Pete Herzog je bezpečnostní výzkumník a hacker s více než 30 lety zkušeností, během kterých aplikoval své hackerské techniky na všechno od Al po Zero-Trust. Je spoluzakladatelem The Institute for Security and Open Methodologies (ISECOM.org), Urvin.ai AI R&D a Invisibles.cat AI Music. Založil OSSTMM - Open Source Security Testing Methodology Manual, HackerHighschool.org a Cybersecurity Playbook. Žije podle motta: Hacknout všechno, ale nikomu neublížit.
V předchozí části jsme se bavili o vzniku OSSTMM, nebo projektech v rámci společnosti ISECOM. Co ale vaše čistě osobní projekty?
Velmi nedávno jsem po tříminutové prezentaci získal investiční nabídku na 1 milion dolarů. Zlepšuje Web 3.0, řeší chybějící část kybernetické bezpečnosti a rozjíždí všechny Meta věci. Potřebuji ale mnohem více investic a sám jsem výzkumník, ne člověk, který zná investory. Proto prosím, dejte lidem vědět, že hledám seriózní nabídky investic.
V jednom starším rozhovoru z doby před asi 6 lety jste uvedl, že problémem není nedostatek odborníků na kybernetickou bezpečnost, ale spíše nedostatek odborníků, kteří by dokázali aplikovat principy bezpečnosti ve svém oboru. Myslíte si, že to stále platí, a mohl byste tuto myšlenku trochu více rozvést?
Příliš mnoho lidí se pouští do kybernetické bezpečnosti, aniž by věděli, co vlastně bezpečnost tvoří. Mnozí ji ani nedokážou definovat. Každý rok dělám mentora mnoha mladým odborníkům, v řádu tisíců, a děje se to stále dokola. Mohou být technicky brilantní, ale nedokážou mi říct, co vlastně znamenají ty tři hvězdičky ve výstupu traceroutu. Někteří ani nevědí, jak traceroute vlastně funguje. Vím, že to zní malicherně, ale to je jen příklad. Mezi technikou a znalostmi je obrovská nesoudržnost – jako by lidé měli kalkulačky, tak proč se učit algebru. Zatímco si ale u jednoduchých věcí vystačíte s kalkulačkou, bez řešení problémů o typu jedné neznámé nic nevyřešíte a nic nesestavíte. To znamená, že tu pak máte vybudované infrastruktury, kde hardening představuje jen přidání dalšího bezpečnostního prvku, nikoliv zmenšení plochy útoku, a bezpečnostní profesionály, kteří neznají ten základní bezpečnostní paradox, a to, že každý další prvek, který jste přidali, vám také přidává další plochu útoku a sama vyžaduje další opatření. Takže pokud najímáte lidi na bezpečnost podobně, jako byste najímali například pokladní – na práci s jedním zaměřením a možností zavolat vedoucímu, aby vyřešil problém, pokud nastane, pak fajn. Pochybuji však, že právě takové lidi v oblasti bezpečnosti firma potřebuje.
Přestože odvětví kybernetické bezpečnosti dozrává a povědomí o bezpečnosti roste, zdá se, že se nám informace daří chránit stále méně a méně, kdy počet úniků dat, objevených zranitelností, napáchaných škod a dalších ukazatelů neustále roste. Proč tomu tak podle vás je, co je hlavní příčinou a co by se proti tomuto paradigmatu dalo reálně udělat?
Máte naprostou pravdu, je to obrovský problém. Myslím, že hledání řešení tohoto problému je nejdůležitější součástí OSSTMM 4. Je sice snadné říci, že je to proto, že odborníkům na bezpečnost chybí základy, ale pravdou je, že lidem z oblasti bezpečnosti nikdy nikdo nedefinuje, co se vlastně snaží vybudovat. Jak vypadá bezpečnost? Jak poznáte, že ji máte? Dodavatelé se předhánějí v nejnovějších módních slovech, jako je například Zero Trust, které jen vyvolávájí zmatek, protože úskalí zabezpečování pouze perimetru byly dobře známy již na začátku roku 2000 a bylo uznáno, že je pohodlí, stejně jako firewally. Než aby se hardenovalo sto serverů, je jednodušší a nákladově efektivnější spravovat jeden firewall, navzdory dalším problémům, které způsobí jako jediný bod selhání. Přesto se tato historie novým absolventům bezpečnostních oborů ztrácí. Vědí jen, že to tak bylo vždycky a bezpečnost se řeší firewallem. Proto pro OSSTMM 4 vytváříme seznam provozních bezpečnostních zásad, o které je třeba usi lovat, jako je například Zero Anomalies. Pokud se vám podaří zajistit, že se v síti nebude dít nic, o čem nevíte co to je a proč se to děje, pak jste mnohem bezpečnější než jen říkat, že budete udržovat autentizaci mezi všemi systémy a zařízeními. Myslím, že mít tyto zásady popsány hodně pomůže proti neznalosti základů bezpečnostních principů, kterou vidíme u čerstvých absolventů kybernetické bezpečnosti.
„Budoucnost kybernetické bezpečnosti se nebude lišit od té dnešní. Ze stejných důvodů, proč Hollywood raději restartuje franšízy, než aby vytvořil něco nového. Je bezpečnější nedělat nic nového."
Kdybyste měl předpovědět budoucnost kybernetické bezpečnosti, jak ji vidíte? Myslíte si, že existuje technologie nebo přístup, který by řešil to, že internet není ze své podstaty bezpečným místem, nebo budeme v dohledné budoucnosti tento problém nadále obcházet?
Myslím, že budoucnost kybernetické bezpečnosti se nebude lišit od té dnešní. Ze stejných důvodů, proč Hollywood raději restartuje franšízy, než aby vytvořil něco nového. Je bezpečnější nedělat nic nového.
Co já bych si přál je, aby v budoucnu někdo mnohem chytřejší než já vzal náš výzkum, přišel na věci, na které jsem já nemohl, a vytvořil něco úžasného. Představuji si to tak, že já jsem teď přišel na to, že třením dvou klacků o sebe se zahřívají, a někdo tuto informaci v budoucnu vezme a vytvoří raketovou loď.
Jde o to, že vidím, jak mocné je pochopit i jen část těchto věcí. Jen znalost bezpečnostních prvků ze mě udělala dobrého bezpečnostního analytika. Znalost vlastností těchto bezpečnostních prvků ve správném kontextu mi dává děsivě velký náhled do bezpečnosti, v dobrém i ve zlém. Doufal jsem, že se tento výzkum využije k vytvoření lepší obrany, ale už jsem také příliš starý na to, abych věřil na pohádky. Takže pokud chcete vědět, proč ještě není OSSTMM 4, je to proto, že se bojím, co s takovými informacemi udělá současný svět. OSSTMM 4 ale vydám, protože současně věřím, že dobré ploty dělají dobré sousedy, a pokud se každý bude umět pořádně bránit, bude svět lepší. Nebude však obsahovat všechen výzkum a bude praktičtější, abychom zajistili, že lidem bude více pomáhat, než jim ubližovat.
Jak vypadá váš denní režim? Byl byste ochotný popsat jeden ze svých dnů pro naše čtenáře?
Můj typický den obvykle začíná v 6:30, kdy vypravím děti do školy a čtu zprávy, vzkazy a tak dále. Pak snídám se svou ženou Martou, která má na starosti všechny obchodní a IT aspekty společnosti ISECOM, a povídáme si o všem co se děje, a o plánech na daný den. Pokud mohu, snažím se 30 minut cvičit, než mi v 11 hodin začne první hovor. Obvykle je pracovní, zaměřený na spolupráci, abychom něco prozkoumali nebo sepsali. Snažím se neplánovat nic před 11. hodinou pro případ, že by se vyskytla nějaká naléhavá situace nebo bych potřeboval naskočit do online třídy a pomoci něco vysvětlit. Od 12 do 14 hodin obědvám s rodinou. S manželkou se střídáme ve vaření. Ve tři začínají další telefonáty a mohou trvat až do devíti večer. Většinu z nich dělám ve studiu, což je místnost ve sklepě zřízená pro natáčení videoškolení. Obecně se tyto hovory týkají řízení týmů, prodeje, poradenství firmám, spolupráce při provádění pen testů, výzkumu nebo vývoje produktů. Jsem tedy flexibilní, ale snažím se skončit den v 18 hodin, abych viděl děti, najedl se a odpověděl na zprávy. Na mém rozvrhu není nic magického, kromě toho, že se obklopuji dychtivými, aktivními a chytrými lidmi, kteří mě vystavují spoustě různých nápadů a znalostí
Máte na závěr nějaký vzkaz pro naše čtenáře?
Vím, že hackerský kodex je všechno zpochybňovat, ale z toho budete jen nešťastní a lidé vás nebudou mít rádi. Mě kvůli tomu i vyhodili, několikrát. Kdybych to mohl udělat znovu, byl bych v počátcích svého působení v OSSTMM mnohem menší diktátor. Byl jsem hodně neoblíbený. Za ta léta jsem změnil postoj ze zpochybňování všeho na to, že se tvářím, že se všemu snažím porozumět. Některé lidi stále otravuje, že jim kladu otázky, ale alespoň zním upřímně, čímž jsem pro ně o něco méně nesympatický. Ti, které tím neštvu, se díky tomuto poznání učí a rostou a dělají věci lepší pro nás všechny. Zároveň pokud máte podezření, že je něco špatně, kladením otázek místo přímých výčitek umožníte kolegům myslet si, že na to přišli sami. Také se díky tomu sami lépe ponaučí a zároveň si zachovají tvář. Proto vás všechny vyzývám, abyste zaujali postoj, že se všemu snažíte porozumět, a budete šťastnější
Děkujeme za rozhovor.
Za DSM se ptal Adam Lamser
