A magánéletben egyébként normális ember vagyok
2023. február 21. – 22:39
Paula Januszkiewicz IT Security Auditor és Penetration Tester, utóbbi kábé azt jelenti, hogy igyekszik egy lépéssel a hekkerek előtt járni, amikor ügyfelei megrendelésére etikus hekkerként teszteli az adott rendszer feltörhetőségét. A 37 éves lengyel nő emellett a Microsofttal is együtt dolgozik, és számos neves konferencia vendége, remek előadóként tartják számon, kiberbiztonsági témájú rendezvényekre főelőadóként hívják. A budapesti ITBN-konferencián tartott előadása után sok más mellett arról beszélgettünk, miért pont a számítógép kezdte el érdekelni gyerekként, hogyan játszott ki egy irodaházban minden lehetséges biztonsági akadályt, és milyen előnye származik etikus hekkerként abból, hogy nő.
A mai előadásán, ahogy korábban már máshol is, elmesélt egy James Bond-filmre emlékeztető történetet arról, amikor egy ügyfele megbízásából belopakodott az adott cég épületébe, beszállt egy liftbe, amihez nem volt jogosultsága, itt az utastársa gyanútlanságát kihasználva felliftezett egy olyan irodába, ahová szintén nem léphetett volna be. Majd leült egy random géphez – amihez természetesen szintén nem volt jogosultsága –, és mivel pont nem zárolta a tulajdonosa, információkat szerzett meg belőle. A végkövetkeztetése az volt, hogy két okból tudta megtenni mindezt: mert nem néz ki hekkernek és mert nő. Igaz történet?
Igen, pontosan így történt. A mai napig, amikor visszatérek ehhez az ügyfelemhez, kedvesen mosolygunk egymásra a biztonsági őrrel, mert az eset óta felismer.
Ilyen egy átlagos munkanapja?
Előfordul jó párszor egy évben, bár én inkább a technológiai oldalhoz értek. Szóval el tudok végezni egy social engineering projektet, de ez általában össze van kötve valamilyen technológiai projekttel: mondjuk, hogy hozzáférést szerezzek valamihez, például adatokhoz. [A social engineeringet magyarul pszichológiai befolyásolásnak szokás fordítani: a hekker ilyenkor nem technológiai eszközökkel, hanem a felhasználó rászedésével fér hozzá adatokhoz – a szerk.]
A technológiai tudás mellett a jelek szerint szüksége van néhány teljesen más képességre is, például olyanokra, amelyeknek a színészek és a pszichológusok vannak birtokában.
Abszolút szükségem van szociális készségekre és színészi kvalitásokra; próbálok is fejlődni ezekben. De fontos leszögeznem, hogy ezek mind a munkámhoz köthetők. Hekkerek bőrébe kell bújnom, ezért is volt az a címe a budapesti prezentációmnak, hogy Hacker’s perspective (A hekker szemszögéből). Hasznos lehet hallani egy olyan ember tapasztalatait, aki pont ugyanúgy végzi a dolgát, mint a hekkerek, de le is leplezi őket. A magánéletben egyébként normális ember vagyok.
Az üzleti életében pedig cégvezető. 2008 óta van egy saját cége, a CQURE, ami kiberbizonsággal kapcsolatos kérdésekkel és projektekkel foglalkozik. Mi a hitvallása vezérigazgatóként és üzletasszonyként?
Ó, hát az, hogy „Disciplined mind brings happiness 😼” (Kb. „A fegyelmezett elme boldoggá tesz”). A sikerben nincs helye a káosznak, és ez a kiberbiztonságra is igaz. Minden munkához szervezetten kell nekilátni, mert rengeteg apró részletre oda kell figyelnem, rengeteg alkalmazás fut egyszerre, és ha az ember nem figyel oda százszázalékosan, akkor egyetlen tévesztés elég a kudarchoz. A kiberbiztonság területén nem lehet hibázni.
És a boldogság rész?
Az arra vonatkozik, amikor szervezetten mennek a dolgok, és minden halad a maga útján. Ilyenkor az ember nyugodtan alszik.
Úgy tudom, hogy már gyerekként is érdekelte a matematika és mindenféle tudományos téma.
Nagyon. Nem a romantika a legerősebb oldalam. Nyilván van bennem valamennyi romantikus vonás, de sokkal jobban érdekel a hatékonyság, a számítások. Nincs ebben semmi szokatlan, sok ember szereti a matematikát. Tizenhét évesen egy iskola informatikai rendszergazdája voltam, közben egy fejlesztőcégnél is dolgozni kezdtem, nem sokkal később alapítottam meg a saját cégemet.
Személyes érintettsége miatt biztos van elképzelése arról, hogyan lehet kislányokban és iskolás lányokban felkelteni az érdeklődést a természettudományok, a matematika és a hasonló, hagyományosan nem nőiesnek tartott tárgyak iránt.
Szerintem a családi minta a legmeghatározóbb. Otthon, Lengyelországban mindig is kimagasló elmékkel voltam körülvéve, ami biztos, hogy hatott rám. Sokszor találkoztam matekkal, fizikával, kémiával. Az anyám egy kórház laboratóriumáért felelt, ami ugye erősen kémiai természetű munka. Néha haza is hozta a munkáit, volt, hogy otthon kísérletezett. Ez lehetett az egyik ok, a másik pedig az, hogy a személyi számítógépek akkoriban robbantak be, amikor születtem. Egész korán kaptam én is egyet, az anyám szó szerint a teljes fizetését arra költötte. Én pedig amint megkaptam, rögtön tudtam, hogy ez az én világom. Valamennyire érdekeltek persze a számítógépes játékok, de főleg a gép működését akartam megérteni. És míg a kémia és a fizika kicsit mindig elvont dolog volt nekem, örültem, hogy a számítógép egy olyan eszköz, amit meg tudok érinteni: szükségem volt valamire, amivel egyszerre tudok dolgozni és meg is tudom fogni. Ezt a szerepet töltötte be nálam a számítógép.
Sehol nem találtam infókat arra vonatkozóan, hogy a középiskola után mit tanult.
Elkezdtem részmunkaidőben dolgozni egy infrastruktúra-biztonsági tanácsadó cégnél. Aztán az egyetem után a Harvard Business Schoolba jártam Bostonban, ahol egy MBA-menedzserképzésben vettem részt. Nem annyira szoktam emlegetni ezt a beszélgetésekben, mert ha kimondom, hogy Harvard, akkor mindenki úgy reagál, hogy azta! – erre a szóra így szoktak reagálni az emberek, miközben az is csak egy iskola.
Ilyen életrajzzal nem merült fel önben, hogy az Egyesült Államokba költözzön?
Volt olyan pillanat az életemben, amikor New Yorkba akartam költözni, de végül úgy döntöttem, hogy maradok Lengyelországban.
A cégét is ott működteti. Melyik projektjét tartja eddigi karrierje csúcspontjának?
Volt egy projektünk, amikor egy belső szabotázs miatt oda kellett utaznunk az ügyfélhez, hogy kiderítsük, mi történt, és megállítsuk a folyamatot. Az elkövető az infrastruktúra nagy részét leállította a gyárban, majd később jelentkezett, hogy meg tudja oldani a problémát, és végül meg is oldotta, de mindenki csodálkozott, hogy tudta ilyen gyorsan megoldani, honnan tudta, hogy pontosan mi történt, és így tovább. Túlságosan furcsa volt az egész, így gyanús lett. A helyszínen elemeztük az infrastruktúrát, kerestük a nyomokat, és végül meg is találtuk: éjszaka titokban átnéztük az illető laptopját, amit az asztalán hagyott, és sikerült olyan adatokat kinyernünk a gép memóriájából, amik megerősítették, hogy ő volt az elkövető, és másnap elbocsátották. Nagyon feszült helyzet volt, mert az volt a dolgunk, hogy úgy épüljünk be, mintha az infrastruktúra helyreállításában segédkeznénk, miközben valójában az után nyomoztunk, hogy mi történt.
Szokott félni ilyen helyzetekben?
Olyankor igen, amikor social engineeringgel foglalkozom, mivel nagyon sok minden történhet ilyenkor, és ez roppant izgalmas. Amúgy nem jellemző. Ismerek olyan srácot, akit megvertek, miközben a social engineering projektjén dolgozott. Megpróbált bejutni az ügyfele egyik helyszínére, mire megjelent a biztonsági szolgálat, és kissé túlreagálta az ügyet. Én ügyelek arra, hogy ne keveredjek ilyen helyzetekbe, plusz ilyenkor mindig nagy segítség, hogy nő vagyok.
Említette is korábbi előadásaiban, hogy gyakran könnyebbség, amikor nőként jelenik meg egy alapvetően férfias területen.
Nem akarom genderizálni a kérdést, mivel szerintem a tudás az egyetlen dolog, ami számít – biztonságot és védelmet ad, főleg, ha a jó ügy érdekében használjuk. Ugyanakkor tényleg leegyszerűsítheti a dolgokat, ha valaki nő: nagy segítség, ha, mondjuk, arra van szükség, hogy az ember kapcsolatot létesítsen valakivel, vagy ha bármilyen szokatlan helyzet adódik, amiben jól kell alakítani egy szerepet. És ha egy férfiak által dominált világban te vagy az egyetlen, akin látszik, hogy értesz az adott témához, akkor emlékezni fognak rád.
Találkozott előítéletekkel a munkája során pusztán a neme miatt, és ha igen, hogyan kezelte őket?
Ha sziklaszilárd az ember tudása, az bebiztosítja. És milyen más területen lehetnének kétségeim? Hogy hogy nézek ki? Az sosem volt fontos nekem. Hogy hogyan érzem magamat? Ezen már lehet dolgozni, ami az önbizalmat és a hasonlókat illeti. Szerintem bőven elég annyi, ha biztosak vagyunk abban, hogy amit tudunk, azt jól tudjuk. Az egyik barátnőm például – és ebben eléggé hasonlítunk – azt mondja magáról, hogy „mindig van valami érdekes mondanivalóm”. Ez kicsit akár arrogánsnak is tűnhet, de hát miért is kéne ebben kételkednem? Kábé így kellene gondolkodnia mindenkinek. Ő egy boldog ember, jó a hozzáállása a dolgokhoz, és igyekszem követni ebben. Szóval szerintem ha valaki valamiben hisz, amiről meg is van győződve, mondja ki nyugodtan, amit gondol, lehet, hogy lesznek olyanok, akik ezt hasznosnak találják.
Maradva a témánál: mikor ért el a karrierjében arra a pontra, amikor már nem kérdőjelezték meg a kompetenciáját pusztán azért, mert nő? Volt ilyen fordulópont?
Nem emlékszem kimondott fordulópontra. Egy eset azért beugrott: amikor felkértek, hogy tartsak egy előadást a munkámról, emlékeim szerint talán a Windows 7 biztonsága volt a téma. Arra gondoltam, hogy elég felelősségteljes feladat ez, mivel most olyan dolgokról fogok beszélni, amiket ha valaki meghallgat, talán majd alkalmazni is fogja. Ha mást nem, az egyik tippemet. Ez talán tényleg egy fordulópont volt. Ha tartasz egy prezentációt, felelős vagy a szavaidért, és csak olyan dolgokról beszélhetsz, amelyek a saját tapasztalatodból fakadnak és nem csak betanultad őket. Utóbbi egyébként soha nem történt meg velem. Egyetlen olyan prezentációt nem tartanék, aminek ne lenne minden egyes mondata komfortos nekem. Mindig hatalmas háttértudást gyűjtök be arra az esetre, ha valaki netán kérdezne valamit. Szeretek ilyenkor több példával is válaszolni, ettől leszek teljesen magabiztos, és innentől kezdve az egyetlen dolgom az, hogy jól át tudjam adni az ismereteket.
És ez egészen oda vezetett, hogy jelenleg a világ különböző pontjai között röpköd előadásokat tartani, és az ügyfelei meghívására is sokat utazik.
Ha csak ezt a hetemet nézzük: most itt vagyok Budapesten, tegnap Svájcban, pénteken Londonban voltam, ahova hamarosan visszatérek, mert onnan repülök Atlantába. Szóval rengeteget utazom, de hát, mint tudjuk, a kiberbiztonság nem ismer határokat és függetlenül attól, ki hol él, mindenhol ugyanazok a problémák. Szóval a kiberbiztonság nemzetközi jellegét figyelembe véve nem olyan meglepő ez.
Pihen azért valamikor?
Szerencsére jól tudok aludni a repülőgépeken. Hétvégeken pedig semmi olyat nem csinálok, aminek köze van a munkámhoz. Mindenkinek szüksége van a feltöltődésre, hogy kikapcsolja a telefonját, hogy elmenjen egy koncertre, stb. Én is ezt teszem, és nagyon szeretem ezt az időszakot, mivel energiával tölt fel: ez nagyon tudatos, szándékos leállás.
Korábban azt mondta egy interjúban, hogy szeret emberekkel beszélgetni.
Igen, és nagyon szeretem a találkozásokat, például egy liftben vagy egy repülőgépen. Teljesen mindegy, milyen emberrel találkozol, tényleg mindig tanulhatsz valamit, amit aztán használni tudsz. És itt nemcsak arról van szó, hogy meghallgatod az embereket, hanem a saját érzelmeidről is. Én például a legtöbbször egyedül utazom, ami kaput nyit a megfigyeléseknek. Ha épp nem beszélgetsz, bőven van időd másokat figyelni.
Hogyan figyeli az embereket? A munkája szempontjából hasznos dolgokat fürkészi, vagy csak úgy általánosságban?
Általánosságban. Mondjuk, ha szóba elegyedem valakivel, aki azt mondja, hogy „ó, sietnem kell haza, mert vár a családom” – akkor arra gondolok, hogy azért siet, mert fontos neki a családja, ami egy olyan érték neki, amit meg szeretne osztani másokkal. Érdemes figyelni az embereket, a kiberbiztonság területén meg pláne: ahogy a valós életben, ezen a téren is nagyon eltérő helyzetek adódhatnak. És ez az, ami mindig izgalommal tölt el a penetrációs tesztelés [egy rendszer feltörhetőségének a vizsgálata – a szerk.] előtt, annak ellenére, hogy már nagyon sok éve ez a munkám: minden infrastruktúra különböző, és azt hiszem, ez az, ami feltölt.
Az előadásában említette a Covid időszakát a kiberbiztonságban. A Covid és az orosz–ukrán háború alaposan átrendezte a kiberbiztonsági fókuszpontokat. Milyen fontos témákra számít a közeljövőben?
A Covid más kihívásokat hozott a kiberbiztonság területén, mint a háború. A járvány alatt sokan próbálták kihasználni az emberek izolációját adathalászatra, és ez a háború alatt is előfordul – például amikor karitatív adománygyűjtésnek álcáz valaki egy adathalász emailt. De érdemes hozzátenni, hogy minden érzelmileg intenzív eseményre jellemző a csalások felfutása.
A háborúban megnövekedett az információgyűjtéssel végrehajtott adathalász jellegű csalások száma, amelyek abból a célból szereznek hozzáférést az eszközeinkhez, hogy bizonyos országokról nagy mennyiségben gyűjthessenek katonai-politikai adatokat, hogy így derítsék fel az esetleges gyengeségeket. Kedvelt célpontokká váltak a politikusok levelezései, különösen az olyanokéi, akik gyenge jelszavakkal védik a fiókjaikat.
A háborúban a kulisszák mögött kiberhadviselés is folyik. Mi történik vajon a háború után azzal a több ezer hekkerrel, akik a két félnek dolgoznak?
A változások a célpontok változását is magukkal hozzák. Háborús helyzetben a hekkerek általában két céllal dolgoznak: az egyik egy rendes munka, amikor egy kormánynak dolgoznak, pénzt keresnek vele és csak információgyűjtést végeznek. A másik lehetőség viszont az, hogy személyes meggyőződésből csatlakoznak egy csoporthoz, hogy a szabadidejükben segítsék az ügyet – alapvetően ezt csinálja az Anonymous.
A háború önmagában sem túl legális dolog. És mi lesz, ha véget ér? Vajon megmaradnak-e a hekkerek a jó oldalon, és nem használják-e fel etikátlan módon a megszerzett tudást és az információt? Mert most azt gondolhatjuk, hogy remek munkát végeznek, de aztán váltani fognak, és masszív adathalász támadásokat fognak indítani, mert valamiből meg kell élniük, és enniük kell. Néhányuk talán rosszfiú, néhányuk nem, de távolságot kell tartanunk, ha támogatni akarjuk őket, és nem teljes mértékben hinni bennük, mert egy napon akár ellenünk fordulhatnak. Szóval határozottan folyik hadviselés ezen a téren is, nagyon sok a kormányzati információgyűjtő tevékenység, és mivel a legtöbb információ feldolgozása elektronikusan zajlik, a helyükben én is azon dolgoznék, hogy megszerezzem az ellenfél terveit, emailjeit, adatait. Hiszen minél több áll ezekből rendelkezésre, annál nagyobb az esély a győzelemre. Szóval miért ne használnák ki ezt a módszert a győzelem érdekében?
Vannak magyar ügyfelei, akár az állami szférában, akár a magánszektorban? Ha igen, kik ők?
Természetesen vannak. A világ minden pontján hasonló nehézségekkel néznek szembe a cégek – ahogy ezt korábban említettem –, egyes cégek jobbak kiberbiztonsági téren, míg mások rosszabbak, de a kihívások azonosak.
Vannak még olyan célok a karrierjében, amiket mindenképp el szeretne érni?
Pont két nappal ezelőtt gondolkodtam ezen, amikor az egyik barátnőmmel beszélgettem. A cégemben most majdnem ötven ember dolgozik, ami kihívás, de élvezem is, mivel egyszerre dolgozom emberekkel és technológiával. Vannak érvek a kisebb és a nagyobb csapatok mellett is, végül arra jutottam, hogy az a célom az elkövetkező pár évre, hogy olyan százfősre duzzasszam fel a céget, mert szeretnék egy nagyobb fejlesztőcsapatot, és szeretnék jobban fókuszálni a felhőalapú streaming jelentette kockázatokra.