Ako pracuje etický hacker: „znásilnenie s povolením“, penetračné testy, Severná Kórea a voľby na Facebooku

November 14, 2025

Slovo hacker v mnohých ľuďoch stále vyvoláva obraz tínedžera v mikine s kapucňou, ktorý láme heslá niekde v pivnici. Realita je dnes oveľa zaujímavejšia – a hlavne profesionálnejšia. Tento článok, inšpirovaný podcastovým rozhovorom s etickým hackerom, rozoberá:

  • ako vyzerá práca etického hackera v praxi,
  • čo znamená výraz „znásilnenie s povolením“,
  • ako sa testuje bezpečnosť bánk, firiem a cloudových riešení,
  • prečo Severná Kórea kradne kryptomeny a čo s tým má spoločné Cambridge Analytica,
  • a hlavne: ako sa nechtiac necháš hacknúť aj ty.
etický hacking penetračné testy kyberbezpečnosť social engineering Cambridge Analytica Severná Kórea


Kto je etický hacker a čo naozaj robí

Etický hacker je človek, ktorý robí veľmi podobné veci ako „klasický“ útočník – snaží sa dostať tam, kam by sa bežný používateľ dostať nemal. Rozdiel je v jednej zásadnej veci: robí to s písomným povolením klienta a vopred dohodnutými pravidlami.

Typický deň etického hackera môže vyzerať tak, že testuje novú webovú aplikáciu, internú sieť banky alebo cloudové prostredie vo veľkej firme. Cieľom je nájsť zraniteľnosti a slabé miesta skôr, než ich objaví niekto s menej etickými úmyslami.

Ak chceš vidieť, ako taký projekt vyzerá v praxi, pozri si stránku penetračné testovanie od Haxoris.

„Znásilnenie s povolením“ v kyberbezpečnosti

V podcaste zaznel výraz, ktorý sa nedá prehliadnuť: „znásilnenie s povolením“. Samozrejme ide o nadsadenú metaforu – ale pomerne presne vystihuje princíp etického hackingu.

Bez súhlasu by vniknutie do systému, obchádzanie ochranných mechanizmov či získavanie prístupov bolo čistý trestný čin. S písomným súhlasom klienta je to však žiadaná služba: firma v podstate hovorí:

„Radšej nech nás na dieru v bezpečnosti upozorní etický hacker dnes,
ako by ju mal o tri mesiace zneužiť niekto anonymný za výkupné.“

Penetračný test je teda kontrolované porušenie hraníc systému so spätnou väzbou a odporúčaniami, ako všetko opraviť a spevniť.

Ako sa testuje bezpečnosť bánk, firiem a cloudov

Penetračné testy (pentesty) sú praktické „crash testy“ odolnosti IT systémov. V rozhovore zaznelo, že približne polovica projektov sú webové aplikácie – internet banking, zákaznícke portály, SaaS riešenia či interné systémy.

Haxoris sa špecializuje na komplexné penetračné testovanie – od webu cez infraštruktúru až po IoT a AI/LLM integrácie.

Typy penetračných testov

Black box testovanie simuluje externého útočníka:

  • hacker nevie o systéme takmer nič,
  • nemá prístupové údaje ani internú dokumentáciu,
  • vidí iba to, čo je bežne dostupné z internetu.

V praxi sa však častejšie používa grey box prístup – klient poskytne testovaciu inštanciu, účty s rôznymi rolami a základný prehľad systému. To umožní otestovať nielen autentifikáciu (login), ale najmä autorizáciu:

  • vidí používateľ údaje, ktoré vidieť nemá?
  • vie bežný používateľ vykonať akcie, ktoré patria iba adminovi?
  • dokáže obísť kontrolu oprávnení cez API alebo URL?

Čo konkrétne sa testuje

V bankách, fintechu a korporáciách sa typicky testujú tieto oblasti:

  • Webové aplikácie & API – klasické chyby ako SQL injection, XSS, slabé session, chybné overovanie oprávnení, chyby v business logike.
  • Interná infraštruktúra – Windows doména, VPN, servery, pracovné stanice; cieľom je zistiť, či sa útočník z jedného kompromitovaného stroja vie dostať „až na korunu“.
  • Cloudové prostredia (AWS, Azure, GCP) – práve na to slúži cloud penetration testing: kontrola IAM rolí, firewall pravidiel, otvorených služieb, úložísk a segmentácie siete.
  • WiFi a siete – slabé heslá, zlá segmentácia, starý firmware, rogue AP a ďalšie vektory útoku.

Keď sa tie isté chyby opakujú každý rok

V rozhovore zaznelo aj niečo nepríjemne úprimné: niektoré firmy si dávajú robiť pentesty každý rok – a každý rok tam sú tie isté chyby.

Dôvod? Pre časť organizácií je penetračný test hlavne „checkbox do reportu“ pre audit alebo regulátora. Bez skutočnej motivácie chyby opraviť sa z testu stáva iba formálna povinnosť.

Chceš, aby penetračný test nebol len formalita? Pozri si, ako je nastavený proces, ciele a metodika pri penetračných testoch Haxoris – a porovnaj to s tým, čo dnes dostávaš od dodávateľov.

Severná Kórea, APT skupiny a kryptomeny

V kyberpriestore už dávno nebojujú len jednotlivci. Existujú tzv. APT skupiny (Advanced Persistent Threat) – tímy hackerov, ktorí sú financovaní alebo priamo riadení štátmi.

Najčastejšie sa spájajú so štátmi ako:

  • Severná Kórea,
  • Rusko,
  • Čína,
  • niekedy Irán a ďalší hráči.

Z rozhovoru vyplynulo, že Severná Kórea je „chudobná krajina s veľmi bohatými hackermi“. Špecializujú sa najmä na krádeže kryptomien – z búrz, DeFi projektov či nesprávne zabezpečených služieb.

Kryptomeny sú pre nich ideálne: sú ľahko prenositeľné, relatívne anonymné a umožňujú obchádzať sankcie. Niekoľko najväčších krypto-útokov posledných rokov je podľa vyšetrovateľov pripisovaných práve severokórejským skupinám.

Ak chceš vidieť, ako vyzerá simulácia komplexného útoku na organizáciu, pozri si Red Teaming od Haxoris – ide o „cvičný kyberútok“, ktorý v kontrolovanom prostredí otestuje, čo by dokázala spraviť reálna APT skupina.

Cambridge Analytica a voľby na Facebooku

Hackovanie nie sú len technické útoky na servery či heslá. Ešte nebezpečnejšie je hacknutie ľudskej psychiky.

Kauza Cambridge Analytica ukázala, ako sa dajú dáta z Facebooku využiť na:

  • profilovanie voličov podľa ich emócií, strachov a frustrácií,
  • cielené kampane, ktoré „tlačia na správne gombíky“,
  • ovplyvňovanie verejnej mienky v prospech konkrétnych lídrov či strán.

V rozhovore zaznelo, že okrem USA a UK mal tento model kampaní fungovať aj v desiatkach ďalších krajín – často v „banánových republikách“, kde si jedna strana v podstate zaplatila výhru vo voľbách cez Facebook.

Technicky nebol hacknutý žiadny server. Hacknuté boli miliardy newsfeedov a milióny hláv.

Ako sa nechtiac necháš hacknúť – aj ty

Môžeš používať Mac, Windows alebo Linux, mať antivírus, firewall aj VPN – a aj tak naletieť. Stačí zlý moment, stres, telefonát v nevhodnej chvíli alebo jedna rýchlo odkliknutá SMS.

Phishing v praxi

V podcaste zaznel príbeh, ktorý je dobrým varovaním aj pre profíkov. Etický hacker dostal SMS o expirujúcej doméne:

  • správna doména,
  • správny dátum expirácie,
  • správny názov registrátora.

Dôvod? Poskytovateľ mal v minulosti únik dát. Útočníci mali k dispozícii reálne údaje – stačilo ich zabaliť do vierohodnej SMS. Hacker bol v strese, ponáhľal sa, skoro klikol… až pri platbe mu začalo byť niečo podozrivé a proces stopol.

Toto je moderný phishing: presný, personalizovaný, dobre načasovaný. Ak ťa zaujíma, ako sa dá phishing a smishing bezpečne simulovať na zamestnancoch, pozri si social engineering služby Haxoris.

Sociálne inžinierstvo: útok na človeka, nie na firewall

Útočník často nepotrebuje hľadať zraniteľnosť v kóde. Stačí mu zraniteľnosť v psychike – strach, rutinu, dôverčivosť, autoritu alebo pocit urgentnosti.

Typické scenáre sociálneho inžinierstva:

  • falošný telefonát „z banky“ s urgentnou požiadavkou,
  • SMS od kuriéra s odkazom na „doplatok“,
  • e-mail údajne z finančnej správy alebo polície,
  • podvodné investičné poradenstvo cez známe sociálne siete.

Sociálne inžinierstvo je jedna z najúspešnejších techník útoku – preto je súčasťou kvalitných red teaming projektov aj phishingových kampaní.

Praktické tipy, ako sa brániť

  • Nereaguj v strese. Keď ti niekto tvrdí, že „musíš niečo urobiť do 10 minút“, je to samo o sebe podozrivé.
  • Neklikaj na linky v SMS a e-mailoch od „banky“ či „úradu“. Adresu radšej napíš ručne do prehliadača alebo použi oficiálnu appku.
  • Over si kontakt z druhého kanála. Ak ti volajú z banky, zlož a zavolaj späť na číslo z oficiálneho webu.
  • Zapni si 2FA. Dvojfaktorové overenie je jedna z najjednoduchších, ale najefektívnejších ochrán.
  • Aktualizuj systémy. Updaty nie sú otrava – sú to záplaty na známe diery, ktoré útočníci aktívne hľadajú.
  • Vzdelávaj ľudí vo firme. Človek je najslabší článok – školenia a phishingové simulácie dokážu riziko výrazne znížiť.

Čo si z podcastu odniesť pre seba a svoju firmu

Na záver niekoľko hlavných myšlienok, ktoré z rozhovoru jasne vyplynuli:

  • Etický hacker je partner, nie nepriateľ. Robí to, čo by robil aj reálny útočník – len včas, bezpečne a s reportom.
  • Penetračný test má zmysel iba vtedy, ak podľa neho aj niečo urobíš. Inak je to len PDF do šanónu.
  • Najväčšia zraniteľnosť nie je technológia, ale človek. Preto treba riešiť aj procesy, kultúru a vzdelávanie, nie len firewally.
  • Štáty aj firmy už dávno pochopili, že dáta = moc. Od Severo-kórejských útokov na krypto až po Cambridge Analytica vidíme, že kyberpriestor je normálne bojisko.
  • Aj profík môže naletieť. Rozdiel je len v tom, či si to prizná, poučí sa a nastaví procesy tak, aby sa chyby neopakovali.

A úplne najdôležitejšia veta, ktorá by pokojne mohla visieť na stene každej serverovne:

Bezpečnosť nie je stav, ale proces.
Neexistuje „hotovo, sme zabezpečení“. Existuje len „dnes sme o niečo menej zraniteľní než včera“.

Chceš zistiť, ako by v praxi vyzeral útok na tvoju firmu – ale bezpečným spôsobom? Začni konzultáciou k penetračným testom, red teamingu alebo social engineering kampaniam. Zistíš, kde máš najväčšie diery – kým ich nájde niekto iný.
Marek Mlynček

Autor

Marek Mlynček

Rezervujte si penetračný test od skúsených etických hackerov.

Rezervovať