Úvodná stránka

CLOUDY podcast | #21 Když hacker pomáhá, ne škodí

  • CLOUDY podcasty
Jednadvacátý díl CLOUDY podcastu otevře "hack"livé téma. Existuje dobrý i špatný hacker? Jak se člověk může stát etickým hackerem. Co motivuje hackery? Více o tématu naleznete v rozhovoru Andreje Kratochvíla a Michala Srnce.

Kdo to tedy ten hacker je?

Jak jsi správně řekl, je to takový trošku mystifikovaný pojem. Vždy, když slyšíme slovo hacker, tak si představujeme nějakého chlápka dolů ve sklepě ve kapuci, který tam něco ťuká a vždy má špatné úmysly. Něco hackuje, něco krade atp.

Hacker není vždy negativní pojem, ale spíše je to označení nějakého typu myšlení, nástroje. Každý známe pojem „life-hack“, že jsem něco hakl, něco jsem dobře vymyslel. Je to spíše nějaký postup, nějaký typ myšlení.

Jsou hackeři dobří i špatní?

Jsou dobří i špatní a jsou ještě takoví, co jsou mezi. Ti dobří se označují jako „white“ hackeři, ti zlí jako „black“ hackeři a ti mezi jako „grey“ hackeři. Rozdíl mezi nimi je etický rozměr.

Etický hacker dělá svoji činnost s legálním souhlasem dané společnosti. On to dělá proto, aby povýšil bezpečnost společnosti, která si jej objednává a jejího systému. Přičemž ten legální souhlas se děje ještě před samotným hackováním. Je to o dohodě mezi společností a hackerem – přesně se definuje, co bude předmětem testování. Na konci etický hacker předává výsledky dané společnosti, aby ona mohla zapracovat potenciálně nalezené problémy a obdrží za to dohodnutou odměnu.

A ti zlí, tedy black hat hackeři, dělají v podstatě totéž, ale není tam žádný legální souhlas a samozřejmě motivací takových hackerů je například nějaký finanční zisk nebo dosažení jiných politických cílů. Dále oni nemají etické zásady a využívají jakékoli nástroje, které jsou najdou, ukradnou a podobně. Etický hacker přece jen pracuje jen s těmi dostupnými nástroji v nějakém rozpočtu, který k tomu je určen a pod.

V současnosti se už nemusíme bavit jen o jednotlivcích, existují celé hackerské skupiny, které jsou organizovány, mají svůj hiring, náborová centra... Těšit nás může, že ty skupiny často soupeří i mezi sebou a útočí i navzájem na sebe.

A někde uprostřed tohoto je ten „gray“ hacker, který se pohybuje v té šedé zóně. Většinou funguje tak, že zkouší a hledá ty technické nedostatky a následně se snaží je společnosti sdělit, ale dělá to bez jejich souhlasu. Chybí mu ten právní souhlas, aby takové „hackování“ dělal.

Spousta velkých společností má tzv. bug bounty programy, které veřejně vyhlašují – ve smyslu, pokud něco najdeš, tak nám to nahlas a my ti za to dáme odměnu. Tehdy ta společnost jakoby sama vyhlásila ten legální souhlas a hackeři mohou zkoušet. Ty odměny se hlavně u velkých hráčů umí vyšplhat i na stovky, tisíce až desetitisíce eur v závislosti na tom, jak velkou zranitelnost hacker najde.

Jak se člověk stane hackerem?

Já si myslím, že každý hacker začíná tím, že ho to baví a zkouší. Určitě existují certifikované kurzy, kterými může člověk projít apod., ale musí mít to nastavení, že tomu chce rozumět, chce vědět jak věci fungují na pozadí a to jsou hodiny až léta zkoušení, seznamování se.

Ve firmě jsou to vlastně bezpečnostní experti, kteří částečně zastávají tu práci hackerů řekněme. I my děláme široké spektrum služeb, které dodáváme zákazníkům a začínáme od rizik, právních souhlasů, nasazení technologií jako firewall-y (ochrana před neoprávněným vstupem), multi-faktorové autentifikace a pod. A část kolegů se zas věnuje penetračnímu testování webů, aplikací atp.

AT_CLOUDY_podcast_21_teasers_stories_2

Útoky se dějí iu nás. Naposledy tak největší byl asi útok na katastr. Dá se zjistit, odkud ty útoky byly směrovány? Kdo za hackerskými útoky stojí?

Jmenuje se to atribuce útoků a není to triviální vědní disciplína. Reálně se sbírají důkazy o tom, co má hacklo, zda to byla tato IP-adresa, tento hash soubor, zkoumají se procedury a taktiky, které byly použity a vyšetřovatelé se snaží zjistit, která hackerská skupina možná používá dané taktiky a stojí za útokem a pod. Někdy se podaří tato atribuce a někdy se nezdaří nebo až s odstupem času.

Co může být motivací hackerů? Jde jen o finanční zisk či zisk údajů?

Kromě těchto zmiňovaných se dále kradou například patenty, technologie, které společnosti používají, jaké zákazníky má společnost, komu kolik fakturuje...

Třeba se hackerských útoků obávat?

Jednoznačně. Hackerské útoky nejsou jen světlou výjimkou, my vidíme jen špičku ledovce, co se dostanou na veřejnost. Stále platí, že gro těch útoků je nehlášených nebo se neřeší.

Je různé spektrum útoků, nedávno se odehrál např. útok na Nymburskou nemocnici, která fungovala v odstaveném režimu, dále útok na přehradu v Norsku, známé jsou velké útoky jako Stuxnet (útok prostřednictvím počítačového viru z roku 2009 na počítače, které řídily íránské jaderné zařízení), kde americké tajné služby znehodnotily centrifugu na obohacování.

AT_CLOUDY_podcast_21_teasers_stories_1

Jaké jsou nejčastější chyby, které firmy dělají?

Za mě jsou to hlavně dvě situace – první, že společnost odignoruje zjištěné či nahlášené nedostatky v mylné představě, že „nám se to stejně nemůže stát“. Neboť je třeba si uvědomit, že mezi odhalením chyb a jejich nápravou je velká asymetrie. Hacking může trvat řekněme měsíc, ale náprava těch chyb může klidně trvat pololetí.

Druhá věc je, že firma se rozhodne problém opravit, ale jde jen o rychlou, nedostatečnou opravu, což v konečném důsledku nestačí.

A co role AI v hackování?

AI urychluje proces toho dotahování se těch dvou táborů (hackeři vs. bezpečnostní technici). Útoky jsou adresnější, je třeba reagovat rychleji a pod. Podle mě AI ještě není tak daleko, že by psalo přesné kódy pro zranitelnost. Ještě není tak sofistikované, že by umělo napsat kód, který udeří přesně dokonale, kde hacker chce. Ale rozhodně umí pomoci, urychlit proces, je velmi výhodná v rámci phishingu atp. AI tedy umí setřít hranici mezi začínajícím hackerem a řekněme středně lepším hackerem. Ale na top hackery ještě nemá, tam má pořád navrch člověk.

Celý podcast si můžete poslechnout na Spotify, Apple podcastech nebo prohlédnout na YouTube.

decor

Novinky a články

Outsourcing kybernetické bezpečnosti

Kybernetická bezpečnost dnes už není o nákupu technologií. Je o řízení rizik, vztahů a odpovědnosti. Outsourcing kybernetické bezpečnosti se stal standardem, ale odpovědnost za rizika vždy zůstává na straně organizace.

CLOUDY podcast | #33 Proč vám chatbot nerozumí – od promptů ke kontextovému inženýrství

Třicátý třetí díl CLOUDY podcastu se věnuje pokroku v komunikaci s chatboty, přechodu k tzv. context engineeringu a praktickému využití AI agentů. V rozhovoru s Marianem Rajnohou z Aliter Technologies rozebíráme téma paměti chatbotů, technologii RAG a rozdíly v uvažování moderních modelů.

Aliter Holding expanduje: Investuje do kanadského telekomunikačního operátora Moby

Aliter Holding, a. s., mateřská společnost technologické firmy Aliter Technologies, pokračuje v naplňování své mezinárodní růstové strategie. Společnost realizovala investici do kanadské společnosti Moby, která je poskytovatelem telekomunikačních služeb a moderní optické infrastruktury.

Birds and Powerlines - Solutions Expo 2026

Zúčastnili jsme se odborné akce Birds and Powerlines - Solutions Expo 2026, kterou organizovala Ochrana dravcov na Slovensku. Akce byla zaměřena na prezentaci řešení, která pomáhají zmírňovat negativní vliv elektrických vedení na ptactvo, zejména prostřednictvím prvků pro odklonění letové dráhy ptáků ohrožených nárazy.

Oficiální představení prvního vozidla nové generace CV9035 MkIV typu IFV

Ve Švédsku bylo slavnostně představeno první dokončené pásové bojové obrněné vozidlo nové generace CV9035 MkIV (Infantry Fighting Vehicle), určené pro Ozbrojené síly Slovenské republiky. Jedná se o první vozidlo z celkově plánovaných 110 kusů této verze.

CLOUDY Podcast | #32 AI halucinace: Proč si umělá inteligence vymýšlí a jak ji správně používat?

Třicátý druhý díl CLOUDY podcastu se věnuje tématu AI halucinací. V rozhovoru s Tomášem Nágelem, Data Scientistem ze společnosti Aliter Technologies, diskutujeme o tom, proč si umělá inteligence (AI) někdy vymýšlí fakta, vytváří nepřesné odpovědi nebo generuje zavádějící informace. Vysvětlujeme příčiny vzniku AI halucinací, rizika spojená s používáním generativní AI a nabízíme praktická doporučení, jak AI nástroje používat bezpečně a efektivně v byznysu i každodenní praxi. Jak s AI komunikovat, abychom se takovým odpovědím vyhnuli? Jaké techniky promptování a ověřování faktů pomáhají minimalizovat chybovost umělé inteligence?