Jakub Osmani: „Penetrační testování je zábavné i metodické, tmavou mikinu s kapucí nenosíme“

Další článek

ESET asi většina lidí zná jako antivirovou firmu, to, že by dělala i penetrační testy, slyší hodně lidí poprvé. Můžeš nám k tomu něco říct?

Určitě, ESET působí na různých trzích. Běžní uživatelé nás znají především díky antiviru, netuší, že působíme i směrem k firemním zákazníkům, pro které máme i další produkty a služby.  Vedle bank a společností z finančního sektoru máme mezi klienty například vývojářské firmy nebo zdravotnická zařízení.

Odhaduji, že mezi firmami, které poskytují svým klientům služby penetračního testování, budeme patřit mezi tři nejvýznamnější v ČR, testování bezpečnosti a další služby děláme už nějakých deset let.

Dobře, a co tedy všechno děláte, o čem třeba běžný uživatel antiviru ani neví?

Většinou různé bezpečnostní testy. Nejčastěji asi testujeme webové aplikace, ale provádíme i infrastrukturní testy, testy mobilních aplikací, sociální inženýrství a threat intelligence služby. Poskytujeme taky podporu dalším týmům z ESETu a úzce spolupracujeme s našimi konzultanty. Jsem ale rád, že v rámci týmu se nebojíme rozvíjet a zkoušet i nějaké nové projekty.

Taky to záleží klient od klienta. Máme klienty, se kterými spolupracujeme dlouhodobě, a ti od nás poptávají celou řadu služeb. Ale i v krátkodobé spolupráci se dá prosadit něčím jiným než čistě penetračním testem.

Hodně atraktivní jsou kampaně sociálního inženýrství, kde umíme použít více různých technik. Kombinujeme klasický phishing přes email s falešnými telefonáty, kdy voláme obětem a snažíme se je přes telefon přesvědčit, že mají spustit námi připravenou binárku, soubor, který by spouštět neměli.

Do jisté míry děláme i konzultantskou práci, což zahrnuje audity, assessmenty nebo školení klientů.

To je hodně služeb. Musíte všichni umět všechno?

Snažíme se hlavně, aby každý pracoval na tom, co ho baví a co mu jde. Jakmile si však zajedeme do kolejí a už umíme testovat levou zadní, je tu stále možnost se rozvíjet a pomáhat týmu s plněním všech ostatních služeb. Nedá se asi čekat, že každý člen týmu bude švýcarský nůž a zvládne cokoliv co se na něj hodí, ale když je otevřený tomu zkoušet nové věci, tak o ně nebude nouze.

A jak ten váš tým tedy vypadá?

Sedíme v Praze, fungujeme v nových kancelářích, které minulý rok prošly rekonstrukcí. Tedy některým vyhovuje trávit více času na home office a do kanceláře zavítají jen občas.

V týmu máme zkušenější i nové testery. Všichni se snažíme si navzájem pomáhat a líbí se mi, že i zkušenější testeři jsou otevření k návrhům a radám od těch novějších, juniornějších.

Říkal jsi nové kanceláře, takže představa, že sedíte ve sklepě s černou mikinou je mimo?

Ve sklepě naštěstí už nesedíme, sedíme docela vysoko. Vypadá to u nás asi jako v každé jiné IT firmě, v naší kanceláři se schází běžní kluci a holky, na první a asi ani na druhý pohled byste nepoznali, že tu nesedí běžní „ajťáci“, ale pentesteři. Možná až když se podíváš na tituly v knihovničce nebo na některá neobvyklá zařízení, která se občas objeví na stolech.

Shodou okolností zrovna chystáme týmové mikiny, tak třeba budou v hackerské černé. 

A je alespoň něco jako ve filmu? Sedíš před obrazovkou se zeleným textem a během pěti minut jsi „v systému NASA“?

Ve zkratce, bohužel ne. Někdy se poštěstí a závažné zranitelnosti najdeme opravdu rychle, ale obecně je penetrační testování spíš delší metodická činnost. Tím neříkám, že není prostor pro kreativitu, často potkáváme netradiční aplikace a tam se člověk fakt vyřádí.

Na rozdíl od filmu nám to ale může trvat celý týden, než nalezneme pořádnou chybu, takže to není na čtyři klepnutí do klávesnice.

A co to teda znamená být penetrační tester? Tolikrát jsi to zmínil, tak nám to zkus trochu přiblížit.

Mnoho lidí asi lépe pochopí naši práci, když se řekne slovo hacker. Ve spojení s námi se často dodává ještě nálepka etický. A hacker je vlastně jen někdo, kdo si věci ohne, aby fungovali jinak, než bylo zamýšleno. Pro mě to třeba znamená, že si snažím „ohnout“ nějaký ten web. Všechno ale probíhá se souhlasem klienta, proto jsme ti etičtí.

Jak vypadá takový penetrační test?

Obecně si můžeme pentest rozdělit na tři fáze, když to hodně zjednodušíme. Setkání s klientem a vymezení si, co můžeme a co ne. V rámci testu se pak snažíme v aplikaci najít různé zranitelnosti, sáhnout si na data, která nám nepatří, vykonat něco, na co nemáme práva a obecně zkoušíme, jestli je co nejvíce věcí správně nakonfigurováno a naprogramováno.

Poslední fáze je samotný report. To je pro klienta to nejcennější a vlastně celý důvod toho penetračního testu. Všechny nálezy, poznatky a naše doporučení sepíšeme a zašleme. 

Stává se vám v týmu často, se dokážete dostat až na klientův server?

To opravdu záleží. Letos to bude prakticky dvacet let od doby, kdy poprvé vyšel OWASP Top Ten – seznam nejznámějších a nejnebezpečnějších chyb webových aplikací. Tento seznam se od svého prvního vydání samozřejmě průběžně aktualizuje, ale když se na něj dnes podíváš, tak zjistíš, že je v zásadě pořád stejný.

Jsou vývojáři a firmy, které si po 20 letech všimli, že jsou věci, kterým je dobré se vyhnout. Ale pořád se setkáváme i s takovými, kteří začínají a neměli tu příležitost se s těmi „best practice“ seznámit.

Když jsem nastupoval, tak jsem rozhodně měl tu představu, že se to až tak často neděje. Po nějakém tom proškolení a pár úvodních testech se mi s kolegou povedlo dostat až na klientský server.

Jaký je to pocit, když se něco takového podaří?

Rozhodně skvělý, ale rychle pomine. S kolegy si řekneme, že se někomu něco povedlo, oni se přijdou podívat, a to je všechno opravdu skvělé. Pak už ale člověk začne přemýšlet nad tím, jak to podat v reportu, aby si klient odnesl co nejvíce. I ta fáze reportování je poměrně zábavná, ale asi se nedá srovnat s tím zábavnějším hackingem.

A jak dlouho jsi u nás penetrační tester?

Brzo tu budu druhým rokem. Hlásil jsem se ke konci bakalářského studia na VUT v Brně, kdy jsem věděl, že se budu přesouvat na navazující studium do Prahy. ESET byl prakticky první na mém radaru kam se přihlásit a jít pracovat při navazujícím studiu. Rozhodl jsem se teda napsat naší HR, Hance. Zeptal jsem se na proces, a jestli bych mohl pracovat při studiu.

Hanka byla velice vstřícná a rychle odpovídala. Brzo mi poslala náš challenge, na kterém jsem začal pracovat při učení na státnice. Po státnicích jsem vypracoval a zaslal, co bylo třeba, pak přišel pohovor a nakonec telefonát, že jsem byl přijat.

Zatím tu jsem na part-time smlouvě, protože ještě dokončuji navazující studium. Jakmile skončím, tak doufám v přechod na full-time smlouvu.