Jak pracuje etický hacker: „znásilnění s povolením“, penetrační testy, Severní Korea a volby na Facebooku

14. listopadu 2025

Slovo hacker v mnoha lidech pořád vyvolává obraz teenagera v mikině s kapucí, který někde ve sklepě láme hesla. Realita je dnes mnohem zajímavější – a hlavně profesionálnější. Tento článek, inspirovaný podcastovým rozhovorem s etickým hackerem, rozebírá:

  • jak vypadá práce etického hackera v praxi,
  • co znamená výraz „znásilnění s povolením“,
  • jak se testuje bezpečnost bank, firem a cloudových řešení,
  • proč Severní Korea krade kryptoměny a co s tím má společného Cambridge Analytica,
  • a hlavně: jak se můžete nechtěně nechat hacknout i vy.
etické hackování penetrační testy kyberbezpečnost social engineering Cambridge Analytica Severní Korea


Kdo je etický hacker a co vlastně dělá

Etický hacker dělá velmi podobné věci jako „klasický“ útočník – snaží se dostat tam, kam by se běžný uživatel vůbec neměl dostat. Rozdíl je v jedné zásadní věci: dělá to s písemným souhlasem klienta a předem dohodnutými pravidly.

Typický den etického hackera může vypadat tak, že testuje novou webovou aplikaci, interní síť banky nebo cloudové prostředí ve velké firmě. Cílem je najít zranitelnosti a slabá místa dříve, než je objeví někdo s méně etickými úmysly.

Pokud chcete vidět, jak takový projekt vypadá v praxi, podívejte se na stránku penetrační testování od Haxoris.

„Znásilnění s povolením“ v kyberbezpečnosti

V podcastu zazněl výraz, který se nedá přeslechnout: „znásilnění s povolením“. Samozřejmě jde o nadsazenou metaforu – ale docela přesně vystihuje princip etického hackingu.

Bez souhlasu by vniknutí do systému, obcházení ochranných mechanismů nebo získávání přístupů bylo čistý trestný čin. S písemným souhlasem klienta je to ale žádaná služba: firma v podstatě říká:

„Raději ať nás na díru v bezpečnosti upozorní etický hacker dnes,
než aby ji za tři měsíce zneužil někdo anonymní za výkupné.“

Penetrační test je tedy kontrolované porušení hranic systému se zpětnou vazbou a doporučeními, jak všechno opravit a posílit.

Jak se testuje bezpečnost bank, firem a cloudů

Penetrační testy (pentesty) jsou praktické „crash testy“ odolnosti IT systémů. V rozhovoru zaznělo, že přibližně polovina projektů jsou webové aplikace – internetové bankovnictví, zákaznické portály, SaaS řešení či interní systémy.

Haxoris se specializuje na komplexní penetrační testování – od webu přes infrastrukturu až po IoT a AI/LLM integrace.

Typy penetračních testů

Black box testování simuluje externího útočníka:

  • hacker o systému prakticky nic neví,
  • nemá přístupové údaje ani interní dokumentaci,
  • vidí jen to, co je běžně dostupné z internetu.

V praxi se ale častěji používá grey box přístup – klient poskytne testovací instanci, účty s různými rolemi a základní přehled systému. To umožní otestovat nejen autentizaci (login), ale hlavně autorizaci:

  • vidí uživatel data, která vůbec nemá vidět?
  • může běžný uživatel provádět akce, které patří jen administrátorovi?
  • dokáže obejít kontrolu oprávnění přes API nebo URL?

Co konkrétně se testuje

V bankách, fintechu a korporacích se typicky testují tyto oblasti:

  • Webové aplikace & API – klasické chyby jako SQL injection, XSS, slabé session, chybné ověřování oprávnění, chyby v business logice.
  • Interní infrastruktura – Windows doména, VPN, servery, pracovní stanice; cílem je zjistit, zda se útočník z jednoho kompromitovaného stroje dokáže dostat až k nejcitlivějším systémům a datům.
  • Cloudová prostředí (AWS, Azure, GCP) – právě k tomu slouží cloud penetration testing: kontrola IAM rolí, firewall pravidel, otevřených služeb, úložišť a segmentace sítě.
  • WiFi a sítě – slabá hesla, špatná segmentace, starý firmware, rogue AP a další vektory útoku.

Když se stejné chyby opakují každý rok

V rozhovoru zaznělo i něco nepříjemně upřímného: některé firmy si nechávají dělat pentesty každý rok – a každý rok se tam objevují ty samé chyby.

Důvod? Pro část organizací je penetrační test hlavně „checkbox do reportu“ pro audit nebo regulátora. Bez skutečné motivace chyby opravit se z testu stává jen formální povinnost.

Chcete, aby penetrační test nebyl jen formalita? Podívejte se, jak jsou nastavené procesy, cíle a metodika při penetračních testech Haxoris – a porovnejte to s tím, co dnes dostáváte od dodavatelů.

Severní Korea, APT skupiny a kryptoměny

V kyberprostoru už dávno nebojují jen jednotlivci. Existují tzv. APT skupiny (Advanced Persistent Threat) – týmy hackerů, které jsou financované nebo přímo řízené státy.

Nejčastěji se spojují se státy jako:

  • Severní Korea,
  • Rusko,
  • Čína,
  • občas Írán a další hráči.

Z rozhovoru vyplynulo, že Severní Korea je „chudá země s velmi bohatými hackery“. Specializuje se hlavně na krádeže kryptoměn – z burz, DeFi projektů či špatně zabezpečených služeb.

Kryptoměny jsou pro ně ideální: jsou snadno přenositelné, relativně anonymní a umožňují obcházet sankce. Několik největších krypto‑útoků posledních let je podle vyšetřovatelů připisováno právě severokorejským skupinám.

Pokud chcete vidět, jak vypadá simulace komplexního útoku na organizaci, podívejte se na Red Teaming od Haxoris – jde o „cvičný kyberútok“, který v kontrolovaném prostředí otestuje, co by dokázala reálná APT skupina.

Cambridge Analytica a volby na Facebooku

Hackování nejsou jen technické útoky na servery nebo hesla. Ještě nebezpečnější je hacknutí lidské psychiky.

Kauza Cambridge Analytica ukázala, jak lze data z Facebooku využít k:

  • profilování voličů podle jejich emocí, strachů a frustrací,
  • cíleným kampaním, které „tlačí na správná tlačítka“,
  • ovlivňování veřejného mínění ve prospěch konkrétních lídrů či stran.

V rozhovoru zaznělo, že kromě USA a UK měl tento model kampaní fungovat i v desítkách dalších zemí – často v „banánových republikách“, kde si jedna strana v podstatě zaplatila výhru ve volbách přes Facebook.

Technicky nebyl hacknutý žádný server. Hacknuté byly miliardy newsfeedů a miliony hlav.

Jak se můžete nechtěně nechat hacknout – i vy

Můžete používat Mac, Windows nebo Linux, mít antivir, firewall i VPN – a stejně naletět. Stačí špatný moment, stres, telefonát ve špatnou chvíli nebo jedna rychle odkliknutá SMS.

Phishing v praxi

V podcastu zazněl příběh, který je dobrým varováním i pro profíky. Etický hacker dostal SMS o expirující doméně:

  • správná doména,
  • správné datum expirace,
  • správný název registrátora.

Důvod? Poskytovatel měl v minulosti únik dat. Útočníci měli k dispozici reálné údaje – stačilo je zabalit do věrohodné SMS. Hacker byl ve stresu, spěchal, skoro klikl… až při platbě mu začalo být něco podezřelé a proces zastavil.

Tohle je moderní phishing: přesný, personalizovaný, dobře načasovaný. Pokud vás zajímá, jak lze phishing a smishing bezpečně simulovat na zaměstnancích, podívejte se na služby sociálního inženýrství Haxoris.

Sociální inženýrství: útok na člověka, ne na firewall

Útočník často nepotřebuje hledat zranitelnost v kódu. Stačí mu zranitelnost v psychice – strach, rutina, důvěřivost, autorita nebo pocit naléhavosti.

Typické scénáře sociálního inženýrství:

  • falešný telefonát „z banky“ s urgentní požadavkem,
  • SMS od kurýra s odkazem na „doplatek“,
  • e‑mail údajně z finanční správy nebo policie,
  • podvodné investiční poradenství přes známé sociální sítě.

Sociální inženýrství je jedna z nejúspěšnějších technik útoku – proto je součástí kvalitních red teaming projektů i phishingových kampaní.

Praktické tipy, jak se bránit

  • Nereagujte ve stresu. Když vám někdo tvrdí, že „musíte něco udělat do 10 minut“, je to samo o sobě podezřelé.
  • Neklikejte na odkazy v SMS a e‑mailech od „banky“ či „úřadu“. Adresu raději napište ručně do prohlížeče nebo použijte oficiální aplikaci.
  • Ověřte si kontakt druhým kanálem. Pokud vám volají z banky, položte to a zavolejte zpět na číslo z oficiálního webu.
  • Zapněte si 2FA. Dvoufaktorové ověření patří mezi nejsnazší, ale zároveň nejúčinnější ochrany.
  • Aktualizujte systémy. Updaty nejsou otrava – jsou to záplaty na známé díry, které útočníci aktivně hledají.
  • Vzdělávejte lidi ve firmě. Člověk je nejslabší článek – školení a phishingové simulace dokážou riziko výrazně snížit.

Co si z podcastu odnést pro sebe a svou firmu

Na závěr pár hlavních myšlenek, které z rozhovoru jasně vyplynuly:

  • Etický hacker je partner, ne nepřítel. Dělá to, co by dělal i reálný útočník – jen včas, bezpečně a s reportem.
  • Penetrační test má smysl jen tehdy, pokud podle něj také něco uděláte. Jinak je to jen PDF do šanonu.
  • Největší zranitelnost není technologie, ale člověk. Proto je potřeba řešit i procesy, kulturu a vzdělávání – ne jen firewally.
  • Státy i firmy už dávno pochopily, že data = moc. Od severokorejských útoků na krypto až po Cambridge Analytica vidíme, že kyberprostor je normální bojiště.
  • I profík může naletět. Rozdíl je jen v tom, jestli si to přizná, poučí se a nastaví procesy tak, aby se chyby neopakovaly.

A úplně nejdůležitější věta, která by klidně mohla viset na zdi každé serverovny:

Bezpečnost není stav, ale proces.
Neexistuje „hotovo, jsme zabezpečeni“. Existuje jen „dnes jsme o něco méně zranitelní než včera“.

Chcete zjistit, jak by v praxi vypadal útok na vaši firmu – ale bezpečným způsobem? Začněte konzultací k penetračním testům, red teamingu nebo social engineering kampaním. Zjistíte, kde máte největší díry – dříve, než je najde někdo jiný.
Marek Mlynček

Autor

Marek Mlynček

Rezervujte si penetrační test od zkušených etických hackerů.

Rezervovat