23. marca 2018

Pavol Lupták sa živí etickým hackovaním, na ktorom si pred rokmi postavil biznis. Jeho firmy však na Slovensku aj v Česku odmietajú pracovať pre štát, aj kvôli kauze nákupu špionážneho softvéru od spoločnosti spolupracujúcej s diktátorskými krajinami, ktorý odhalil WikiLeaks. Lupták pre Forbes hovorí, ako vyzerá jeho podnikanie, prečo platí kryptomenami a kedy sa otvorí prvá kaviareň na Slovensku, kde sa bude dať platiť len bitcoinom.

Ste etickým hackerom a živíte sa tým, že sa za peniaze nabúravate do serverov firiem, ktoré si to vyžiadajú. Odhaľujete tak diery v zabezpečení. Mali ste v minulosti obdobie, kedy ste boli “menej etický”?
Nikdy som nebol black-hat hacker, teda som nekradol ani inak neubližoval. Bol som však a stále som etický hacktivista.

Čo to znamená?
Nemám problém s tým, ak napríklad niekto zaútočí na stránky inštitúcií diktátorských vlád obmedzujúcich slobodu, napríklad na web Severnej Kórey. Je to síce nelegálne, ale podľa mňa nie neetické. Podobne schvaľujem whistleblowing, ktorý poukazuje na vážne obmedzovanie ľudských práv alebo vážne ohrozenie života.

FOTO: Zoznámte sa. Toto je 10 najbohatších kryptoľudí na svete

Akých teda poznáme hackerov a aké sú medzi nimi rozdiely?
Existujú white-hat hackeri, ktorých činnosť pozostáva len z legálneho a etického testovania klientov a to je to čím sa živíme my. Funguje to tak, že si nás dopredu objedná napríklad banka, s ktorou podpíšeme zmluvu o mlčanlivosti ako aj zmluvu o vykonaní testov, na základe ktorej realizujeme dopredu dohodnutý riadený útok s cieľom odhaliť bezpečnostné zraniteľnosti. Tie identifikujeme, popíšeme a navrhneme opravu. Okrem white-hat hackerov existujú aj black-hat hackeri, ktorých činnosť je nelegálna a súčasne neetická. Tí napríklad kradnú čísla kreditiek či citlivé údaje a predávajú ich ďalej, napríklad na kryptomarketoch. Treťou kategóriou je tzv. grey-hat hacking, kde patria ľudia, oficiálne pracujúci v legálnych hackerských firmách, ale popri tom majú aj rôzne “nekalé” aktivity. Hacktivisti, ktorých som spomínal sú samostatnou špeciálnou kategóriou. Nejde im o osobný prospech, ale o poukázanie na nejaký vážny problém v spoločnosti.

Pavol Lupták sa snaží platiť výhradne kryptomenami. Foto: Nethemba

Kto je Pavol Lupták

Je výkonným riaditeľom bezpečnostnej firmy Nethemba a spoluzakladateľ organizácií Progressbar, SOIT, Hacktrophy a Paralelná Polis. Vyštudoval Fakultu elektrotechniky a informatiky Slovenskej technickej univerzity a študoval tiež informatiku na Českom vysokom učení technickom v Prahe. Pravidelne prednáša na rôznych svetových bezpečnostných konferenciách. Stojí tiež za iniciatívou Nepracujeme pre štát na Slovensku aj v Česku.

Spomínali ste, že nabúranie na web Severnej Kórey je nelegálne, ale podľa vás etické. U každého hackera je však hranica nastavená inak alebo nie?
Áno, je to individuálne. Našli by sme množstvo príkladov, kedy je hackerský útok nelegálny, ale mohli bysme debatovať či je aj neetický. Predstavte si, že existuje farmaceutická firma, ktorá vyvinie liek na rakovinu a kedže má naň štátom udelený patent, tak ho predáva za obrovské peniaze. Drvivá väčšina ľudí si ho nemôže dovoliť a umiera. Hackeri sa nabúraju do ich spoločnosti a zverejnia návod na výrobu tohto lieku, čím zachráni milióny životov. Je to určite nelegálne. Ale je to tiež neetické?

Na hackerov sú firmy krátke. Pomáha umelá inteligencia

Viete uviesť príklad, kedy sa vďaka hacktivizmu podarilo niečo odhaliť na Slovensku?
Známy je napríklad útok na spoločnosť Gamma Group a Hacking Team, ktoré vyrábajú a následne predávajú diktátorským vládam špičkový špionážny softvér, pomocou ktorého mnohé (nielen diktátorské) štáty sledujú svojich politických oponentov či politických disidentov, častokrát končiac ich uväznením.Hackeri sa nabúrali do emailovej komunikácie týchto súkromných spoločností a celú ju zverejnili na WikiLeaks. Z nej napríklad vyplynulo, že tento špehovací systém od veľmi kontroverzných firiem používa napríklad polícia v Česku a o nákup mala záujem aj Slovenská SIS. Nebyť hacktivizmu, nikdy by sme o o tomto nedozvedeli, pretože tieto informácie podliehajú prísnemu utajeniu a občania ich nedokážu získať napríklad cez infozákon.

Podľa komunikácie tento softvér používali Česi, no Slovenská informačná služba ho údajne nakoniec nekúpila.
To nevieme s istotou povedať, kedže tieto nákupy podliehajú prísnemu utajeniu. Aj keby nie, už len to, že náš štát mal podľa uniknutých dokumentov komunikovať s firmami, ktoré pracujú a podporujú diktátorske režimy, je vážna vec.

Lupták je spoluzakladateľom Paralelnej Polis v Prahe, ktorej súčasťou je aj prvá bitcoinová kaviareň. Foto: archív PP

Poďme ale späť k vám. Už vás niekto hackol?
V minulosti mi ukradli dva bitcoiny kvôli bezpečnostnej chybe v Mycelium Bitcoin peňaženke, čo je aplikácia, vďaka ktorej sa dajú prijímať a posielať bitcoiny. Jej autori následne tú chybu opravili, ale bitcoiny mi samozrejme už nikto nevrátil.

To je celkom slušná čiastka.
V súčasnosti je to približne 14-tisíc eur, ale vtedy to nemalo takú hodnotu.

A čo vaša firma? Už sa do nej niekto nabúral?
Zatiaľ nie. Vraví sa, nikdy nehovor nikdy. U nás vo firme všetci fungujeme v extra paranoidnom režime – šifrujeme kompletne disky aj akúkoľvek našu komunikáciu a to sa týka aj všetkých našich netechnických ľudí vrátane mojej asistentky. Okrem mojej firmy Nethemba som tiež spoluzakladateľom spoločnosti Hacktrophy, čo je niečo ako “Uber pre hackerov” a od jej vzniku (cca rok, pozn. red.) tam visí oficiálna ponuka na nabúranie sa na servery našej spoločnosti..

Ako takýto “Uber” funguje?
V databáze máme vyše 300 etických hackerov z celého sveta, ktorí testujú zraniteľnosti webových stránok a webových aplikácií, teda poskytujú nám služby white-hat hackingu. Spoločnosť, ktorá si chce preveriť bezpečnosť vlastných aplikácií sa u nás zaregistruje, vytvorí projekt, kde definuje, čo presne chce otestovať a aké odmeny chce vyplatiť hackerom za odhalenie prípadných zraniteľností. Pokiaľ to pre niektorých našich hackerov má ekonomický zmysel, tak sa pustia do (etického) hackovania.

Uber zaplatil hackerom 100-tisíc dolárov, aby mlčali

Koľko peňazí firmy ponúkajú ?
Je to individuálne. Najnižšie odmeny za najmenej vážne zraniteľnosti sa pohybujú okolo 15-20 eur, no sú firmy, ktoré investujú aj tisíce eur. Ak ste veľkým klientom a bezpečnosť je pre vás priorita, mali by ste investovať viac peňazí, aby ste navýšili motiváciu hackerov testovať práve vaše aplikácie.

Na Hacktrophy ste dokonca ponúkali vyše tisíc eur za hacknutie e-občianskeho bývalého ministra vnútra Róberta Kaliňáka, ktorý na to pri kauze ich bezpečnosti verejne vyzval. Ako to dopadlo?
Pán Kaliňák neposkytol verejnosti žiadny dokument, ktorý by digitálne podpísal, a teda ktorý by obsahoval jeho verejný kľúč. To je na samotné hacknutie nevyhnutné. Jeho výzva preto bola len prázdnymi slovami do vetra.

Sídlo Paralelnej Polis v Prahe. Foto: archív PP

Prejdime na inú tému. Okrem spoločností Nethemba a Hacktrophy, ktoré sa zaoberajú white-hathackovaním ste tiež spoluzakladateľom Paralelnej Polis v Prahe. O čo ide?
Ide o neziskovú organizáciu, v ktorej sa snažíme na základe myšlienok chartistu Václava Bendu využitím krypto technológií vybudovať slobodnú spoločnosť paralelnú k tej existujúcej, z ktorej sa bohužiaľ sloboda už vytráca. Propagujeme myšlienky digitálnej osobnej a ekonomickej slobody využitím krypto technológií, ktoré vás dokážu “odstrihnúť” od systému.

Čo všetko teda nájdeme v budove Paralelnej Polis?

Na prízemí je Bitcoin kaviareň, kde momentálne akceptujeme už aj litecoiny či anonymné monerá. Na prvom poschodí je coworking space PaperHub, kde je možné využívať a prenajímať si kancelárske priestory za kryptomeny. Treťou je Inštitút kryptoanarchie, čo je priestor na organizáciu workshopov, prednášok a stretnutí s cieľom oboznámiť ľudí s krypto technológiami, slobodou a paralelnou spoločnosťou.

Oplatí sa prevádzkovať kaviareň, kde sa dá platiť len kryptomenou? Prevádzky sa totiž do tohto konceptu nehrnú.

Používanie kryptomien predstavuje obrovské množstvo výhod (decentralizácia, anonymita, vysoká rýchlosť, nemožnosť exekúcie, nízke poplatky obzvlásť pri transakciách mimo EÚ atď.). To, že sa ich podnikatelia boja používať súvisí možno s tým, že neexistuje k tomu žiadna jasná legislatíva, ktorá by definovala ich spôsob používania, čo osobne ja napríklad pokladám za výhodu.

Vizualizácia Paralelnej Polis v Bratislave. Foto: archív PP

A koľko ľudí denne ju navštívi?
Okolo stovky.

Plánujete niečo podobné realizovať aj na Slovensku?
Áno. V súčasnosti je budova v rekonštrukcii, ale Paralelnú Polis, ktorej súčasťou bude aj kaviareň, chceme spustiť najbližšie mesiace. Okrem Bratislavy, vyzerá, že sa najbližšie Paralelné Polis vyroja tiež v Sarajave či Londýne. Tento víkend organizujeme v Bratislave tzv. “kryptoblšák” – trhovisko, na ktorom môžete čokoľvek predať alebo kúpiť za kryptomeny. A 26.4 ako Paralelná Polis organizujeme v Bratislave veľkú konferenciu pre všetkých podnikateľov, ktorí sa chcú naučiť používať a akceptovať kryptomeny vo svojich firmách.

Vraveli ste, že funguje v paranoidnom režime. Máte prelepenú kameru na počítači?
Mám špeciálny laptop, kde mám fyzický prepínač na zapnutie a vypnutie kamery. Ak by som mal bežný notebook, mal by som kameru určite prelepenú.

Hlavná foto: Sita/Pixabay