Laczkó Gábor: – Sziasztok, üdvözlök mindenkit! Én Laczkó Gábor vagyok, a Stylersnek, a Braining Hubnak és a Protechtornak az egyik alapítója. Mai videónkban olyan kiberbiztonsági témákról fogunk beszélgetni, amelyek egy vállalat életében kihívásként jelentkezhetnek, valamint magasról – hangsúlyozom, hogy magasról – belenézünk a kvantumbiztonság és a kvantumkriptográfia területébe is. Mai beszélgetőpartnerem Ábrahám Endre, alias Silur a Cryptall alapítója, kriptográfus, blockchain és security tanácsadó, ha valamit kifelejtettem, légyszi mondd is. Miközben készültem a beszélgetésre, azon filóztam, hogy maga a név, Silur, az honnan jöhetett. Sokaknak anno, amikor gyerekek voltunk, mindannyiunknak volt valamilyen nickneve. Neked egyébként honnan jött?

Silur: – Ez pont így jött. A hacker az a típusú állatfaj, aki ezt a gyerekbetegséget sosem növi ki, és megtartja a nicknevet. Szóval röviden ugyanonnan jött a név, IRC chaten a hacker haverokkal választani kellett egy nicknevet, azt használtam nagyon sokáig. Aztán jött egy nagy szünet, és utána valamelyik hasonló előadásomnál a szervező kérte, hogy valami néven írjunk ki téged, az A. Endre az olyan láma, úgyhogy találj ki valamit. És akkor hátulról előjött, hogy régen ezt a Silurt használtam ilyen típusú dolgokra. Aztán olyan jól sikerült az előadás, hogy mindenki elkezdett így hívni. Ez valamelyik első előadásom volt, és nagyjából így kezdtem el pozicionálódni akaratomon kívül a piacon. Úgyhogy a Silur rajtam maradt, most meg már egy brand igazából.

Laczkó Gábor: – A másik, amin még gondolkodtam, hogy általános iskolában a gyerekek elmennek focizni, megtalálnak másik hármat, akik szintén szeretnek focizni, és tudnak egymással játszani. Neked – ha jól sejtem – talán nehezebb dolgod volt. Volt egyébként olyan, akivel tudtál arról beszélni, ami téged érdekelt gyerekkorodban vagy fiatalabb korodban az iskolában?

Silur: – Volt persze. Egyrészt én is ugyanúgy fociztam az IRL haverjaimmal, de szerencsére én már erősen beleszülettem az internetbe, és nem volt túl nagy kihívás. Nagynak hangzik, hogy Kínáig meg Japánig kellett menni online, hogy mély kriptográfiát, meg mély hackelést tanuljak IRC chaten ázsiaiaktól, de amúgy ez nem volt gyerekként kihívás, mert ugyanúgy csak beütöttem a szoba nevét, ki lehetett guglizni, hogy mik erre a legjobb felületek, és belecsöppentél. Úgyhogy nem volt túl nagy szociális kihívás.

Laczkó Gábor: – Amit lehet rólad tudni, meg lehet rólad olvasni, azért az elején inkább a black hat világ volt, ami izgalmas meg érdekes volt, és utána átrobogtál az etikus hacking világba. A kettő közötti út milyen volt? Hogy élted meg? Milyen olyan tapasztalat van, amit mindenképpen elhoztál ebből az útból?

Silur: – A kettő között nagyrészt konvencionális fejlesztési útvonal volt. Ahogy rájöttem, hogy ez a black hat sztori, és valami mást kéne csinálni, ott normál fejlesztésekben vettem részt, nyilván egy erős security vonzattal. Egy webfejlesztő startup stúdióban általában én voltam az, akinél lecsapódtak a user kezelések, a kulcsok, a https, etc., és ez volt az átmeneti időszakom. Csak ezután jött az, amikor kiderült, hogy a security tudás akkora érték, hogy a fejlesztésen kívül önmagában is kérhetünk érte pénzt. Akkor jöttem rá, hogy ez a white hat része. Úgyhogy az átmenetben én nem voltam ilyen red teamer vagy grey hat, ahogy az általában szokott lenni. Egy normál fejlesztő voltam, akinek nagyon erős volt a security tudása, és fekete-fehér, szóval átmenet nélküli volt a tranzíció.

Laczkó Gábor: – Jött minden egyébként, a fejlesztési világ után, ha jól emlékszem, akkor itt volt Ethereum Foundation, volt mindenfajta blockchain projekt, van is gondolom mindenfajta blockchain projekt. Most hogy lehetne leírni Silurt? Ki most Silur? Mit csinál Silur? Mi az a világ, amivel te barátságban vagy, és mit csinálsz mostanság?

Silur: – Legegyszerűbben én egy freelance consultant fejlesztő és auditor vagyok, erősen inkább kripto és blockchain felé pozicionálva, de beesnek hozzám néha AI vagy sima webfejlesztés melók is. Többnyire azért kriptovaluták és blockchain, design, fejlesztés, auditálás, amivel most a Cryptall céggel foglalkozom nagyrészt. Ez a piaci pozicionálásom, és mellette a kutatásiban a Wignerben kutatok.

Laczkó Gábor: – Erről is akartalak kérdezni, hogy mi a fő területed? A kvantumos világ, ha jól emlékszem.

Silur: – Igen, ott egy kvantumszámítási újonnan kiépített labornak a távoli tagja vagyok. Főleg kvantumrezisztens kripto, vagy reverzibilis algoritmusok designolása a fő területem.

Laczkó Gábor: – Hogy jött maga a blockchain világ? Megtetszett, adottság volt, itt volt és bele kellett menni? Mi volt az első ilyen momentum?

Silur: – Nagyon jó, mind a két felét elkaptad. Egyrészt megtetszett, azért, mert amikor még megélhetési hacker voltam, akkor két típusú sebezhetőség létezett. A legesleggyakoribb az volt, amikor emberi a hiba, és ott van egy nagyon jó algo, és el van rontva a user kezelés. Volt a másik típusú, ahol érvelni nem ilyennel lehetett, hogy jól van konfigurálva az adatbázis, hanem formális matematikával. Ez azért már korán felkeltette az érdeklődést, hogy ez valami egész más nyelvezet még egy hackernek is. Ez volt a kriptográfia. Ott annál jobb a dolog, minél formálisabban tudunk érvelni. És hogyha sikerült, akkor azzal nem nagyon lehet mit hackelni. Amíg nem tudunk prímeket faktorizálni, ott vége van. Hiába püföljük erősebben a billentyűzetet és megyünk mélyebbre a kódban, ott nincsenek Zero-dayek. Ez volt az egyik fele, hogy ez a kriptográfia, ehhez egy picit más megközelítés kellett, mint egy normál web app hackeléshez. A másik viszont igen, körém nőtt. Csak azért, mert volt egy minimális előnyöm a Nagy Bumm előtt, így tudtam mi az a wallet, hogy készül, itt vannak ezek az elliptikus görbék, vigyázni kell a seedre, nagyjából ennyi volt még akkor az előnyöm. De ez egy akkora előnye volt a nagy berobbanás előtt a kriptonak, hogy mindenki hozzám jött kérdezni. Silur, hallottuk, hogy te már utaltál bitcoint, magyarázd már el, hogy kell. És akkor ez így tolt engem előre. Amikor felmértem, hogy ez is akkor úgy látszik, hogy jó érték, hogy én értem ennek a fura pénznek a működését, amire azt hittem, hogy ugyanúgy meg fog rohadni a kockák között IRC chateken, mint az összes többi hasonló technológia, de ez valahogy kinőtte magát. Kikupáltam magam, elkezdtem nagyon erősen beletanulni, a GitHubokat átnéztem, hogy akkor mik a legújabb coding trendek, amiket könyvekből nem lehet megkapni. Azon kaptam magam, hogy utána az Ethereum Foundation recruitolt.

Laczkó Gábor: – Ez biztos számodra is egy elismerésként jelentkezett. Meg lehet kérdezni, hogy hova tovább? Ilyenkor, egy ilyen szerep után van-e még tovább? Hol van a jéghegynek a csúcsa, ahova még lehet menni?

Silur: – Én fordítva szeretem ezt az analógiát. Most látom még csak a jéghegynek a csúcsát, és mindig van mélyebb. Az Ethereum Foundation még a belépés volt. Az még jóval a Proof-of-Stake előtt, csak most megyünk egyre lejjebb. Igaziból ma volt a Bellatrix fork az Ethereumnál, úgyhogy ez egy nagy nap számunkra. A következő lépcsőfok az volt, hogy utána egyedül terveztem blockchaint, és le kellett vezényelni, le kellett koordinálni a fejlesztését a saját blockchainnek nem is egyszer. És hát még innen is van tovább.

Laczkó Gábor: – Ha egy picit átnyergelünk azokra a területekre, ami itt a vállalati vonalról jön, sokszor van az, hogy minket is, mint képző cég megkeresnek azzal kapcsolatban, hogy a vállalatnál be kéne vezetni valamilyen kiberbiztonsági politikát, mert lehet látni, hallani, hogy mik történnek. Mindig eszembe jut az, hogy a vállalat szívéhez egy emberen keresztül vezet az út. Tehát hogyha valaki be akar törni, akkor vélhetően egy-egy kollégát, egy-egy csapatot, egy-egy embert, egy-egy számítógépet fog kinézni. Mik azok, amiket most látsz, amik neked is megkeresésként érkeznek? Milyen típusú problémákkal szembesülnek a vállalatok egy-egy ilyen kiberbiztonsági kérdésben?

Silur: – A legrövidebben, a policyk hiánya a securityben. Még egy kkv-nál is azért ritka, hogy nagyon jól összeszedett a gépezet, és csak egyszer elindítjuk a fogaskerekeket és minden automatizálva megy. A saját business processében is. Amikor a security gépezetet kell összerakni, ő mindig az utolsó szempont ebben, mert nyilván először pénzt kell termelni, hogy legyen mit megvédjünk, és majd utána gondolkodunk a védelemről. Ez nem egy jó gondolkodás, de ez van. A security egy gépezet, azt folyamatosan monitorozni kell, visszacsatolni kell, le kell szűrni a leckéket belőle, ha valamivel beriasztott az IDS. Ennek a policynek a hiánya, ami nagyon soklépcsős, nagyon sokrétegű dolog. Vannak guide-ok, hogy hogy kell egy ilyet összeállítani, ami drága, időigényes és edukálást is igényel. Mármint a dolgozók felé. Ez is egy újabb ok, amiért mindig az utolsó az agendákon.

Laczkó Gábor: – Kvázi a kkv jellegű cégek akár itthon, akár külföldön, ők kevésbé biztos, hogy megengedhetik maguknak. Lehet, hogy meg kéne tenniük, csak anyagi forrásokat mérlegelve, viszonylag egy drágább folyamatról beszélünk vagy egy drágább policy kidolgozásról, vagy egy plan kidolgozásról.

Silur: – Igen. Nagyobb enterprise méretű cégek is ugyanúgy meg akarnák spórolni, csak ott szerencsére fogják már a kezüket különböző standardok, SOC2, HIPAA, hogyha egészségügyi dolgokról beszélünk. Ott ezek a standardok megfogják annyira, hogy nem léphet bele az operációba valamilyen audit vagy access control nélkül, ami még szintén nem a teljes biztonságot adja, mert ott meg hajlamosak vagyunk túlságosan fentről nézni a dolgokat. Lévén, hogy enterprise cég, 1200 ember, nem fogunk mindenkit edukálni, és valamilyen hierarchiával próbáljuk ezt bevezetni, minden rétegnél a hierarchiában egy icipici elveszik majd a kontrollból. Ott is megvan a hátránya, de többnyire azért a regulációk előnyre fordulnak.

Laczkó Gábor: – Ha áttérünk a támadó oldalnak a szerepébe, ő mit akar? Mit akarnak elérni általában? Mi számukra az érték? Saját világunkban gondolkozva, mi szeretünk értéket teremteni a partnereinknek, oké, fejlesztünk technológiát stb., de egy támadóban mi merül fel értékként? Pénzt akar keresni vagy milyen indíttatásai vannak?

Silur: – Igen, létezik a pénzközpontú hacker sztereotípia, létezik az egoközpontú is. De a legrosszabb tulajdonság, amit én a black hat világban láttam, hogy nem racionális szereplőről beszélünk üzleti szempontból, és ezért nagyon nehéz számolni velük. És a risk assessment során, amikor prezentáljuk egy CEO-nak, CTO-nak hogy ilyen-olyan költségeket kell securityra költeni, akkor mindig vitába keveredünk, hogy de hát miért csinálna ilyet, merthogy az neki pénzbe kerül, és nem kap belőle semmit. Elkezdjük racionális támadóként modellezni a másik oldalt, holott nagy valószínűleg egy 16 éves bangladesi tinédzserről beszélünk. Itt élek egy példával, ahol ezt konkrétan átéltem az egyik blockchain projektemnél. DDOS támadás ért minket, egy elég kemény DDOS támadás. Elő voltunk iratkozva a Cloudflare-nak Enterprise package-ére, és úgy átjöttek rajta, mint kés a vajon. Szóval semmit nem ért. Hiába hívtam a supportot, mondták, hogy váltsunk nagyobb package-re. Nincs nagyobb package. Az SLA-tól elkérjük vissza a pénzt, és ott a CTO-val elkezdtünk védekezésbe állni. Ott is lement egy ilyen beszélgetés, a végére kiszámoltuk, hogy ennek a tinédzsernek – aki írogatott közben velünk, hogy kéri a pénzt – ez ilyen 2600 euróba kerülhetett valami fórumon összevásárolni. És amúgy mínuszba jött ki az egészből, mert semmilyen értéket nem vitt el időközben, és kivédtük. A chatből kiderült, hogy ő az a típusú ember, aki inkább térden lövi magát csak azért, hogy neked is fájjon. Mert a fórumra majd visszamegy és elmondhatja, hogy ő kinyírta a weblapját ennek, meg annak a blockchain projektnek, ami persze nem ért 2600 eurót, de tök jót tesz az egódnak. Ilyen idősen én is szerettem ezt csinálni, de nem egy racionális lépés. Ezért nagyon nehéz ezeket modellezni, és nem érték- meg befektetésalapon gondolkodni azon, hogy ki fog minket meghackelni. Bárki meg fog, csak azért, mert megteheti.

Laczkó Gábor: – Tehát, akkor nincs ilyen racionális elv, hogy mi a hajtóerő? Ez igazából változó, vagy ego, vagy pénz, vagy az, hogy én meg tudom csinálni?

Silur: – Léteznek, mert az ipari kémkedés létezik, és ilyen indíttatású bridge-ek is vannak, csak nem szabad csak ebben gondolkodni. Mert létezik olyan, hogy egy Google Dork kidobta pont a te weblapodat, azt sem tudják ki vagy, és még az is lehet, hogy egy robot fut rá az egészre, és semmilyen haszonszerzési céllal, csak azért, mert ott vagy a listán.

Laczkó Gábor: – Egyébként mik manapság a leggyakoribb támadási formák? A DDOS támadást említetted, mikkel lehet találkozni, ami manapság – mondjuk úgy – trendi?

Silur: – A phishing az örök kedvenc, mert az embereket nem nagyon lehet patchelgetni, meg tűzfalazni. Egyre jobb a helyzet, mert ugyanúgy, ahogy az orrunkat már a szemünk kiveszi a látótérből, mostanra eljutottunk oda, hogy egy e-mailről nagyjából a tárgyról már egy képzett internethasználó megmondja, hogy spam, nem spam. De még mindig túl nagy százalékban átmegyünk a rostán. Most megjelentek az SMS phisingek is, az OTP-től jött valami, vagy postacsomagja érkezett, itt lehet fizetni. Ez abból adódik, hogy most már a személyi igazolványod gyakorlatilag a telefonszámod, és majdnem minden regisztrációhoz megkövetelik azt is. Úgyhogy amikor meghackelik az adatbázist, kikerül a számod, ami kikerül egy fórumra, és máris mehet ugyanúgy a masszív phisingakció telefonszámokra, ahol ugye nem vagyunk annyira képzettek még szűrésben, mint e-mailre. Mert az e-mailben valamiért természetesnek tűnik, hogy jönnek a csalók. Dehát a telefonszámomat honnan tudná? Hát úgy, hogy most már azt is mindenhova megadtuk. A phising és ezek a személyes social engineering attackok még mindig marginálisan a legcélravezetőbbek, meg a legnagyobbak számosságban is. Utána pedig XSS, ezek a JavaScript alapú „a browserben kicsit átmódosítjuk, hogy mit látsz” típusúak. Ez is egyre kevesebb, mert már szuper kiforrottak a frameworkök ellene, mindenhol el lehet már olvasni a best remedyt, de még mindig ő a vezető.

Laczkó Gábor: – Egyébként van valami szám erről, akár területileg, EU, Magyarország, wordwide, hogy mennyi támadást tudunk kivédeni, és mennyi úgymond a sikeres? Bármilyen nagyságrendbeli szám van esetleg?

Silur: – Van. Most nem akarok hülyeséget mondani, ezt inkább majd valahogy mellékeljük ide a videó mellé. de van több statisztika is, többen is vezetik, pici eltérések vannak. Az OWASP-nak, aki a top 10 vulnerabilityt folyamatosan listázza évről évre, van egy jó statisztikája, őt sem tudom fejből, és a Bug Bounty programokat is nagyon érdemes nézni a HackerOne, Bugcrowd, és van egy harmadik, aki az EU-ban pozicionál. Oda pont nagy cégek jelentik be a Bug Bounty programjukat és ott a legorganikusabb a visszacsatolt szám, mert tényleges nagyvállalati sérülékenységekről beszélünk, hogy kérek-e Bug Bountyt. Valami freelancer hacker ráugrik, megkapja a pénzt, és akkor behúz egy strigulát a Bugcrowd és vezeti magának a statisztikát. Az övét is érdemes egyébként, azt hiszem hírlevelet is küldenek minden negyedévben a legfrissebb trendekről. Az egyiket majd ide kicopyzom és mellékeljük a videóhoz akkor.

Laczkó Gábor: – Jó, köszi. Kicsit átülünk abba a székbe, hogy van egy security plan a cégnél, van egy viszonylag jól edukált társaság. Technológiailag mit lehet még hozzátenni, hogy a védekezésünk, a védelmi vonal még hatékonyabb legyen? Bármi, amit említettél te is korábbi írásaidból, interjúkból, hogy Windows tűzfalat érdemes használni, és sokszor ez az egyik legjobb példa a Windowsnál. Vagy saját Linuxot. Miket érdemes megfontolni?

Silur: – Ha már az oktatás megtörtént a phising és társai ellen, az egyik ugye acces control, én, ha megengedhetném vállalatként, akkor mondjuk Yubikey-eket adnék a dolgozóimnak, kötelező 2FA, kötelező kétfaktoros autentikáció  mindenhová, amit csak használunk, single log-on, szóval ilyen OAuth 2 rendszeres vagy kártyás belépés az összes accountra időlejárattal. Szóval szoros acces control, hogy ki mikor jön be, accountability, azaz minden technológiai lépés, ami picit is konvergál ahhoz, hogy valami döntés eredménye az attributálható legyen egy személyhez. Nem azért, mert hogyha valami történik, akkor legyen kire mutogatni, nem a blaming játék a fő cél, hanem mert általában annak a személynek valamilyen eszköze a kiindító ok, ha valami bridge történt. És az incident response-hoz kritikus az, hogy honnan indult az incidens. Ezért egy nagyon profi logolással minden technológiai lépés attributálható kell legyen valahová, és soha ne történjen az, hogyha jön a CISO – aki a security megbízott egy cégben –, történt egy incidens, állítsuk le, mert folyik épp ki a pénz nem tudom honnan, és kérdezi a middle executive-okat, hogy oké, mi történt, bent volt-e a Józsi? Egyszer csak jön egy olyan, hogy nem tudjuk, hát nincs ilyen adatunk, honnan tudjuk. Ilyen nem történhet. Profi logolás, acces control, és én IDS-t is szoktam ajánlani, ez az Intrusion Detection System, ami egy óriási adatbázisban vezetve, lenyomat alapon a különböző vírusoknak a szignatúráit a hálózaton. Képzeljük el úgy, mint egy vírusirtó, csak hálózati szinten, nem lokális számítógép szinten. Ha valaki olyan helyre vagy olyan módszerekkel beszél kifelé, ami gyanús, akkor a CISO oda tud menni, hogy figyelj, egy rutin check most a gépen, mert valamit észleltünk. Többnyire fals pozitívak jönnek ki ezekből, és ez egy külön művészet, hogy nagyon jól konfiguráljuk, hogy ne az legyen, hogy folyamatosan megy a riasztó, és egy idő után ki kell kapcsolni, mert már mindenki unja. Legtöbbször ez így szokott végződni. Úgyhogy egy ilyen risk assessmentnek a legnagyobb művészete, hogy egészséges körülmények közé egy egészséges paranoia legyen a cégben, mert azért meg kell védeni az ottlévő asseteket, de ne mindenkinek csak az agyára menjen az IDS. Nekem három technikai kedvencem van, amikor risk protokollt és incident response-t designolok nagy cégnek, acces control, nagyon szigorú logolás és egy IDS.

Laczkó Gábor: – Jó, hogy mondod ezeket, mert biztos hallottad te is, volt olyan probléma itt egy-egy vállalatnál, azt hiszem pont egy egészségügyi vállalatnál, ahol röntgenfelvételeik voltak, és a röntgenfelvételekre különböző rákmarkereket tettek rá. Nyilván pénzt zsaroltak, hogy aztán megmondják, hogy melyikre tettek és melyikre nem. Ezzel kapcsolatban sokat beszélgettünk olyan blockchain szereplőkkel, akik adathitelesítési platformot építenek, tehát konkrétan te bármit egyébként beraksz oda, az kap egy stampet, és úgymond hitelesítve van az adatcsomagod. Nyilván a stamp van hitelesítve, és ez biztonságot tud adni, hogy valaki hozzáfért-e az adatodhoz, megpiszkálta-e vagy sem.

Silur: – Gyakorlatilag közjegyzőnek használni a blockchaint.

Laczkó Gábor: – Erről akartalak kérdezni, hogy mennyire látsz ebben jövőt? Én azt gondolom, hogy ennek a típusú dolognak nagy jövője van. Te mit látsz ebből a területből, ami kimondottan a hitelesítéshez kapcsolódik?

Silur: – A blockchain alapú notary protokolloknak nagyon nagy jövője van, mert az egy textbook use case az egész. Erre való, hogy megmásíthatatlanságot rögzítsen egy időpillanatban a sztorira. Ami nem hangzik el a notary protokolloknál, hogy igaziból itt picit shifteljük a problémát, mert ilyenkor az adatot nem rakhatjuk fel, már csak reguláció miatt. Nem is az, hogy nem fér fel, mert azért egy nagyon jó felbontású röntgenfelvétel konkrétan nem fér bele egy tranzakcióba vagy egy blokkba, márcsak HIPPA reguláció, GDPR, etc., nem rakhatom fel az adatot, ergo az adatnak csak valami lenyomatát tehetem fel a blockchainre, ami egyszerű, behashelem, az mehet. És akkor hol lesz az adat? Itt történik az óriási kérdőjel, hogy ez a data availability problem, sem a Storages, sem az IPFS, senki nem tudta igazán megoldani, és itt már picit belemegyünk a kvantumfizika dolgába. Merthogy ott van-e az adat vagy nincs ott az adat, hol lesz az adat, az inkább filozófiai, meg fizikai kérdés, mint IT. Hogy tudod garantálni egészségügyi szolgáltatóként, hogy amit múlt évben kiraktam blockchainre Teszt Elekről röntgenfelvételt, az a hash az oké, nem változott? De én látni akarom most a tényleges felvételt, hogy rákos-e. És nincs meg. Akkor már teljesen értelmetlen, hogy ott van a lenyomat megmásíthatatlanul a blockchainen, mert az adatot már nem találom sehol. Ugye az akkor lenne jó, ha az adatot is felrakhatnám a blockchainre, de azt ugye sok tekintetben nem tudom. Legtöbbször a gyakorlat, és itt magyar szereplők is vannak egyébként, nagyon sikeres EU standardokat is végigvertek, és ott is egy kvázi garantált összekötés van, hogy mindig ott lesz az adat a hash mögött, mindenféle decentralizált fájlrendszereken. De ugye az még mindig nem az igazi, az nem az a biztosíték, amit a blockchain egyébként adni tud, és ott azért mindig figyelni kell, blockchain, hitelesítés, megmásíthatatlanság stb., de ezek a notary protokollok még nem ugyanazon a biztonsági szinten vannak, mint mondjuk a bitcoin.

Laczkó Gábor: – Tulajdonképpen arról is hallani, hogy különböző Software as a Service szolgáltatók fognak megjelenni a piacon, te fogod, és feltöltöd az adatodat.

Silur: – Ilyen van is már.

Laczkó Gábor: – Hallani, hogy a nagyoknál is van ilyen kezdeményezés itt Magyarországon, de akkor ez mégsem olyan megoldás, ami 100 %-os garanciát tud adni, ha jól értem.

Silur: – Amennyiben nincs ez az adatelérhetőségi probléma kezelve, addig ugye ez gyengébb, mint amit a blockchain ad. Kisebb dolgokra, tényleg csak textre, ha beszélünk, mondjuk kevesebb, mint 1 kB-os üzenetekre levédetni, valami olyan ötlet, ami még nem patent. Szóval nem érdemes, nem annyira kidolgozott, hogy egy szabványra kimenjen, de azért az elsőbbségét akarjuk bizonyítani. Egy ilyen notary protokoll több mint érdemes, és teljesen ki tudja váltani a közjegyzői szerepet. De röntgenfelvételre már csak az adat nagysága miatt sem jó.

Laczkó Gábor: – Még egy elvi kérdéskör van bennem ezzel kapcsolatban, hogy nyílt vagy zárt lánc, ez mindig kérdés, hogy mondjuk egy zárt láncnál ki áll be mögé? Adathitelesítő platform, ki fog beállni? Lesz öt cég, öt megbízható nagy cég, aki egyébként megint csinál egy minibankot, és akkor ők lesznek azok, akik jótállnak ezekért? Számomra elvi kérdésben még nem tisztázott dolog.

Silur: – Én is két oldalról közelítem meg. Először én is személyesen, és az elvi nézetem nekem is ugyanez, hogy öt nagy cég az csak újabb egy darab bank, és semmilyen bizalmat nem kaptunk. Kicsit technikaibban, formálisan elosztott hálózatban kifejezetten az ilyen blockchain típusú adversarial hálózatban a lényeg, ez az 50 % meg 66 %, amiről a konszenzusmodellekben beszélünk, ez csak akkor él, hogyha a szereplők közgazdaságtanilag és játékelméletileg ellenérdekeltek, szóval egymás ellenfelei. És az ilyen konzorciumi blockchainekben ti barátok vagytok, és ott csorbul ugye ez az egész, hogy a bitcoinnál azért tudok megbízni abban, hogy nincs csalás, mert mindenki a saját pénzét védi, és mindenki a másikat akarja meghackelni. Mert nincs semmilyen bizalom két véletlenszerűen kiválasztott szereplő között, mert hát a pénz az általában kivált ilyet az emberekből, hogy egyik a másikét akarja. Na de a konzorciumi blockchainnel valahol a számítógépektől távol a fiókban ott van egy szerződés, mindenféle kötelezettségekkel, meg NDA-kkal, ami azért a blockchain fölött rendelkezik. Mert hogyha az ügyfél bekopogtat, akkor még az IT-sok is eldobnak mindent, hogy most issue van, és ez lesz a döntés, mert a szerződés azt mondja. Ott játékelméletileg nem ellenfelekről beszélünk, ők partnerek valamiben, és ők egy entitásnak számítanak. És amikor egy ilyen privát konzorciumi blockchainben felsorolnak nekünk 50 node-ot, ami mind a Michelinhez tartozik, akkor az 1 darab node, a Michelin és a leányvállalatai, meg a kontraktorai.

Laczkó Gábor: – Nagyon kíváncsi vagyok, hogy ebből mi lesz, meg hogy hogy fognak alakulni ezek a piacok. Kicsit visszafordulunk a hackerekre, egy black hat hacker milyen eszközt használ? Ezek általában elérhetőek publikusan vagy saját maguknak szokták fejleszteni? Hogy indul ki egy ilyen folyamat egyáltalán?

Silur: – Az open source terjedésével már egész végeláthatatlan arzenálok vannak, amik security researchre valók GitHubon, és a script kiddie-k, ezek a nagyon kezdő black hat hackerek ezekre ráugranak, egyébként elég jó sikert is lehet velük csinálni. Csak ugye két típusú támadási forma van, vagy én legalábbis azzal találkoztam. Sajnos, amikor még én kezdtem tanulni, nem volt ennyire erős az open source, és akkor fórumokon, IRC-en kellett egymásnak osztogatni a legújabb toolokat. De hogy mostanra kialakult két típusú támadói profil, az egyik, akinek megvan a toolja, kap egy kalapácsot és keressük a szögeket, és GitHubon ott van a legújabb, vagy Exploit-DB-n kikerült a vadiúj SQLi dork. Akkor keressük azokat a website-okat, shopokat, áldozatokat, aki ezzel tudom, hogy sérülékeny. Erre is vannak külön specializált keresőmotorok, IoT eszközökre is. Van az, amikor kezemben van a tool és keresem az áldozatot, és bárki, aki beesik, azt szétrámolom, és rakom fel valahová. Ugye ez többnyire azért a script kiddie vonal. És van a szofisztikáltabb támadó, akinek már minimum van egy racionális indoka, hogy ennek, meg annak a cégnek megyünk neki, mert valaki megbízott, vagy ipari kémkedés, vagy, mert utálom a CEO-t. Ott már azért ritkább, hogy egy emberi interakció nélkül csak úgy távolról be tudunk menni, vagy az, hogy kulcsrakészen GitHubról leszedek valami kódot, nyomok pár gombot, és bent is vagyok a rendszerben. Egyik sem szokott előfordulni, ott már erős programozói képességek kellenek, és ki kell hegyezni a saját eszközeinket arra, hogy erre a gigre használható legyen. Úgyhogy el lehet jutni, tanulni, CTF-eket csinálni, nagyon sokáig el lehet a textbook online fellelhető toolokkal, és kell is ismerni őket, mert a lexikákat az építi. De egy tényleges való életi nagy filmbe illő akciókban soha nem ezek kerülnek elő.

Laczkó Gábor: – Mondtad, hogy sokszor tanácsot adsz különböző vállalatoknak. Megkérdezték tőled, hogy te hogy csinálnád? Volt olyan, hogy az első együttműködési pontunk az, hogy megpróbálnád, hogy feltöröd, vagy bejutsz?

Silur: – Ideálisan így is történik. Az első lépés, mivel a risk management organizációs szinten időben és pénzben is egy sokkal nagyobb volumen, mint egy sima penetration teszt IT-ban, ezért általában ez is a sorrend, hogy akkor csinálok egy először csak IT auditot, abból egyrészt kialakul a kémia, hogy hogy dolgozom, milyen időkön, milyen típusú reportot írok. Utána felhozzuk, hogy ezt amúgy belülről még jobban meg lehet dobni. Azután csinálok egy borderline red teaming auditot is, ahol már interektálhatok házon belül, és annak az eredményéből szokott megszületni, hogy oké, most egy acces control policyt is megalkotunk, ami már egy hosszabb folyamat. De rendszerint először adni kell valami látványos dolgot a döntéshozóknak, és az általában az, hogy jön a srác és meghackel, vagy megpróbál meghackelni minket.

Laczkó Gábor: – Többször említetted az ipari kémkedést. Azért itt elég sok mindent lehet hallani manapság, akár csak ha a híreket figyeljük. Emlékszem mikor az orosz háború kitört, ott volt az elején a drón, ami éppenséggel Horvátországban zuhant le, különös körülmények között. Mindenki kérdezte, hogy hogy került oda az a drón, nem is kellett volna arra lennie. Igazából itt a Pegasus-botrány, USA-beli szervezeteknek különböző megoldásai, amik úgymond kétesek lehetnek és lehet róluk hallani. Te jobban benne vagy nyilván ezekben a témákban, mik a meglátásaid az ilyen kémkedés kapcsán? Kell-e nagyon félnünk, ezek tényleg ennyire komoly dolgok, ennyire komolyan veszik? Mit kell éreznünk, mit kell átélnünk, ha esetleg tudjuk, hogy valaki figyel minket? Honnan fogjuk egyáltalán észrevenni?

Silur: – Ez egy sokrétegű kérdés. Az ipari kémkedés, különösen cyber szinten még most ugyanúgy vállaltokra korlátozódva, szomorúan nagy számban jelen van, mert még nem éleződött ki a kifejezetten nagyvállalati kultúra, ami azért életkorban is inkább senior még. Ritkán látunk huszonéves, harmincéves felsővezetőket enterprise méretű, többezer főt alkalmaztató cégben, ami azt is jelenti, hogy technológiában sem ugyanolyan gyorsak vagyunk, ezen nincs mit szépíteni. Emiatt az ipari kémkedés IT sérülékenységeken, vállalatok között, meg vállalatok ellen ezért jobban tud folyni. Az oroszok különösen híresek erről, rájuk szeretem mondani, mert ők az egyetlenek, akik cyberwarfare-t még házon belül is alkalmazzák és kiber-polgárháborújuk is van, és ezt ilyen különböző threat mapokon, meg ilyen publikusan elérhető riasztás vlogokból szerverek között tényleg ki lehet hozni, hogy semmilyen ország nem támadja olyan volumenben önmagát, mint az oroszok.

Laczkó Gábor: – Ebből a szempontból lehet, hogy legalább felkészítik magukat, gyakorolnak.

Silur: – Abban viszont tényleg jók. 2019-ben vagy ’20-ban le is kapcsolódtak az internetről, hogy megnézzék, hogy egy olyan szituban, amiben most vannak, és mindenféle szankciók jönnek, és netalán az internetről is lekapcsolják őket, akkor életben marad-e az infrastruktúra. Úgyhogy ők erre fel voltak készülve. Ennyit az oroszokról. És akkor az indiszkriminatív magánemberek ellen elkövetett kémkedés, ezek a Snowden-dolgok, többek között Snowdennek az előrelépése volt az egyik, ami engem is előre motivált privacy aktivistának, és hogy ilyen előadásokon előálljak, edukáljam az embereket, és a témában elhelyezkedjek. Az open source projektjeim nagy része is ezek ellen irányul. Most nem ipari szempontok ellen kell félnünk. A félelem sem jó reakció arra, hogy tudjuk, hogy mindenkit figyel az NSA és a Facebook. Most már ugye nem néznek alusapkás paranoidnak, ha valakinek azt mondom, hogy 15-ször benyomod, hogy kutyasíp a Facebookba, akkor a 16. refreshre biztos, hogy kutyasípot kapsz az arcodba reklámnak. 2015-16-ban mindenhol kiröhögtek, amikor egy ilyet állítottam. Tegnap is beperelték a gyerekek privacy-je miatt a Facebookot, most már ez így a köztudatban van, átestünk a ló másik oldalára, ami szintén nagyon ártalmas. Ez a Social Cooling, ez egy olyan pszichológiai jelenség, hogy az emberek láthatóan másképp viselkednek online a tudat miatt, hogy figyelik őket. És nem mersz már rákattintani egy olyan linkre, ami egyébként érdekelne, mert egy fél másodpercre ott van a fejedben, hogy „na de ha ez most szétveri a profilomat?” És most kapom majd a reklámot, meg a Facebook tudni fogja, hogy ez engem érdekel. Hát akkor inkább nem. Vagy a Netflix most belekeveri ezt a sorozatot, de én amúgy nem szeretem a krimit, de most rányomok, és akkor tele leszek krimivel a profilban. Ez a Social Cooling elindult, ami szintén nem jó reakció arra, hogy a privacydet szétverték. Meg kell védeni a privacyt, nem attól kell félni, hogy már odavan az egész, és most én elkezdek másképp viselkedni, mert azt tőlünk vették el. A te tulajdonod volt, semmi köze senkinek ahhoz, hogy te mire klikkelsz, és mit nézel. Valamiért elkezdtük ezt úgy lereagálni, hogy mindegy, mert a Facebook nekem kell, és átalakul a viselkedésem online.

Laczkó Gábor: – Egyébként ez teljesen, ahogy mondod így magamra ismerek, hogy úgyis használom, meg akkor is fogom használni, de közben meg hallani ezeket a csatározásokat, és teljesen igazad van, hogy ez egy igen fontos dolog tud lenni. Ami még így érdekel ebből a szempontból, hogy mondtad ezt a 16 éves bangladesi srácot, hogy volt egy ilyen támadás, hogy van egy komolyabb intézmény. Honnan fogod megtudni, fel lehet ismerni az elején, hogy ez most egy 16 éves bangladesi srác, vagy mondjuk – nem akarom kihegyezni az oroszokra – egy orosz kiberhadsereg, aki éppen próbálja feltörni a rendszert? Lehet ezt így az elején diverzifikálni?

Silur: – Most ilyen textbook módszertan nincs, a fejemben végigjátszom, hogy én hogy nézném. Az első indikátor nekem az lenne, hogy milyen hamar marad abba a támadás, látom-e rajta ezeket a GitHubon fellelhető dolgokat. Néha egyébként ezek a toolok benne is hagyják, hogy ez a V3F scanner, most épp bent ez zajlik. És ha tényleg annyira amatőrök vagyunk, hogy ezt bent hagyja a támadó, és látod, hogy csak leszedte GitHubról, és véletlenszerűen ráfutottam most a palettájára. Ez egy indikátor. A másik az, hogy milyen hamar marad abba. Most feltesszük, hogy azért egy minimális security van most már az infrastruktúrában, és szerencsére elég egy kevés security infrát kiépíteni ahhoz, hogy a támadások nagyon nagy százalékát ki tudjuk védeni. Lineárisan skálázódik, de erősebb ez az egész. És hogyha nagyon hamar abbamarad a támadás, akkor tudom, hogy itt valaki bepróbálkozott. Az első támadás nem sikerült, és fel is adta, mert nem én vagyok a célpont. Csak szeretne valamit nagyon hackelni, mert talált valami új játékot, ez az első. Aztán mélyebbre menve, most valami trendet követ-e a támadás. Nagyjából képben kell lenni, hogy mikor jött ki új Zero-day ehhez, meg ahhoz a szoftvercsomaghoz. Különösen, ha használja az adott nagy cég azt a típusú szoftvert valamilyen dependenciában, és hogy most azért vagyok kipécézve, mert én ezt használom, vagy, mert én vagyok a Nike. Most mondva egyet. Szóval, hogy még mindig üzleti-e vagy még mindig technológiai-e a támadás. Ha Zero-dayről beszélünk, akkor el lehet kezdeni kutakodni, hogy valószínűleg valamilyen fórumon, chaten, Torrenten kikerült egy script erre, és még mindig tinédzser bangladesiekről beszélünk vagy huszonévesekről. Ha tényleg kifutott, nem volt Zero-day sem a napokban vagy ebben az évben semelyik dependenciámra, és már napok óta folyamatosan látom, hogy valamivel próbálkoznak és folyamatosan mással, akkor már levonom általában azt a következtetést, hogy ez minimum ipari kémkedés, de valami szofisztikált advanced persistent threat, szóval egy komolyabb attact történik most ellenem.

Laczkó Gábor: – Hogyha mindezeket meg szeretnénk előzni, tényleg ilyen bullet pont szerűen, nagyon sok mindenről beszéltünk már a témakörben, készítsünk security plant, edukáljuk az embereket. Miket mondanál még? Ott lenne most egy vállalat, azt mondaná, hogy oké, ütemtervet készítsünk, mi lenne ebben az ütemtervben még?

Silur: – Egy audittal kezdődne. Először csak egy sima IT audit, csak a számítógépeket, csak a szervereket megbombázzuk, azért, mert az egy gyors eredményt ad, meg kialakítja az üzleti kémiát. Utána risk assessment, ami egy tágabb rész, egy komponense volt az IT risk, és itt döbbentjük rá a másik felet, hogy az IT risk a legkisebb risk. Onnan már házon belül, de ennek még mindig nem policy és megelőzési terv a kimenete, hanem a végén oda lehet állni a vezérigazgató elé, hogy „mekkora a baj?”, „hát 10.000.000 dollár a baj”. A jó security auditor szerintem onnan ismerszik meg, hogy ezt minél kevesebb szóból elő tudja adni a döntéshozónak. Mert ugye lehet, hogy „az adatbázis itt, meg ott mellé van konfigurálva, akkor ezen a porton beírják ezt a commandot, és akkor mindenféle lateral movementtel ide, meg oda jutnak”. Ezt senki nem fogja riskként megérezni, mert ezt csak én értem, hogy óriási probléma. De hogyha ott van a headline-ban, hogy előreláthatóan 10.000.000 dollár most a baj, mert direkt a walletekből el fognak ennyit lopni, opportunity lossban, hogyha kikerül a médiába, hogy meghackeltek minket, akkor ennyit el fogunk veszteni ügyfelekből. Meg még ránk is száll a NAV, a GDPR miatt az adatvédelmi törvények. Onnan már mindenki érzi a bajt, ez a második pont az agentnál, és akkor a harmadikban jön az, hogy ezt a 10.000.000-t hogyan kerüljük el srácok. Az előzőleg említett három pont nekem az aduászom, ami azért 90 %-ban megelőz mindent, a Logging, az Access Control Policies és az IDS.

Laczkó Gábor: – Ez egy rettentő izgalmas, meg mindig megújuló világ, és ebben up to date maradni, azt hiszem nagy kihívás.

Silur: – És egyre nehezebb.

Laczkó Gábor: – Ezt talán említetted is, hogy jönnek a fiatalabbnál fiatalabb generációk, és ők már tényleg ebbe születnek bele. Nehéz felvenni velük gondolom a versenyt, többféle szempontból is.

Silur: – Igen. És az, hogy én most jó auditornak tartom magam, abban az is benne volt, hogy amikor én ültem tinédzser székben és mindenkit szanaszét támadtam, mert az összes toolnak a commandját fejből be tudtam írni a terminálba, 4-5 soros dolgokat, és naprakész tudtam maradni folyamatosan, már akkor éreztem, hogy nem tartható sokáig ez a dolog, mert ez sokkal gyorsabban fejlődik, mint az agyam. Egyszerűen eljutunk egy olyan pontra, ahol én már nem fogok ugyanígy memóriában a topon maradni. Ezt minél korábban elfogadja az ember, és elkezd picit rendszerezettebben gondolkodni a securityban, az annál jobban előnyre fordítható. Én szeretem erre a nagy boxfilmek analógiáját használni, hogy van mindig a fiatal titán a ringben, és az öreg mentor kintről ordibál. Előbb-utóbb én is kintre kerülök ebből a sztoriból, ahol márcsak így mondom befelé, hogy ja, hát igen, volt egy ilyen is, védd meg a passportjaidat.

Laczkó Gábor: – Kutatási területed – kicsit átvágtatva erre a részre – nagyon-nagyon izgalmasan hangzik. Beavatsz minket egy picit? Nem a nagyon mélyébe, de hogy egy kicsit megértsük azt, hogy egyáltalán milyen jelentősége van annak a területnek itt a kvantumvilágban, meg a kvantumkriptográfiában is, amit kutatsz. Mik a fő scope-ok most, milyen irányokba mész? Mi várható ettől az egész világtól?

Silur: – Az, hogy mi várható, maradjunk tágabb kontextusban a kvantumszámítás területén, mielőtt a kvantumkriptoba, mert az egy picit vitatott. Ugye a kvantumszámításban van egy ilyen mondás, amivel szeretek is élni, hogyha össze kéne hasonlítani a mai technológiánkat ahhoz képest, ami több tízezer vagy akár millió qbitekkel operálunk kvantumgéppel, az olyan, hogy akkor mi most a cro-magnoni ősembernek számítunk, aki üti össze a köveket. Szóval határtalan, végeláthatatlan dolgokat képes hozni a kvantumszámítás akkora méretekben, előre se tudjuk jósolni, hogy pontosan miket. Amit azért már nagyjából látunk, fehérje folding, bioinformatikában nagyon sokat segített már nekünk. Most az AI-ra is rámegyünk, még az AI-ról is csak kísérletezünk, hogy mi mindenre elég, mert most megkérdőjelezte nekünk, hogy mi is az a művészet pontosan. Hogyha ezt ténylegesen sikerül gyakorlatban is azokat az eredményeket belevinni, amit most a kvantumszámítás AI összefonódásával látunk akadémiában, akkor még végeláthatatlanabb az egész. És akkor visszaszorítva a kriptora, ott az a probléma, hogy van-e jövője a kvantumrezisztens kriptonak, az már egy tudományosan vitatott téma. Merthogy van egy tábor, aki azt állítja, hogy még nincs a közelben sem az a kvantumgép, ami a Facebookot, a MasterCardot tudja veszélyeztetni. És van a másik tábor, aki azt állítja, hogy van. Maga az algoritmus ’94, majdnem idősebb, mint én, de nagyjából egyidős velem, ami elindította ezt az egész „gondolkodjunk a kvantum és a kriptográfia területén”, az egy ’94-es támadás, de hát ugye az erősen elméleti volt. Azon viszont tuti, hogy működik. Azon megy azóta is a vita, hogy az elméletből most lesz gyakorlat? Vagy egy év múlva? Vagy mikor lesz gyakorlat? Mikor kell elkezdeni félni? Én évekkel ezelőtt mondtam, hogy el kell kezdeni félni. Mert én abban a táborban vagyok, ugye kriptográfusként mi soha nem 5 évre, 10 évre, nem is 10.000 évre, meg 100.000 évre tervezünk biztonságot, hanem egy univerzum hőhalála, két univerzum hőhalála, szóval ilyen trillió, csillió években mérjük a securityt, és az alatt semmi nem elfogadható. Az, hogy most 5 év múlva jön a Google a kvantumgéppel vagy 10, az én szememben azért nem érv, mert néhány banknak 10 év sem elég ahhoz, hogy egy új típusú adatbázist be tudjon vezetni. Szóval még DB2-t használunk magyar bankokban is, és még a JSON-nek a közelében sem járunk. Ha kijön ma a hír, hogy feltörték a MasterCardot, meg a Facebookot, nem akkor kéne elkezdeni ugrálni, hogy akkor most leváltjuk a technológiát, abból csak baj lesz. De ugye ez az én táborom, és a másiknak is nagyon jó érvei vannak ez ellen. A kutatás pedig arról szól, hogy a ’94-ben alkotott sor algoritmus ellen hogyan védekezünk kriptográfiában. Én nem is a kvantum védelme miatt ugrottam bele ebbe a kutatási területbe, mert a sok előnyéből igazából ez csak egy, hogy kvantumgépekkel is vélhetően ellenállnak ezek az algoritmusok, mert amúgy van egy csomó más előnyük is, ami individuálisan is értelmet ad nekik, hogy akkor ezt kutassák, és emiatt is kutatják őket. Emiatt nem is sikerült elpusztítani a szkeptikusoknak ezeket a kutatási ágakat, mert jó, tegyük fel, hogy soha nem lesz kvantumszámítógép, ami veszélyt okoz, vannak másfajta előnyei is. Na, és én pont ezzel foglalkozom. Olyan típusú algoritmusokat keresek, modellezek, tesztelek, amiről vélhetjük, hogy klasszikus, és kvantumszámítógép ellen is az univerzum hőhaláláig ellenáll.

Laczkó Gábor: – Ahogy mondtad az elején, hogy a jéghegy csúcsát sokszor látod, de mindig van mélyebb rész is. Ennek a mélységei úgy érzem, elég mélyek tudnának lenni, hogyha szakmailag is az ember belemenne egy ilyen beszélgetésbe. Úgyhogy ezen a ponton köszönöm szépen, hogy megosztottad velünk. A beszélgetésünk vége felé közeledve egy olyan kérdésem lenne, hogy mit gondolsz, mit kell letenned az asztalra, hogy meglegyen az a történelemkönyv bejegyzés a jövőben, hogy akár ott legyél te is ezekben a könyvekben? Mit lehet elérni? Mit szeretnél te elérni pályafutásod alatt?

Silur: – Hát erre ilyen konkrétan, ha tudnám a választ, akkor csak azzal foglalkoznék, és akkor jobban meg is fogalmaztam volna – ugye most a cikkből idéztél.

Laczkó Gábor: – Igen.

Silur: – Hogy a törikönyv a vége. Konkrétan nem üzleti típusú. Abban biztos vagyok, hogy nem egy üzleti típusú, hanem inkább egy akadémiai vagy technológiai újítás az, ami engem elégedetté tudna ilyen téren tenni, vagy az, hogy a kvantumszámításban valami Impossibility Resultot, vagy egy korábbi Impossibility Resultot megcáfolok, vagy egy pragmatikus példa, minden évben indulok a Hutter-díjon, hogyha azt valamelyik évben egyszer el tudnám vinni, azzal is elégedett lennék.

Laczkó Gábor: – Nagyon szépen köszönöm. Olyan látképet és áttekintést adtál nekünk, hozzáteszem rettentő érthetően, és úgy kaptuk ezt meg, ami szerintem egy hétköznapibb ember számára is fogyaszthatóbb tud lenni.

Silur: – Örülök.

Laczkó Gábor: – Nagyon szépen köszönöm ezt a beszélgetést, mert remek volt.

Silur: – Én is köszönöm, és a meghívást is.

Laczkó Gábor: – Silur, én kívánom, hogy a jövőben meglegyen ez a bejegyzés, meg a történelemkönyves is, és nemsokára találkozunk mi személyesen is.

Silur: – Így van, köszönöm. Minden jót!

Laczkó Gábor: – Szia! Sziasztok!