Hlavní navigace

Pavol Lupták (Nethemba): Pro stát bych – nejen jako hacker – už nikdy nepracoval

Karel Wolf

Jak funguje byznys založený na etickém hackování a jak se dá žít a podnikat bez napojení na stát? Přečtěte si rozhovor s etickým hackerem Pavlem Luptákem.

Doba čtení: 8 minut

Sdílet

Jak vlastně funguje takový byznys založený na etickém hackování? Provádíte penetrační testy, nebo to celé spočívá v něčem úplně jiném?

Jen bych možná upřesnil, že mám firmy dvě a etickým hackingem se zabývá jen jedna, byť ta hlavní, a to je Nethemba. Naše činnost tam spočívá v tom, že hledáme zranitelnosti v aplikacích, sítích a systémech. A také skutečně nabízíme něco, čemu se někdy říká penetrační testování, ačkoli by možná bylo lepší hovořit o bezpečnostních auditech. Jejich cílem je najít vždy co největší množství zranitelností a popsat jejich rizika a závažnost. Dalo by se říci, že děláme totéž, co ti „zlí hackeři“, jen pod plnou kontrolou zákazníka. Před testem smluvně garantujeme klientovi, že se žádné zjištěné informace o jeho infrastruktuře nedostanou ven, a naopak že mu poskytneme informace o všech zjištěných rizicích, aby si je mohl opravit.

Druhý můj byznys je společnost Hacktrophy, což je takový „Uber pro hackery“. Je to platforma, která propojuje hackera s jejich zákazníky. Funguje to tak, že zákazník zaregistruje typicky svůj web nebo jinou online aplikaci a zveřejní bug bounty, tedy částku, kterou je ochotný zaplatit za odhalení zranitelnosti. Následně naši hackeři, kterých máme momentálně přibližně tisíc napříč celým světem, začnou na aplikaci útočit a hledat zranitelnosti. Pokud hacker zranitelnost najde, musí mu zadavatel vyplatit slíbenou odměnu a my si z toho bereme provizi například 20 procent. Je to vlastně systém, který umožňuje hackerům živit se tím, co je baví, a neškodit u toho.

Jsi poměrně velký fanoušek kryptoměn, umožňuješ svým zaměstnancům nebo kontraktorům dostávat výplatu přímo v kryptoměnách? Podporujete kryptoměny ve firmě i jinak?

My jsme jako firma velkým fanouškem kryptoměn, dokonce jsme nedávno jednu z našich standardizovaných služeb (jde o druh penetračních testu) umístili na Open bazar, kde si ji může kdokoli objednat a zaplatit prostřednictvím podporovaných kryptoměn (Bitcoin, Bcash, Litecoin, Zcash) a získat ji tak s „hackerskou“ slevou 13,37 procenta.

Jinak platí, že veškeré naše služby se dají koupit za kryptoměny, většinou s nějakou motivační slevou.

A jak je to s tím vyplácením v kryptoměně?

To vždy záleží na dohodě. Určitě platí, že kryptoměny nikomu nevnucujeme, ale pokud si někdo přeje vyplácet v kryptoměně, nemáme s tím problém. V praxi to vypadá tak, že daný člověk normálně vystaví fakturu s částkou v eurech, ale samotná úhrada proběhne preferovanou formou, tedy v bitcoinech.

O tobě se ví, že ze zásady odmítáš pracovat pro stát. Jak tato idea vznikla a skutečně se jí důsledně držíš?

Tady bych podotkl, že jsme úplně prapůvodně se státem spolupracovali, ale zkušenost to byla tak otřesná, že jsem se zařekl, že už nikdy. Byl jsem osobně svědkem manipulování tendrů, korupčního chování a krycích nabídek v míře, která násobně převyšovala podobné chování v soukromém prostředí.

Mohl bys čtenářům přiblížit, v čem spočívají krycí nabídky?

Je to druh tajné dohody mezi dodavateli. Řeší, kdo v dané soutěži předloží cenově tzv. nejvýhodnější nabídku. Nejnižší cena díky takové dohodě může být i o desítky procent vyšší, než je reálná tržní hodnota plnění zakázky, ale tajně smluvení uchazeči podají nabídky tak, že další se zdánlivě jeví ještě dražší. Zadavatel pak má tendenci vybrat nejnižší, která je ale stále poměrně předražená. Při další zakázce se tito dohodnutí uchazeči vymění, zdánlivě nejnižší cenu nabídne jiný z nich a tak dále.

Uvedl bys nějakou konkrétní zkušenost s korupčním chováním státu?

Pěknou ukázkou je třeba naše zkušenost s JAVYS (Jadrová a vyraďovacia spoločnosť), což je státní firma, která si od nějakého Marka Pajchla, v oboru zcela neznámého drobného podnikatele v oboru informační bezpečnosti, objednala penetrační testy za půl milionu eur. Situace sama o sobě indikuje obrovský tunel na peníze, ale jsou to konec konců peníze státní firmy a ta ať si s nimi dělá, co chce. Jenže oni si ani nedokázali správně napsat vlastní nabídku a slovo od slova ji zkopírovali z textů na našem webu. Představ si, že s někým tuneluješ půl milionu eur a nejsi schopný si napsat ani vlastní nabídku. Na krádež textů jsem je upozornil a oni mi – místo omluvy nebo jiného smírného řešení situace – začali z pozice státního podniku vyhrožovat žalobami kvůli poškozování dobrého jména. Připadal jsem si v té chvíli jako Alenka v říši divů. Skončilo to tak, že jsem na problém upozornil v živé relaci na slovenské televizi Markíza, oni se pak trochu stáhli, přehazovala se odpovědnost z jednoho na druhého (nakonec se to svedlo na vládu Ivety Radičové) a celé to vyznělo do ztracena.

To je jen jedna z mých osobních zkušeností a jeden z důvodů, proč jsem se rozhodl nepracovat pro stát. Těch důvodů je ale mnohem více, jeden z nich je i to, že se v Česku a na Slovensku zavedla cenzura internetu (Pavol naráží na blokování webů s online hazardem – poznámka redakce), nebo zavedení systému na špehování finančních transakcí zvaný EET. Shrnuté můžete všechny tyto důvody nalézt na webu www.nepracujemeprestat.sk (a mimochodem, existuje i čeká verze www.nepracujemeprostat.cz, kde naleznete například Paralelní Polis). Rozhodnutí nepracovat pro stát padlo zhruba před pěti lety a každých pár měsíců stát udělá něco, co nás v tom jen znovu utvrzuje.

Když už jsme u státu, co si myslíš o APT hackerských skupinách financovaných ze státních peněz?

Myslím, že jsou to regulérní armády, nebo jejich součásti, které jen válčí jiným způsobem, než je konvenční boj. Osobně s tím asi problém nemám, ale osobně bych jako hacker nikdy pro stát nepracoval.

Jak podobné aktivity ze strany státu vnímáš po etické stránce, je to v pořádku?

Myslím, že úplně ne, a je to zase jeden z důvodů, proč pro stát nepracuji. Zkusím to demonstrovat na konkrétním příkladu. Před pár lety Wikileaks odhalila, že česká policie od Hacking Teamu nakoupila software FinFisher, což je 0day malware pro špehování a cyber surveillance. Jinými slovy čeští daňoví poplatníci přispívají ze svých daní na to, aby je stát mohl špehovat, a navíc podporují firmu, která prokazatelně pracuje pro diktátorské režimy. To mi přijde úplně zvrácené.

Když už jsme u té etiky, co si myslíš o firmách, které se živí tím, že (většinou právě pro stát) provádějí analýzu veřejného blockchainu?

Osobně to řeším tak, že používám Monero (smích). Ale jinak záleží na účelu takové analýzy. Pokud jde o situace, kdy se dohledávají ukradené bitcoiny z hacků burz, hledání společensky skutečně nebezpečných zločinců a podobně, je to myslím v pořádku. Pokud se stejná metoda použije na kriminalizaci lidí za trestné činy bez obětí (například nezaplacení daně), tak je to myslím problém. Protože jsem ale privacy aktivista, doporučuji lidem pokud možno používat na transakce především anonymní kryptoměny (Monero, Zcash).

Jsi také zastáncem konceptu života bez napojení na stát, je dnes vůbec možné žít a se státem vůbec nepřijít do styku?

Já osobně mám tu výhodu, že nikde nežiju déle než půl roku, díky tomu mám status „věčného cestovatele“ a nikde nemusím mít trvalou daňovou rezidenci. Současně jsem se vzdal trvalého pobytu na Slovensku (a tím pádem i občanství EU). To je pro byznys lehce problematické, protože si pak nemůžete například otevřít bankovní účet. Vyřešil jsem to tak, že jsem si zřídil trvalý pobyt v Panamě, kde mám velké množství kamarádů a provozuji tam i svůj byznys.

Jaké to má výhody a nevýhody?

tipContentfirmy

To záleží na osobních preferencích. Pro mne je nejdůležitější svoboda a tu mi tato konfigurace umožňuje. Když se zbavíte občanství, zbavíte se tím pádem například i branné povinnosti, což je třeba pro mě poměrně zásadní, protože nejsem ochotný jít umírat za žádný stát na světě. Další věc je, že jako občan České republiky nebo Slovenska musíte být ze zákona klientem oligopolu několika málo zdravotních pojišťoven a mít objednané jejich služby. To já nemusím, místo toho mám na výběr z celé škály globálních komerčních pojištění, které kvůli vzájemnému konkurenčnímu tlaku mají přirozenou tendenci nabízet daleko kvalitnější služby za lepší cenu. Jako věčný cestovatel tak momentálně například využívám pojišťovnu Safety Wings.

A když už jsme u toho, tak se zbavíte i povinnosti sociálního pojištění, což je asi nejzákeřnější iluze, kterou stát vytváří, neboť vám tak dává falešný pocit, že o vás bude za nějakých třicet let postaráno. Z mého pohledu je to ale vyhazování peněz do kanálu. Abyste mohl být panamským rezidentem, musíte si tam založit firmu. To má pak řadu dalších výhod, můžete na ni například přepsat veškerý svůj majetek včetně nemovitostí a efektivně se tak vyhnout riziku místní exekuce. Jinými slovy můžete panamský právní systém využít na ochranu svého majetku v České nebo Slovenské republice, kde je vůči vám jinak stát v pozici toho silnějšího. Pro mě stát představuje formu koncentrovaného násilí na jednotlivci a myslím si, že by občané měli využít všechny legální způsoby, aby minimalizovali dopad státu na jejich osobu nebo firmu.

Pavol Lupták vystudoval na FEI-STU v Bratislavě a FEL-ČVUT v Praze obor informatika s diplomovou prací zaměřenou na ultra-bezpečné systémy. V minulosti demonstroval možnost zneužití SMS jízdenek ve všech velkých městech Evropy, spolu s kolegou Norbertem Szeteiem demonstroval masivní prolomení čipových karet Mifare Classic. Má 14leté zkušenosti v oblasti IT bezpečnosti a penetračního testování a tvorby nejrůznějších bezpečnostních auditů včetně sociálního inženýrství či forenzní analýzy. V roce 2007 založil slovenskou společnost Nethemba s.r.o., která se specializuje na penetrační testy a bezpečnost webových aplikací. Stál při vzniku slovenského hackerspace Progressbar v Bratislavě a pražského hackerspace Institute of Cryptoanarchy v Paralelní Polis, kterou založila skupina Ztohoven. Vede také slovenskou OWASP pobočku (Open Web Application Security Project) a pravidelně jezdí přednášet na různé světové bezpečností konference.