Od sociálneho inžinierstva po simulované vlámania – Philipp Kapeller prezrádza, ako sa preveruje bezpečnosť firiem v praxi.
Čo sa vlastne deje, keď sa niekto v noci nepozorovane pohybuje po firemnom areáli alebo si s úsmevom získa prístup do priestorov s obmedzeným prístupom? Philipp Kapeller, penetračný tester v spoločnosti CANCOM, vo svojej práci vystupuje v úlohe „legálneho hackera“ a preveruje firemnú bezpečnosť v praxi. V tomto rozhovore ponúka exkluzívny pohľad do svojich misií – plných zaujímavých situácií, nečakaných zvratov a momentov, ktoré ukazujú, aké zraniteľné môžu byť aj dobre chránené systémy. Autentický pohľad na profesiu, ktorá si vyžaduje komunikačné zručnosti, technické know-how a poriadnu dávku improvizácie.
2. júna 2026
|
Čas čítania: 8 min.
Obrázok: © CANCOM (upravené pomocou AI)
CANCOM Slovakia: Čo presne sú penetračné testy?
Philipp: Penetračný test, alebo skrátene „pentest“, je kontrolovaný a autorizovaný útok na spoločnosť s cieľom odhaliť bezpečnostné zraniteľnosti skôr, než ich nájdu skutoční útočníci. Preberáme úlohu hackera a snažíme sa identifikovať technické, organizačné alebo fyzické slabiny. Môže ísť napríklad o chyby v softvéri, slabé heslá, zastarané systémy alebo ľahko zneužiteľné procesy. Pentest má vždy jasne definovaný rozsah – klient presne určí, ktoré oblasti môžeme testovať. Cieľom nie je niekoho nachytať alebo usvedčiť, ale poskytnúť firmám konkrétne a realizovateľné odporúčania, ktoré im pomôžu zvýšiť úroveň bezpečnosti.
CANCOM Slovakia: Špecializujete sa na konkrétnu oblasť?
Philipp: Áno, tento odbor je veľmi široký, preto dáva špecializácia zmysel. Mojimi hlavnými oblasťami sú OSINT, penetračné testovanie webových aplikácií, sociálne inžinierstvo a fyzická bezpečnosť.
Pri sociálnom inžinierstve sa zameriavam na útoky, ktorých centrom sú ľudia. Testujeme napríklad, či je možné získať citlivé informácie prostredníctvom telefonátov, e-mailov alebo osobných stretnutí. Sledujeme, ako zamestnanci reagujú v rôznych situáciách a či dôverujú existujúcim procesom alebo ich kriticky preverujú. Ak sa napríklad objavím s falošnou objednávkou, zamestnanec by si mal overiť, či skutočne existuje. Práve takéto pozorovania nám pomáhajú procesy zlepšovať.
V oblasti fyzickej bezpečnosti sa snažíme dostať do budov prostredníctvom vlámania. Dá sa prekonať uzamykací systém? Nachádza sa niekde pootvorené okno, ktoré možno otvoriť? Takéto testy ukazujú, ako dobre by bola spoločnosť chránená v prípade skutočného incidentu.
CANCOM Slovakia: Ako vyzerá sociálne inžinierstvo v praxi?
Philipp: Závisí od toho, či testujeme online alebo priamo na mieste.
Pri online útokoch, napríklad phishingu, zohrávajú veľkú úlohu emócie. Rád vytváram kampane, ktoré zodpovedajú aktuálnemu obdobiu. Na začiatku grilovacej sezóny sme napríklad realizovali phishingovú kampaň, v ktorej sme rozoslali e-mail tváriaci sa ako správa z interného marketingového oddelenia. Pozýval na exkluzívny grilovací seminár s externým eventovým partnerom a počet miest bol obmedzený. Záujemcovia sa preto museli zaregistrovať čo najskôr. Ak je v hre časový tlak, mnoho ľudí si e-mail dôkladne nepreverí, klikne na odkaz a padne do pasce.
Pri sociálnom inžinierstve na mieste ide o nenápadné ovplyvňovanie ľudí. Kedysi bolo bežné vyviesť človeka z miery, dostať ho do nepríjemnej situácie a následne mu ponúknuť riešenie. Dnes sú však mnohí ľudia na podobné scenáre dobre pripravení a už im tak ľahko nepodľahnú. Oveľa lepšie funguje priateľský prístup a humor. Začnem nezáväzný rozhovor, rozosmejem ľudí, vytvorím príjemnú atmosféru a následne ich požiadam o drobnú pomoc, napríklad o otvorenie dverí do miestnosti. Ďalšou jednoduchou, no veľmi účinnou metódou je využiť miesta, kde sa zamestnanci prirodzene stretávajú počas prestávok, napríklad pri fajčiarskej zóne. Nadviažem rozhovor a podľa situácie sa predstavím ako nový zamestnanec alebo firemný elektrikár. Keď sa potom všetci vracajú späť do budovy, jednoducho idem s nimi. A práve to často funguje prekvapivo dobre.
CANCOM Slovakia: A čo vlámanie? Ako pri ňom postupujete?
Philipp: Pred každým testom dostaneme od klienta presné zadanie – napríklad dostať sa do kancelárie, vyhotoviť fotografie alebo získať citlivé dáta. Klient zároveň určí, do ktorých priestorov môžeme vstúpiť a ktoré sú mimo rozsahu testovania, aby sa predišlo rizikovým situáciám.
Príprava sa začína dôkladným prieskumom areálu. Využívame nástroje ako Google Maps či Street View a niekedy aj drony. Sledujeme napríklad striedanie zmien alebo hľadáme potenciálne slabé miesta v oplotení. Počas samotného testu nesmieme nič poškodiť. Väčšinou pracujeme v noci, snažíme sa nenápadne dostať do areálu a následne získať prístup do budovy. Keď splníme stanovený cieľ, naša práca v teréne sa končí a začíname pripravovať záverečný report.
CANCOM Slovakia: Vie o takýchto testoch vo firme niekto vopred? A stalo sa vám už, že vás pri nich odhalili?
Philipp: Od klienta vždy dostaneme takzvané Permission to Attack, teda oficiálne povolenie na vykonanie testu. O plánovanej akcii zároveň vie niekoľko vybraných ľudí vo firme. Ak nás zastaví polícia alebo niekto iný, práve oni slúžia ako kontaktné osoby a môžu potvrdiť, že ide o autorizované testovanie.
Mňa osobne ešte neodhalili, no niektorí kolegovia také skúsenosti majú. Raz si napríklad podozrivú aktivitu všimol obyvateľ v okolí a zavolal políciu. V takom prípade sa test považuje za neúspešný, aj keď daný človek s firmou nijako nesúvisí. Vo väčšine prípadov nám však klient následne umožní pokus zopakovať.
CANCOM Slovakia: Zažili ste počas testov nejaké prekvapivé alebo bizarné situácie?
Philipp: Áno, na niektoré si spomínam dodnes.
Raz sme testovali spoločnosť, kde nás pri prvom pokuse o sociálne inžinierstvo odhalili. Pri druhom pokuse na inom pracovisku sa osoba, ktorú sme oslovili, začala správať rovnako podozrievavo ako zamestnanec pri prvom pokuse. Keď povedala, že si potrebuje niečo overiť, pozrel som sa na kolegu a povedal: „Myslím, že nás opäť odhalia.“ Prakticky sme už boli pripravení priznať porážku. Potom sa však vrátila s úsmevom na tvári, víťazoslávne zdvihla kľúč a povedala: „Našla som ho!“ Po podozrení nebolo ani stopy. Ochotne nám otvorila presne tú časť budovy, do ktorej sme sa potrebovali dostať.
Podobne kuriózne dopadol aj ďalší audit. Stáli sme pred zamknutými dverami, ktoré sme plánovali prekonať pomocou sociálneho inžinierstva, keď sa nám prihovoril človek zo susednej miestnosti a spýtal sa, kam potrebujeme ísť. Netušili sme, že patrí medzi úzky okruh ľudí informovaných o našej misii – nepoznal však naše mená ani podobu. Vysvetlil som mu, že potrebujeme skontrolovať sieťovú tlačiareň. Bez zaváhania nám odomkol dvere. Dovnútra sme sa dostali bez problémov. Cestou späť sme si všimli zamknutú serverovňu. Kolega sa na mňa pozrel: „Myslíš, že ho môžeme poprosiť ešte raz?“ Skúsili sme to. Zamestnanec okamžite prišiel, odomkol nám a úplne vážne povedal: „Musí zostať stále zamknutá, aby sa tam nedostali nepovolané osoby.“ Museli sme sa veľmi ovládať, aby sme sa nezačali smiať. Ja som len sucho odpovedal: „To je dobre, že si na to dávate taký pozor.“ Len čo odišiel, stáli sme v serverovni, kde by skutočný útočník mohol spôsobiť obrovské škody.
CANCOM Slovakia: A aký najkurióznejší zážitok ste zažili počas fyzického bezpečnostného testovania?
Philipp: Jeden zážitok bol takmer ako z filmu. Išlo o nočnú akciu v tmavom priemyselnom areáli, kde sa pohybovalo množstvo pracovníkov nočnej zmeny. Podľa predpisov sme mali mať ochranné vybavenie, ako prilby a reflexné vesty. Nemali sme nič z toho. Malo to byť okamžite nápadné a niekto nás mal zastaviť. Namiesto toho sme prešli okolo kancelárie s batohmi plnými nástrojov na vlámanie a pozdravili päť zamestnancov pri káve. Nikto sa na nás ani len nepozrel.
Za budovou sme našli mierne zapustené dvere, cez ktoré sme sa chceli dostať dovnútra. Vytiahol som baterku s plynulo nastaviteľnou intenzitou svetla. Najskôr som svietil slabo a postupne som zvyšoval jas, až bol celý zadný dvor osvetlený ako za bieleho dňa. Nikto nereagoval. Neotvorilo sa žiadne okno, nikto nezakričal, nikto sa nič nespýtal. Mohli sme pokračovať nerušene ďalej a nakoniec sa nám podarilo úspešne preniknúť dovnútra.
CANCOM Slovakia: Pri všetkých týchto projektoch, prekvapivých momentoch a niekedy až absurdných situáciách – čo vás na penetračnom testovaní fascinuje najviac?
Philipp: Práve všetky tieto skúsenosti – prekvapivé momenty, bizarné situácie a projekty, pri ktorých nikdy neviete, čo sa skrýva za ďalšími dverami – robia moju prácu nesmierne zaujímavou. Žiadne dva dni nie sú rovnaké. Niekedy celé hodiny sedím pri systémoch a hľadám spôsob, ako zneužiť zraniteľnosť. Inokedy sa uprostred noci pohybujem po priemyselnom areáli, leziem po strechách alebo sa rozprávam s úplne cudzími ľuďmi, aby som získal prístup do obmedzených priestorov.
Všetky tieto skúsenosti spája jeden moment – chvíľa, keď sa ukáže, ako dobre bezpečnostné mechanizmy v skutočnosti fungujú. Alebo nefungujú. Niekedy je to frustrujúce, inokedy absurdne zábavné a často jednoducho fascinujúce. Na konci dňa však ide vždy o to isté: priniesť firmám reálnu hodnotu. Odhaľujeme miesta, kde by útočníci mali jednoduchú cestu, a pomáhame zabezpečiť, aby ju nemali.
Práve táto kombinácia technológií a skutočného diania v teréne robí penetračné testovanie takým fascinujúcim. A je to aj dôvod, prečo by som túto profesiu s čistým svedomím odporučil každému, kto je zvedavý, vytrvalý a má chuť neustále sa učiť – pretože nuda pri nej rozhodne nehrozí.
CANCOM Slovakia: Ďakujeme za tieto mimoriadne zaujímavé pohľady do sveta penetračného testovania. Už čoskoro prinesieme druhú časť rozhovoru, v ktorej Philipp prezradí, ako sa stať pentesterom, aké zraniteľnosti sa vo firmách objavujú najčastejšie a ako bude vyzerať budúcnosť penetračného testovania. Zostaňte s nami!
V čoraz digitalizovanejšom svete zohráva výkonná IT infraštruktúra kľúčovú úlohu v úspechu firiem. Spoločnosť Toshiba Tec Germany Imaging Systems GmbH čelila výzve oddeliť svoje IT prostredie, ktoré bolo predtým spravované v rámci spoločného servisného centra materskej spoločnosti Toshiba, a prejsť na samostatný IT systém. Tento proces musel zároveň spĺňať najvyššie požiadavky na stabilitu, bezpečnosť a […]
Čas čítania: 7 min.
