí, ale jsou ve skutečnosti málo v čem „nové“.
Společnost ISECOM, jejímž jste jednatelem, stojí také za projektem The Bad People Project, který zkoumá dětské vnímání a představy o zlých lidech. Co stálo za touto myšlenkou a jaké jsou vaše plány s tímto projektem?
Když jsme s BPP začínali, měl jsem dvě malé děti a fascinovalo mě, co kreslí jako „zlého člověka“. Požádal jsem je, aby každé z nich nakreslilo špatného člověka. Bez jakéhokoli pobízení. Žádné odpovídání na jejich otázky. Musely prostě jednoho takového zlého člověka nakreslit, a pak jsem je nechal, aby mi ho vysvětlily a uvedly všechny podrobnosti. Bylo jasné, že to, co nakreslily bylo zrcadlem hodnot, které jsem jim vštípil, nebo jejich nedostatku. Napadlo mě, že by mnoho rodičů mohlo být fascinováno touto introspekcí, kdy budou hodnotit svou vlastní výchovu, a dokonce zpochybňovat své vlastní předsudky, když uvidí, jak prosakují do mysli jejich vlastních dětí. Ale mýlil jsem se, protože řada lidí o to nestála, nechtěli to vědět, a projekt se tak zastavil. Je to škoda, protože si myslím, že nám to může skutečně pomoci utvářet bezpečnost a soukromí na společenské úrovni.
Plánujete v budoucnu nějaké další zajímavé projekty tohoto druhu?
Opravdu ambiciózní projekt, jako je OSSTMM, mě v budoucnu čeká ještě minimálně jeden, ten v současnosti plánuji. Mezitím mám však rozdělaných několik jiných skvělých věcí. Je tu Rabbit Hole, což je asistent výuky s umělou inteligencí, kterého jsme vytvořili ve firmě, kterou jsem spoluzaložil, www.urvin.ai, aby pomáhal s výukou na Hacker Highschool v místech, kde mají nedostatek kvalifikovaných učitelů. V podstatě odpovídá na otázky týkající se četby a cvičení, která žáci dělají. To se rozrostlo i mimo bezpečnostní doménu a mnoho škol ho používá pro své vlastní učebnice a studia, protože se zdá, že je obecně trochu nedostatek učitelů.
Přišli jsme také s rychlým nástrojem pro studenty a výzkumníky nazvaným Rabbit Reader, který umožňuje dát umělé inteligenci dokument k přečtení, který pak mohu rychle prohledávat, a klást otázky k tématu či na věci, které potřebuji nebo mě zajímají, takže ten dokument nemusím číst celý. Tento nástroj mi pomohl projít stovkami výzkumných dokumentů potřebných k vytvoření a vydání alba neurohackerské hudby, která se dá najít na spotify a dalších hudebních streamech. Výsledek najdete na adrese invisibles.cat.
Také jsem nedávno pantentoval nositelný hardwarový vypínač, který uzamkne váš telefon a počítače, když se vzdálíte. Může také na systémové úrovni ztlumit mikrofon a kameru, nebo zablokovat porty USB. První kusy se dodávají začátkem července. Podrobnosti jsou na stránkách mewt.com. Dále třeba spolupracuji se společností 418intelligence.com na vytvoření služby odměn za chyby pro crowdsourcing SOC a analýzu phishingových upozornění, kterou prezentovala Amelia na konferenci IS2. No a úplně nejpodivnější věc, kterou teď vytvářím, je seznamovací aplikace, ale tu musím zatím držet v tajnosti.
Za DSM se ptal Adam Lamser.
Pokračování rozhovoru najdete v příštím čísle.