Mikor törtetek fel utoljára illegálisan számítógépet?
Six: Kizárt, hogy erre bármit mondjunk. (Nevet.)

Miért nem lehet bevallani? Nem lenyomozhatatlan egy profi hacker útja?
Silur: Megfelelő erőforrásokkal és idővel szinte bármi lenyomozható, csak már sosem ütjük meg az ingerküszöböt.

Mondjatok nekem olyan ügyeket, amivel egy átlagos állampolgár megkeres egy hackert!
Silur: Hétköznapi szinten az a legtipikusabb, amikor privát telefonszámról zaklatnak valakit, és ki kell nyomozni, ki az.
Six: Tipikusak a magánnyomozói munkák, ki kell deríteni, hogy megcsal-e a párod, házastársad.
Silur: Vagy most az egyik legfrissebb: öngyilkos lett a telefon tulajdonosa, a hozzátartozók nem tudják a PIN-kódot, de biztos, hogy van valami a telefonban, ami az okokra utal. A magánnyo­mozóknál általában nincs meg ez a tudás. És amúgy is összemosódik a magánnyomozás és a hacking, szinte mindenki online éli az életét.

Hol találnék hackert, ha szükségem lenne egyre? Egyiknek sincs honlapja. Mennyire lehet legalizálni ezt a tevékenységet?
Six: Nincs honlap, szájról szájra terjed a hír, kit kell keresni.
Silur: Lehet azért valamennyire legalizálni. Volt már, hogy nálam volt egy fiatalkorú laptopja, át kellett vizsgálni. Szerződést írattam alá a szülőkkel, hogy legyen valami nyoma a megbízásnak, ilyenekkel be tudod magad védeni.

Van olyan megbízás, amit etikai okokból visszautasítotok?
Six: Nekem nem a pénz az elsődleges, hanem az, hogy mit akarnak elérni a megbízással. Például a 2018-as választások után jöttek megkeresések, hogy fenyegetnek valakit, követik, vagy csak politikai okból információt kérnek valakiről. Ezek például nálam az etikátlan kategóriába tartoznak, az egész politikai vonal taszít, inkább a tiszta játékot szeretem.

Nem hangzik furcsán egy black hat hackeri múlttal bíró programozótól a „tiszta játék” kifejezés?
Silur: Meglepődnél. Pont azok tisztelik legjobban a privacydet, akiknek megvan a hatalmuk, hogy szétszedjenek.
Six: Össze is mosódnak az etikai határok. Sok black hat hacker nem rossz szándékkal dolgozik. Képzeld el, hogy valaki feltöri a Facebookot. Ez egy black hat tevékenység, árt egy vállalatnak. De ha onnan nézed, hogy Facebook nélkül jobb hely lenne a világ, akkor valójában mennyi kárt okoz?
Silur: Ebben mondjuk nem értek egyet. Amikor hackelni tanítottak, mindig elmondták, hogy ne érezd magad Robin Hoodnak, aki csak a csúnya nagy cégeket bántja. A végén mindig ott van egy ember, akinek kárt okozol. Hiába hiszed magad hősnek, előbb-utóbb rád szakad a bűntudat.

Ha már kimondtad: hol lehet tanulni? Hogy lesz valakiből hacker?
Silur: Fórumokon kell keresgélni. Régebben az IRC futott nagyon jól, most már a Matrix. Kibervédelemben négy ország a legerősebb: Kína, Oroszország, Japán és Izrael. Jellemző, hogy pont ott születnek a legjobb hackerek, ahol a legjobban büntetik a tevékenységet. Ezeket a csoportokat kell keresni.
Six: Mondjuk, ha az ember elkezd az elején keresgélni, szinte biztos, hogy ráharap a mézes madzagra: olyan csoportba jut be könnyen, ahol a végén őt fogják feltörni. A jó csoportok nem nyitottak.
Silur: Erre jó példa, hogy az FBI éveken át üzemeltetett egy hitelkártyák feltörésével foglalkozó csoportot. Sokan gyűltek oda, aztán lekapcsoltak mindenkit. A jó csoportokba nehéz bejutni. Volt olyan közösség, még a Bitcoin előtt, ahol több nap alatt kellett kibányásznom a regisztrációs tokent.

Megéri? Mennyire lehet megélni belőle?
Silur: Nagyon. De a stressz nem mindegy: alacsony szinten még el tudsz lavírozni, de aztán minél nagyobb a feladat, annál nagyobb a felelősség és a büntetés. Gimisként óriási volt, hogy tizenötezer forintért feltörtem valakinek a MyVip-fiókját. De van az a szint, a filmbe illő hackek, amikért nem pár napra visznek be, hanem huszonöt évre.
Six: Rákanyarodhatsz a social engeneering feladatokra, amikor emberek közé keveredsz, és egy ember gyengeségeit használod ki, de az is rizikós. Számos nagy hacknél az embert használod ki, rajta keresztül töröd fel a rendszert. Azt szokták mondani, hogy a vállalatok belső intranetrendszere biztonságos, pedig nem az.

És mennyibe kerül, hogy elindulj egy professzionális hackerpályán?
Six: Nekem egy fillérem sem volt, amikor elkezdtem, de nagyjából mindenki így kezdi. Főleg azért lép valaki erre az útra, mert nincs semmije, csak tudása. Még egy jó számítógép sem kell, hogy elkezdd. Egy-két olyan esetet tudok csak, ahol tényleg számít, mennyire erős a géped.

Lenne olyan munka, ami kockázatos, de nagyon izgatna, hogy megcsináld?
Six: Hú, én erre nem válaszolok. (Nevet.)
Silur: Nekem egy kaszinó! Nemrég olvastam, hogy egy vegasi kaszinóban minden jól le volt védve, kivéve az akvárium okoshőmérőjét, azon keresztül jutottak be a rendszerbe. De ehhez már ott kell lenned fizikailag, és valamilyen hardvert kell használnod. Te is vehetsz bármikor a Kickstarteren negyven–ötven dollárért egy kis eszközt, amivel tv-ket, okoseszközöket lehet iránytani, vagy akár autókat kinyitni a netre feltöltött jel­mintákkal.

Jól sejtem, hogy a sötétben mozgó magányos hacker idejétmúlt dolog?
Silur: Nem, nagyon súlyos figurák mozognak a felszín alatt. A legtöbb hackerről pont azért hallasz, mert már a nemzetbiztonságban dolgoznak, esetleg azért, mert vádalkut kötöttek a hatóságokkal.
Six: Mondjuk ez az Egyesült Államokban pozitív: ha jó képességeid vannak, lehet, hogy munkát adnak. Keleten ez nem így megy. Kínában, Oroszországban, ha lebuksz, véletlenül kieshetsz az ablakon…

Azt mondjátok el, hogy nekem, az átlagos felhasználónak mitől kell félnem a neten!
Six: Valószínűleg nem vagy kitéve célzott támadásnak. Tehát, ha az alapvető biztonsági beállításokat tudatosan használod, nem vagy veszélyben. Ezeket pedig az összes szoftver és operációs rendszer az arcodba tolja: használj 2FA (kétfaktoros – a szerk.) hitelesítést, tűzfalat és így tovább. Már az is sokat segít, ha nem telepítesz fel mindenféle, ki tudja, honnan letöltött programot. A legnagyobb probléma, hogy az átlagos felhasználó nem tájékozódik. Ha valamitől igazán félned kell, az a hülyeséged. Ha már sok pénzed, sok kriptovalutád van, vagy komoly körökben mozogsz, akkor célzott támadás is érhet, az már más tészta.
Silur: Kétféle támadás van: van, amikor szöged van, és van, amikor kalapácsod. Ha szöged van, akkor célzottan valakit támadsz, meg kell keresned a gyengeségeit. De az a legáltalánosabb, ha van egy kalapácsod, és mindent szögnek nézel. Van valami új módszer, te meg szépen kiguglizod, hogy melyik szerver, melyik mailcím lehet sérülékeny. A legtöbben nincsenek tisztában vele, hogy mennyit érnek a személyes adatai, hogy a feketepiacon milyen pénzeket adnak egy születési dátumért. Az átlagos felhasználónak leginkább az adathalászatra kell figyelnie.

Miért baj, ha valaki tudja a születési dátumomat és az anyám leánykori nevét?
Six: Amikor a bank telefonon hitelesít téged, milyen adatokat kér el? Pont ezeket. Vagy nyomtatnak egy útlevelet az adataiddal, és használják. Rengeteg ilyen adatbázist lehet találni a neten, ahol már korábban feltört emberek, fiókok adatait lehet megvenni. És persze a bankkártyaadataid is sokat érnek.
Silur: Nem is kell adatokra gondolni, elég, ha átnézik a képeidet, akár a mappák nevéből elég komoly személyiségprofilt lehet összerakni rólad. És akkor zárójelben jegyzem meg, hogy a Facebook vagy a Microsoft ugyanezt legálisan teszi meg, és adja el a profilodat vállalatoknak. És ezt még közlik is veled a felhasználási feltételek között, csak azokat ugye senki sem olvassa el.

Az még létezik, amit tíz–tizenöt évvel ezelőtt magyaráztak, hogy a különböző webszájtokon való online streamelés, az online pornó vagy a felugró ablakok veszélyesek?
Six: Ma már nagyon más világ van. Régen elég volt megnyitnod egy szájtot, és valami JAVA-s szoftver bent volt a gépedben. Most már nagyon drága, akár milliódolláros kategóriába esnek azok a hackek, amiknél elküldenek neked egy linket, megnyitod, és máris bent vannak a gépedben. Már sokkal több interakciót kell belőled kifacsarni ahhoz, hogy tényleg feltörjenek, nem elég megnyittatni veled egy linket.

És az igaz, hogy amikor valaki torrentoldalról tölti le egy játék tört verzióját, az valamilyen rosszindulatú szoftvert is felrak a gépére?
Six: Szinte az összes tört játék ilyen. Miért ne lenne benne legalább egy kriptobányászszoftver?
Silur: Én fiatalon csináltam is ilyet, meséltem neked erről. De azért nem hiszem, hogy mindegyikben lenne, vannak csapatok, akiknél presztízskérdés, hogy a tört verziójuk tiszta legyen.
Six: Azért hozzáteszem, hogy a letöltött filmek sem mind tiszták, nagyméretű formátumokban, például az .mkv-ban lehetnek elrejtve mókás dolgok…

Milyen biztonsági alkalmazásokat ajánlotok az átlagos felhasználónak?
Silur: Telefonból Google Pixel és rá Graphene operációs rendszer. Nem ismerik, de sok hacker és információbiztonságban jártas ember ilyet használ. Átlagos felhasználáshoz az alapszintű Windows tűzfal és vírus­irtó elég. Nyilván egy plusz vírusirtó nem árt, de könnyen lehet, hogy pont abban lesz valami sérülékenység, amit ki lehet használni.

Hogyan álltatok át a másik oldalra, mikor lettetek rablóból pandúrok?
Six: Én még viszonylag fiatalon. A gyerekcsínyek után ráfordultam az információbiztonságra. Lehetőséget kaptam, hogy építsek egy hackercsapatot egy nagyobb cégnél, azóta csak a biztonsági részével foglalkozom.
Silur: Nekem magánéleti okokból alakult így, egy közeli hozzátartozóm kezdett nagyon aggódni értem, akkor álltam át a biztonsági oldalra.

Most már a blockchainágazatban utaztok, és sokat dolgoztok együtt: Silur megépíti a rendszert, Six pedig auditálja, azaz megpróbálja feltörni. Gyakorlatilag mintha egy cégben lennétek?
Six: Mindketten független szakemberek vagyunk. Mindkettőnket sokan keresnek meg, hogy dolgozzunk náluk, de a független biztonsági szakértői pozíció nagyon értékes. Így szervezzük a rendezvényeinket, a CCTF-et is (CryptoCurrency is The Flag, a Six és Silur által szervezett kripto­hackerverseny – a szerk.). Szerintem sokkal jobban megéri, ha valaki megtartja ezt a függetlenségét, mint az, hogy beáll valaki mögé.

Pontosan hogy néz ki a munkátok?
Silur: Engem keresnek meg, hogy legyek a blockchain-­architect, kódoljam le a rendszert. Az ügyfelet általában összekötöm Six-szel mint független auditorral. Beleépíthetem én is az árba az auditot, de ugye a blockchainkultúra nem szereti a közvetítőket, jobb, ha az ügyfél személyesen keresi meg Sixet. Az ügyfelek is ezt szeretik, személyesen tudnak alkudozni a megbízási díjon. (Nevet.)

És utána?
Six: Jön a manuálteszting, egyenként át kell olvasni az összes kódsort. Ez pár száz sortól a több ezer oldalig terjedhet.

És mi az audit eredménye?
Silur: Volt már mindenféle sérülékenységgel dolgunk, de ezek a kis hibák teljesen természetesek. Mint egy újságírónál: mindig marad a szövegben egy-két elütés, ezért kell átnéznie másnak is. Nálunk nagy előny, hogy közvetlenül kommunikálunk egymással.
Six: És az ügyfelekkel való kommunikáció sem mindegy. Silurral régóta ismerjük egymást, de ha egy addig ismeretlen fejlesztőcsapat munkáját auditálod, könnyen abban a helyzetben találhatod magad, hogy téged tartanak hibásnak, mert rájöttél a gyenge pontra. A munka végén írok egy részletes jelentést az auditról. Ebben minden hibát fel kell tüntetni, azokat a kicsiket is, amiket Silur pár perc alatt kijavított.
Silur: A blockchainvilágban ezt elvárják. A nagy aggre­gátorokon, mint a CoinGeckón és a Coinmarketcapen nem engednek listázni olyan tokent, aminek az építése nincs elejétől végéig auditálva. Jó lenne hasonló rendszer a web2 világában is, nem lenne tele a Google Play Store értéktelen, káros appokkal.

Milyen ügyfelek keresnek meg titeket?
Silur: Mindenféle, nem tudok egyet sem kiemelni.
Six: Számos nagy projekt néz ki nagyon rosszul belülről. Sokan azt hiszik, attól lesz sikeres egy fejlesztés, hogy sokan dolgoznak rajta. Pedig a blockchainvilágban az igazán nagy, áttörő projekteket nem több százan fejlesztették, csak pár nagyon kompetens ember. Ilyen az Ethereum, a Polkadot vagy maga a Bitcoin is. Sokan azt hiszik, hogy elég, ha rengeteg pénzük van, megcsináltatják másokkal a munkát, és még több pénzük lesz. De nem elég nagyon sok fejlesztőt felvenni, elég keveset, ha azok kompetensek.