Torek, 8. 7. 2025, 4.00
2 uri, 24 minut
Intervju: francoski etični heker in evangelist kibernetske varnosti
Clément Domingo: Vlade in voditelji še vedno ne razumejo povsem ...

Francoski etični heker ter predavatelj in evangelist kibernetske varnosti Clément Domingo je znan tudi pod vzdevkom SaxX. Foto: Darko Natalić
V pogovoru za Siol.net Clément Domingo med drugim opozarja na najpogostejše grožnje v digitalnem svetu, pojasnjuje, kako je umetna inteligenca, ki je brez dvoma prinesla tudi številne uporabne in vznemirljive priložnosti, povečala tudi nevarnosti v digitalnem svetu in zakaj je prav ozaveščanje mladih ključnega pomena v boju proti vedno izvirnejšim, zahrbtnejšim in nevarnejšim kibernetskim grožnjam.
Kibernetski kriminal je dosegel razsežnosti tretjega največjega svetovnega gospodarstva, takoj za Kitajsko in ZDA, je med drugim opozoril francoski etični heker Clément Domingo na konferenci Kaspersky Horizons (nekoč Kaspersky NEXT), ki je letos potekala v Madridu.
Med drugim je posvaril tudi na nevarnost prepričanja nekaterih uporabnikov, ki menijo, da so premajhni in zato nezanimivi kibernetskim kriminalcem. "Prav vsakdo je lahko tarča," je opozoril Domingo.
Clément Domingo: "Prav vsakdo je lahko tarča kibernetskega napada."
Nove razsežnosti kibernetskega kriminala: najstniki in umetna inteligenca
Povedal je tudi, da danes že najstniki in mladi odrasli uspešno napadajo velika podjetja in s tem služijo povprečno okrog dva tisoč evrov tedensko ter da podjetja kot odkupnino za ponovni dostop do svojih ukradenih podatkov običajno plačajo od enega do deset odstotkov svojega letnega prihodka.
Posebej pa je izpostavil umetno inteligenco, ki je nove možnosti in priložnosti odprla tudi kibernetskim kriminalcem. "Analiza določene količine podatkov je brez umetne inteligence zahtevala več kot en teden, danes enako količino podatkov z uporabo umetne inteligence analiziramo že v šestih urah," je nazorno prikazal.
Redni predavatelj na mednarodnih konferencah o kibernetski varnosti je tudi soustanovitelj nevladne organizacije Hackers Without Borders s sedežem v Ženevi, ki zagotavlja brezplačne storitve kibernetske varnosti dobrodelnim ustanovam, in ustvarjalec največjega francoskega hekerskega tekmovanja BreizhCTF. S svojim delom si je med drugim priboril vpise na sezname, kot so 50 najboljših glasov kibernetske varnosti na omrežju LinkedIn (Top 50 Global Cybersecurity Voices on LinkedIn, 2022), sto najboljših francoskih strokovnjakov kibernetske varnosti (Top 100 Cybersecurity Experts in France, 2020) in sto najvplivnejših kibernetskih osebnosti v Afriki (Top 100 Most Influential Cyber Personalities in Africa, 2021). Veliko pozornosti namenja ozaveščanju mladih, zlasti v Afriki, s katero ga povezujejo njegove senegalske korenine.
Clément Domingo: "Kibernetski nepridipravi znajo odlično izračunati, kako visoke odkupnine lahko zahtevajo od svojih žrtev."
Kaj je vaše glavno poslanstvo pri delu etičnega hekerja in predavatelja?
Kibernetska varnost je pomembna, zato skušam pomagati predvsem našim voditeljem, a tudi vsem drugim uporabnikom digitalnih tehnologij, to pa smo prav vsi, pri razumevanju tega, kaj se dogaja v zakulisju.
Kaj pa se dogaja v zakulisju?
Mislim, da v letu 2025 še vedno ne razumemo, kaj vse se dogaja. Če pogledamo v prihodnost, bodo takrat lahko razmere v kibernetskem prostoru še veliko slabše kot danes, zato sem heker in poskušam biti na dobri poti, da bi ozaveščal predvsem najmlajšo generacijo. Njeni pripadniki prihajajo za nami in pomembno je, da nam tudi oni pomagajo zaščititi naš kibernetski prostor.
Clément Domingo: "Če pogledamo v prihodnost, bodo takrat lahko razmere v kibernetskem prostoru še veliko slabše kot danes."
Česa torej ne razumemo?
Ne razumemo, kako pomembni so naši podatki, kako pomembno je vlagati v zaščito vseh nas skupaj. Ne razumemo, da je, vzemimo za primer, tudi moja babica uporabnica naših digitalnih orodij in storitev, a da obenem, za razliko od nas, ni in ji tudi ne bi bilo treba biti strokovnjakinja za te tehnologije, da bi jih lahko uporabljala. Naše vlade in naši voditelji še ne razumejo povsem dobro, da so uspešne digitalne storitve in orodja za naš vsakdan tista, ki jih lahko uporabljajo vsi, ne da bi pred uporabnike postavljali zahteve po spremembah.
Katere so najresnejše ranljivosti, ki smo jim izpostavljeni v kibernetskem svetu?
Zbral bi jih v tri skupine. Prva težava je najhujša, ker zajema in prizadene vse – to je zelo slaba digitalna higiena. Ko to rečem, mislim zelo resno. Marsikdo povsod uporablja enako geslo, zato je izsiljevalski programski opremi ali ob uhajanju podatkov tako preprosto pregledati vse te podatke in najti geslo, ki ni bilo spremenjeno v zadnjih šestih mesecih, letu ali dveh letih, in ga preizkusiti v glavni aplikaciji ali spletnem mestu ter nato vdreti v življenje nekoga. Tukaj je prva od treh skupin ranljivosti.
Clément Domingo: "Naše vlade in naši voditelji še ne razumejo povsem dobro, da so uspešne digitalne storitve in orodja za naš vsakdan tista, ki jih lahko uporabljajo vsi, ne da bi pred uporabnike postavljali zahteve po spremembah."
Medklic: kaj je torej nevarnejše, ponovno uporabljati geslo na več mestih ali ne spreminjati obstoječega gesla ali gesel?
Rekel bi, da ponovna uporaba gesla. Ne uporabljajte istega gesla. Uporabljajte edinstvena gesla. Pomagajte si z generatorji gesel in (digitalnimi, op. a.) sefi za gesla.
Ali so takšni digitalni sefi dovolj varni?
Dobro vprašanje, ker imamo dve vrsti sefov: tiste, ki so na spletu, in tiste, ki delujejo brez omrežne povezave. Tudi za tiste na spletu verjamem, da so dobri, a je poglavitna težava spletnega sefa, da dobi, če se ta zlomi, napadalec vsa gesla. Najbolje je, če imate sef brez povezave.
To je prva skupina najresnejših ranljivosti, omenili ste, da sta še dve …
Da. Druga skupina je zanemarjanje sprotnih posodobitev. Podjetja imajo še vedno veliko sodelavcev in različnih programskih rešitev, za katere nimajo dnevnih posodobitev za ranljivosti. Še huje, niti rednih velikih sistemskih posodobitev za računalnike in pametne telefone ne nameščajo sproti. Posodobitve niso tukaj za zabavo, temveč zato, da popravijo ranljivosti. Mnoga podjetja nimajo ustreznega IT-oddelka, temveč zunanje izvajalce. Če se pri tem varčuje in je pogodba ohlapna, lahko ostajajo ranljivosti tedne, morda mesece, kar napadalcem zelo olajša delo.
In tretja skupina?
Ta je posebej nora: t. i. phishing, nabiranje osebnih podatkov z ukanami in zvijačami. To izkorišča človeško naravo, da se želimo povezovati s nečim osebnim. Napadalci pripeljejo uporabnika do tega, da sami kliknejo na škodljivo povezavo in tam pustijo svoje osebne in finančne podatke.
Clément Domingo: "Kibernetski kriminalci so izjemno ustvarjalni, z orodji umetne inteligence pa je tudi zanje doseganje ciljev hitrejše in preprostejše."
Kako nas je umetna inteligenca naredila ranljivejše? O tem bi lahko govorili ure in ure, kajne?
Tako je, zato raje pokažem nekaj specifičnega in preprostega. Grok, orodje umetne inteligence, ki ga je razvil Elon Musk, bom zelo preprosto prosil, naj mi pomaga izvesti napad z izsiljevalsko programsko opremo na lokalno podjetje v mestu, kjer živim. Sprva me bo zavrnil, a ko začnem s pozivom za t. i. jailbreak (postopek, s katerim uporabniki odpravijo omejitve, ki jih postavi proizvajalec na napravi, op. a.), ki sem ga našel v korejskih omrežnih skupinah, bom s tem prebil vse etične in neetične meje umetne inteligence. Videli boste, da mi bo, če tako postavim vprašanje, pokazal natančen način, korak za korakom. In veste, kaj je tu tako noro? Da bo to pri 80 odstotkih delovalo!
Ali ne bi mogli algoritma naučiti, naj ne prebija etičnih meja?
Da, a bi bilo precej zapleteno. Pravzaprav niti ne vemo, kaj želimo blokirati. Še en dober primer: mnogi so poskušali izvedeti, kaj se zgodilo leta 1989 na dobro veste katerem trgu v kitajski prestolnici (trg Tiananmen, op. a.). A ker v tisti državi tovrstno vsebino blokirajo, je skupnost kibernetskih strokovnjakov hitro našla način, da pride to teh informacij. Zaobšli so blokado. Obstaja veliko načinov, kako to storiti, za kar niti ni več vedno treba imeti veliko računalniškega znanja. Z nekaj tovrstnimi pozivi ali že kar z enim, ki je zelo dobro zasnovan, imate odprta vsa vrata za napad na vsa podjetja, ki jih želite napasti.
Clément Domingo: "Kibernetski kriminalci odlično vedo, kako pripraviti umetno inteligenco do tega, da zavrže etične omejitve in postane sostorilec pri kriminalnem dejanju."
Kako se torej ljudje, ki nimajo znanja in se ne zavedajo vseh teh nevarnosti, sploh lahko učinkovito obranijo pred takšnimi napadi?
Omenili ste dve resnično pomembni besedi: znanje in ozaveščenost. Pojasnil ju bom na primeru: prehod čez cesto. Vemo, da je prečkanje ceste nevarno, a vemo tudi, da jo moramo velikokrat prečkati. Vemo, da moramo pred prečkanjem počakati, da se na semaforju rdeča spremeni v zeleno, da moramo pogledati najprej na levo in potem na desno (v državah, kjer se vozi po desni strani ceste, op. a.). Vsak, ki ima ustrezno znanje in ozaveščenost tudi v svetu informacijskih tehnologij, v njem ne bo več izgubljen.
Zakaj prenos teh znanj in ozaveščenosti predstavlja tako velik izziv?
Ker je kibernetska varnost neoprijemljiva. Najlažje dojemamo oprijemljive stvari, tisto, kar vidimo, česar se lahko dotaknemo. Ozaveščanje mladih ima pri tem prav posebno in pomembno vlogo. Številni mladi fantje bi radi postali nogometaši, ker imajo v družbi veliko znanih in vidnih vzornikov. Ko si bodo mladi lažje predstavljali vzornike v svetu kibernetske varnosti in umetne inteligence, se bodo lažje in z več žara odločali za to poklicno pot. Pokazati jim je treba, da gredo lahko izven okvirjev in ustvarjajo neverjetne reči. Mi to vemo, zato se vsak dan trudim, da jim to pokažem, da izvabim iskrice v njihovih očeh. Obenem morajo vedeti, da je kibernetski kriminalec vendarle kriminalec. Tudi šole bi jim to lahko povedale.
Clément Domingo: "Ozaveščanje mladih ima za kibernetsko varnost prav posebno in pomembno vlogo."
Za konec nekaj malo provokativnega. Povedali ste, da je kibernetski kriminal tretje največje gospodarstvo na svetu. Kibernetski kriminalci služijo velike vsote denarja in živijo lagodno življenje, pogosto brez večjega tveganja, da bodo morali odgovarjati za svoja nečedna dejanja. Kaj pa prepriča nekoga, da postane etični heker?
Odlično vprašanje. Poglavitna razloga sta dva, četudi se etike kot najpomembnejšega vidika tokrat ne bom dotaknil. Prvi je, da kibernetski kriminalec vendarle mora nenehno oprezati za svojo ramo in tako nima mirnega spanca, pa naj se še ne vem kako kopa v denarju. Drugi razlog je zavest o tem, da je takšno početje krivično in kaznivo, ter tudi o tem, da s kibernetskim kriminalom ne krepimo sebe niti ne prispevamo družbi, v kateri živimo. Zelo dober občutek je, ko veš, da nekaj, kar počneš in kar ustvarjaš, lahko pomaga vsakomur izmed nas.