Kybernetická bezpečnost
Útoky jsou rychlejší, jednodušší a automatizované. Většina systémů na to není připravená.
Co se děje právě teď
0 min
průměrný breakout time
2019: 9 hodin
0 %
průniků bez malwaru
0 dní
než firma zjistí breach
$0.9M
průměrná škoda z breache
CrowdStrike Global Threat Report 2025, IBM Cost of a Data Breach 2024
2024: Co se stalo
Change Healthcare
100M pacientských záznamů. Výkupné $22M. Týdny výpadku nemocnic. Příčina: Citrix portál bez MFA.
Snowflake
165+ firem. Ticketmaster 560M, AT&T 110M, Santander 30M záznamů. Příčina: staré credentials, žádné MFA.
Microsoft
Ruská SVR v emailech vedení + zdrojovém kódu. Příčina: password spray na testovací účet bez MFA.
Arup — $25.6M deepfake
Video hovor kde každý účastník byl AI deepfake. Jediný reálný člověk byl oběť.
Česko — NÚKIB
468 incidentů (z 311 v 2023). NIS2 rozšířila regulaci na 6 000–12 000 organizací.
Všechny tyhle incidenty mají jedno společné — příčina byla triviální. Chybějící MFA, ukradená hesla, špatná konfigurace. Žádné zero-day exploity.
Co si lidi myslí o bezpečnosti
„Jsem moc malý na to, aby mě někdo hacknul."
43 % útoků cílí na malé firmy. Boty skenují miliony systémů automaticky.
„Máme HTTPS, jsme v bezpečí."
80 % phishingových stránek používá HTTPS. Zámek ≠ bezpečná aplikace.
„Poznáme, když nás hacknuli."
194 dní průměrně trvá než firma zjistí breach. Útočníci zůstávají neviditelní.
„Silné heslo stačí."
49 % breachů začíná přes ukradené credentials. Bez MFA je i silné heslo k ničemu.
„WordPress se stará o bezpečnost."
96 % CMS infekcí je WordPress. Většinou přes zastaralé pluginy.
„Máme antivirus, jsme chráněni."
79 % průniků je bez malwaru. Antivirus nemá co zachytit.
„Bezpečnost je věc IT oddělení."
68 % breachů zahrnuje lidský faktor — phishing, chyby, sociální inženýrství.
„Nás se to netýká, nejsme banka."
60 % malých firem po útoku ukončí činnost do 6 měsíců.
„Jsem moc malý na to, aby mě někdo hacknul."
43 % útoků cílí na malé firmy. Boty skenují miliony systémů automaticky.
„Máme HTTPS, jsme v bezpečí."
80 % phishingových stránek používá HTTPS. Zámek ≠ bezpečná aplikace.
„Poznáme, když nás hacknuli."
194 dní průměrně trvá než firma zjistí breach. Útočníci zůstávají neviditelní.
„Silné heslo stačí."
49 % breachů začíná přes ukradené credentials. Bez MFA je i silné heslo k ničemu.
„WordPress se stará o bezpečnost."
96 % CMS infekcí je WordPress. Většinou přes zastaralé pluginy.
„Máme antivirus, jsme chráněni."
79 % průniků je bez malwaru. Antivirus nemá co zachytit.
„Bezpečnost je věc IT oddělení."
68 % breachů zahrnuje lidský faktor — phishing, chyby, sociální inženýrství.
„Nás se to netýká, nejsme banka."
60 % malých firem po útoku ukončí činnost do 6 měsíců.
Verizon DBIR 2024, IBM 2024, CrowdStrike 2025, APWG 2024, Sucuri 2024
A mezitím na internetu
Boti
49.6 % internetového provozu jsou boti — poprvé v historii víc než lidi. Celý IPv4 internet se dá proskenovat za 45 minut. Nový server dostane první škodlivý probe do 5–15 minut od nasazení.
Když bot najde zranitelnost — nečeká. Nové CVE jsou zneužité do 4 hodin od zveřejnění. V 45 % případů jsou data venku do jednoho dne po průniku. WordPress: průměrný web čelí 90 000 pokusům o login ročně.
Dark web
Přístup do kompromitované sítě za $200–5 000. Ransomware kit za $40 měsíčně. V lednu 2024 uniklo 26 miliard credentials v jednom leaku. Útočník si koupí přístup, nasadí ransomware, zašifruje data — a pošle fakturu.
AI
AI analyzuje zdrojový kód, JS bundly a API dokumentaci. Najde klíče, endpointy a zranitelnosti rychleji než člověk. LLM vygeneruje exploit kód na míru — útočník nemusí být expert. Co dřív vyžadovalo specialistu a hodiny práce, dneska automatizovaný systém zvládne za minuty.
Tohle běží 24/7. Automaticky. Na celý internet.
Imperva 2024, Mandiant 2024, Palo Alto Unit 42, Wordfence 2024, Sucuri 2024
SwarmTEX
AI systém pro komplexní testování webových technologií (webové aplikace, webové stránky atd.). Najde zranitelnosti, ověří je a řekne jak je opravit. Součást mého vývojového procesu — každý projekt co postavím projde bezpečnostním testem před předáním klientovi.
0/11
testů — 100 % úspěšnost
OWASP
Top 10 + API Top 10 pokrytí
0+
znalostí z PortSwigger labs
0
specializovaných playbooků
OWASP Top 10 + API Top 10 + GDPR pokrytí. Knowledge base roste s každým testem.
Přizpůsobí se aplikaci
Jiná strategie pro každý testovaný systém. Nejdřív pochopí co testuje a podle toho zvolí přístup. Hledá řetězy — kombinace nálezů co zvyšují dopad.
Dokazuje každý nález
Každý nález má přesný HTTP požadavek a odpověď serveru. Žádné "potenciální zranitelnost" — konkrétní důkaz co je ověřitelný.
Učí se
Znalostní báze roste s každým testem. Zapisuje co fungovalo, co ne, jak každá platforma reaguje. Příští test je rychlejší a přesnější.
Dva režimy — zvlášť nebo společně
Společně — analýza → testování
Oba režimy fungují samostatně. Ale nejsilnější jsou společně. Analýza najde potenciální problémy. Testování ověří jestli se dají reálně zneužít.
Analýza řekne "chybí rate limiting na přihlášení." Testování ověří "1000 pokusů za minutu projde bez blokace."
Analýza najde veřejnou API dokumentaci. Testování přes ni objeví skryté parametry a ověří eskalaci oprávnění.
Analýza řekne "cookie nemá Secure flag." Testování ověří že session token je zachytitelný na nešifrovaném spojení.
Dvě fáze, jeden systém. Analýza říká co může být špatně. Testování dokazuje co špatně je.
Jak to funguje
Analýza — Systém prozkoumá aplikaci, zjistí technologie a rozhodne strategii
Průzkum — Zmapování celého systému — stránky, formuláře, API, konfigurace
Plánování — Na základě průzkumu se vytvoří prioritizovaný plán testování
Testování — SwarmTEX posílá požadavky specializovaným LLM modelům, které testují vše podle plánu a sdílejí nálezy v reálném čase
Ověření — Kritické nálezy ověří nezávislý LLM model — vyloučí falešné poplachy
Report — Profesionální zpráva s prioritami a konkrétními opravami
Reálný případ — jak jeden požadavek ovládne celou platformu
Bezpečnostní test webové aplikace. Platforma pro správu firem — přihlášení, profily, pracovní pozice. Test v kontrolovaném prostředí se souhlasem vlastníka.
01Přihlášení
Přihlásíme se jako běžný uživatel. Demo účet, žádné speciální oprávnění. V URL vidíme /edit_profile/1 — naše ID je 1.
02Co když změníme číslo?
Zkusíme profil uživatele 2. Server by měl říct "nemáte oprávnění."
GET endpoint kontroluje oprávnění. Ale co POST?
03POST na cizí profil
Server zkontroloval oprávnění na čtení ale ne na zápis. Můžeme měnit profil kohokoliv.
04Skrytý parametr
V HTML kódu formuláře je pole is_admin s atributem disabled. V prohlížeči na něj nejde kliknout. Ale disabled je vizuální — server parametr přijme:
05Řetěz
Kombinujeme obě chyby. Jeden požadavek:
Opakujeme pro každý účet. Celá platforma pod kontrolou.
Dvě středně závažné chyby. Dohromady: CVSS 9.8 z 10. Čas: 4 minuty.
Oprava: dvě řádky kódu. Zkontrolovat že přihlášený uživatel smí editovat daný profil. Odstranit is_admin z formuláře.
Co SwarmTEX na téhle aplikaci identifikoval za 15 minut
| Závažnost | Počet |
|---|---|
| Kritická (9.0+) | 3 |
| Vysoká (7.0–8.9) | 2 |
| Střední (4.0–6.9) | 8 |
| Nízká (0.1–3.9) | 5 |
| Informační | 3 |
| Celkem | 21 nálezů, 0 false positives |
Kritické nálezy
∙Přístup k cizím profilům přes změnu ID (IDOR)
∙Eskalace na administrátora přes skrytý parametr (Mass Assignment)
∙Řetěz obou chyb — kompletní převzetí platformy (CVSS 9.8)
Vysoké nálezy
∙Neomezené pokusy o přihlášení — žádný rate limit, žádné CAPTCHA
∙Chybějící odhlášení — JWT tokeny nelze zrušit, uživatel se nemůže bránit
Střední nálezy (výběr z 8)
∙Chybějící Content-Security-Policy — prohlížeč nemá instrukce jak web chránit
∙Veřejná API dokumentace (/docs, /openapi.json) — odhaluje skryté parametry
∙Chybějící CSRF ochrana — útočník může provést akci jménem přihlášeného uživatele
∙Cookie bez Secure flagu — session token čitelný na nešifrovaném spojení
∙Verbose chybové zprávy — interní struktura aplikace prozrazena v odpovědích
Co systém ověřil že funguje správně
Stejně důležité jako nálezy — systém nejen hledá problémy ale ověřuje i ochrany:
✓SQL injection — otestováno 30+ payloadů, parameterized queries všechno zablokují
✓XSS — autoescaping správně enkóduje uživatelský vstup
✓Path traversal — typová validace blokuje neplatné vstupy
✓JWT podvržení — tokeny nelze falšovat, signature validation funguje
✓CORS — cross-origin requesty správně blokované
| Doba testu | 15 minut |
| Požadavků | ~200 |
| False positives | 0 |
| Maximální zátěž | 5 požadavků/sekundu |
| Prostředí | kontrolované, se souhlasem vlastníka |
| Data stažena | žádná — pouze ověření přístupu |
Anonymizované nálezy z reálných bezpečnostních testů provedených systémem SwarmTEX.
Jak se systém zlepšuje
SwarmTEX je průběžně otestovaný na bezpečnostních benchmarcích — izolované kontejnery s aplikacemi co mají známé zranitelnosti. Každý test rozšiřuje knowledge base a zpřesňuje strategii.
CVE Bench — University of Illinois
Akademický benchmark — 40 aplikací s reálnými zranitelnostmi z databáze CVE. Systém dostane aplikaci bez jakýchkoliv nápověd a musí najít a zneužít zranitelnost sám.
XBOW Validation Benchmark
Bezpečnostní výzvy s reálnými zranitelnostmi odstupňované podle obtížnosti. Testuje schopnost systému najít a zneužít zranitelnosti různé složitosti.
PortSwigger Web Security Academy
Vzdělávací platforma od tvůrců Burp Suite — nejpoužívanějšího nástroje pro bezpečnostní testování. Labs od základních po expert-level pokrývající všechny kategorie webových zranitelností.
Testování pokračuje. Výsledky a metodika budou publikovány na GitHubu.
Dokumentace na GitHubuCo si můžete zkontrolovat sami
5 minut a víte kde jste.
Security headers — zadejte doménu na securityheaders.com. Červená políčka = chybí základní ochrana.
SSL konfigurace — ssllabs.com/ssltest. Cokoliv pod A znamená prostor ke zlepšení.
Souhlas s cookies — otevřete web v anonymním okně. Načítá se Google Analytics nebo Facebook Pixel ještě než kliknete "souhlasím"? Problém s GDPR.
Dvoufaktorové ověření — zapněte ho všude. Jediná věc co zastaví útočníka i s vaším heslem.
Aktualizace — WordPress pluginy, CMS verze, závislosti. Většina útoků míří na známé zranitelnosti ve starých verzích.
Otevřené API — zkuste /docs, /swagger, /openapi.json na vaší aplikaci. Pokud vidíte dokumentaci bez přihlášení — útočník ji vidí taky.
Chcete kompletní prověření?
Pošlete mi URL — zdarma a bez závazků dostanete do 24 hodin přehledný report s konkrétními problémy a jak je opravit. Sami, s vaším vývojářem, nebo se mnou.
Časté otázky
Potřebuji souhlas na bezpečnostní analýzu?+
Ne. Analýza je pasivní — systém se podívá na web stejně jako kdokoliv s prohlížečem. Nic se neposílá, nic se netestuje. Souhlas vyžaduje pouze aktivní testování.
Může testování rozbít můj web?+
Ne. Maximálně 5 požadavků za sekundu, bezpečné payloady, žádné destruktivní příkazy. Systém ověřuje že zranitelnost existuje — nerozbíjí systém. Testování je možné kdykoliv zastavit.
Jak dlouho to trvá?+
Bezpečnostní analýza: do 24 hodin. Aktivní testování: záleží na rozsahu — jednoduchá aplikace 15–30 minut, komplexní systém hodiny.
Co dostanu?+
Report s každým nálezem — závažnost, důkaz, dopad a konkrétní oprava. Řazeno podle priority. Včetně toho co aplikace dělá správně — ne jen seznam problémů.
Testujete na produkci nebo staging?+
Ideálně na staging prostředí co zrcadlí produkci. Pokud staging není k dispozici, testujeme na produkci s jasně definovanými pravidly a limity.
Stahujete naše data?+
Ne. Systém pouze ověří že přístup je možný. Žádná data nejsou stažena, zkopírována ani uložena. V reportu jsou všechny citlivé údaje anonymizované.
Je to legální?+
Ano. NÚKIB definuje bezpečnostní testování jako legální pokus o průnik na základě podepsané smlouvy. Každý aktivní test začíná písemným souhlasem vlastníka systému.
Co když najdete něco kritického?+
Dozvíte se to okamžitě. Kritické nálezy hlásím hned jak je potvrdím — nečekám na dokončení celého testu.
Používáte to i na vlastních projektech?+
Ano. Každý web a aplikace co postavím projde bezpečnostním testem před předáním klientovi. Stejný systém, stejné standardy, stejná hloubka.
Testujete i mobilní aplikace?+
Systém testuje všechno co běží přes webový prohlížeč — webové stránky, webové aplikace, backendové služby. Nativní mobilní aplikace pro iOS a Android ne.
Kolik to stojí?+
Bezpečnostní analýza z URL — zdarma. Aktivní testování — záleží na rozsahu, domluvíme se po úvodní konzultaci.
Máte projekt co potřebuje zabezpečit?
Napište mi. Projdeme co potřebujete a domluvíme se na dalším postupu.