Hazatértek Kuvaitból a magyar cyberkatonák

Sikeres két hónapos bevetést tudhat maga mögött a magyar Kürt zRt. legális hacker csapata, akik a 42 millió ügyféllel bíró, 6 milliárd dolláros árbevételű Zain telekommunikációs csoport kuvaiti leányvállalatának IT biztonsági átvilágítását végezték el. Az arab vezetőknek leesett az álla, miután négy másik cég auditját követően a cég szakemberei számos durva lyukat találtak a hackelés során.

A legális hackelésről nemrégiben írtunk, igaz akkor olyan kontextusban, hogy a hazai cégek hogyan készíthetik fel saját IT gárdájukat az esetleges támadásokra. Ennél jóval komolyabb szintet jelent az, mikor egy arra alkalmas cég a cyber támadások teljes arzenálját felvonultatva stressz-tesztnek teszi ki a megrendelő cég teljes IT infrastruktúráját. A legtöbb cég az ilyen feladatokra "gépi" megoldásokat használ, melyek ugyan végigmérik az alapvető hiányosságokat, de képtelenek rugalmasan alkalmazkodni az adott környezethez. Ráadásul ezen a területen nincs sima ügyfél, nincs egyszerű probléma, nem jó a dobozos termék, nem lehet univerzális megoldásokban gondolkodni.


Kuvait, we have a problem. Melyikkel kezdjük?
A Kürt talán ezért is érzi még jobban az egyetemekről kitóduló IT szakembereken a hazai felsőoktatás gyenge teljesítményét, hiszen nekik olyan emberek kellenek, akik képesek komplexen gondolkodni, problémákat észrevenni, feltárni és megoldani. Az arab világban eddig adatmentés témában tudtak felmutatni referenciát, az IT biztonság vonalon viszont "noname", ismeretlen cégként vágtak neki a Zain projektnek. Ebben a térségben a referencia viszont kritikusan fontos, ezért választották azt az utat, hogy egy ottani befektetővel közösen létrehoznak egy irodát, akik adják a kapcsolatokat és az embereket, míg a magyar központ küldi a tudásbázist és a vezető szakértőt. A százezer dolláros nagyságrendű projekt sikeréhez ennél viszont többre volt szükség.

A legelső fal, amibe ütközhet egy európai cég, az a kulturális sajátosság, amit az arab világban tapasztal. Egyrészt az arab vezetők csak azt hiszik el, amit látnak, őket nem érdeklik a becslések, felmérések, jóslatok. Meg tudod mutatni vagy nem? Másrészt a cégmodellek is merőben különböznek a nyugati vállalatoktól: csak piramisrendszerben tudnak elképzelni hierarchiát, a középvezetői szinttől felfelé pedig már mindenki szent és sérthetetlen minden döntésében. Ez azon túl, hogy önmagában is biztonsági kockázat, megnehezíti egy legális hacker csapat feladatát is, hiszen a feltárt hibákat azzal számolva kell tálalni, hogy ami kiderül, az több fontos ember székét is megingathatja.


Itt már mindenki boldog
A megrendelésre történt mesterséges cyber háború decemberben kezdődött és két hónapot vett igénybe. A Zain eredendően nem várt túl sok eredményt, hiszen korábban több piacvezető cég is végzett felméréseket náluk. A munka elsőként Magyarországról indult, ahonnan többnyire a behatolás tesztek történtek, majd a csapat egy része kiutazott Kuvaitba, ahol a social engineering (emberi tényezők vizsgálata) vizsgálatok mellett a teljes rendszert átnézték kívülről-belülről, illetve a távolról sikeres támadásokat helyben is ellenőrizték.

A hacker csapat egy ilyen küldetésen pontosan ugyanazt csinálja, mint a rosszindulatú támadók élesben. A jó hivatásos hacker amellett, hogy ismeri a jogi- és etikai következményeket, be is tartja azokat, hiszen az ő célja a cég védelme és nem kizsebelése. Ismer minden behatolási módszertant, friss tudással rendelkezik a legújabb eszközökről, rendszerekről, technológiákról és ha teheti, mindig egy lépéssel a fekete kalaposok előtt jár. A Kürt-ös munkatársaknak annyira jól ment a vadászat, hogy "véletlenül" sikerült nekik a külső webszervereket teljesen leállítani, de a többi feltárt hiba ismertetésébe is belepirult a cég egyik-másik vezetője.

A konkrét hibák és rések ismertetése sajnos túlmenne az üzleti titok határán, de annyi kiderült, hogy a vállalat szakemberei kitartó munkával szép lassan átvették az irányítást a cég több ezer eszközös rendszere felett, hozzáférve szinte bármilyen dokumentumhoz, amit a cég féltve őriz. A megrendelők fejében ilyenkor felvetődhet a kérdés, hogy ugyan tényleg be lehet jönni, de ha eddig nem jött senki, akkor most vajon miért történne meg? Erre a válasz: Van autód? Van benne légzsák? Mikor használtad utoljára?


Ali, te tényleg ráklikkeltél arra a phishing linkre?
Ugyanis tökéletes rendszer nincs. Legfőképp azért nem, mert mindegyik hálózatnak a végpontjain buta emberek ülnek, akiket könnyen meg lehet szívatni bármivel. Ezt hívják social engineeringnek, melynek során egy egyszerű telefonhívással ki lehet szedni komoly jelszavakat a céges hálózathoz. A Kürt tapasztalatai szerint 10 jelszószerző teszthívásból 6 sikeres volt, ami elég komoly arány. És ekkor még nem is beszéltünk a phishing akciókról, aminek során egy valamirevaló hacker képes küldeni a valóságossal teljesen megegyező mailt, amire a céges alkalmazott automatikusan válaszol és küldi a kért adatokat. Anélkül hogy tudná, éppen kirabolja a cégét.

A legális hackerek így többnyire rossz híreket közölnek a megrendelővel. Szinte elhanyagolható az esély arra, hogy makulátlan rendszert találjanak. Épp ezért nem is szokták szeretni őket túlzottan. A Kürt munkatársait is többször szívesen megverték volna, pedig csak azt csinálták, amit kértek tőlük. Egy korábbi megrendelésükkor még orákulumként jósoltak is, ami az IT-ban többnyire kamu, ezért az illető magyarországi nagyvállalat nem is vette komolyan. A jóslat az volt, hogy két hónap múlva össze fog omlani a rendszerük nagy része. És két hónap múlva megtörtént. Valószínűleg az IT vezető arcáról lefagyott a mosoly.

Az ilyen történetek után viszont az illető cég bizonyára komolyan veszi majd a biztonsági tanácsokat, sőt ezek után egyértelmű, hogy nem engedik el a céget, hanem visszavárják. A történet többnyire nem fejeződik be a vizsgálatot követő prezentációval, hanem folyamatos tanácsadás, konzultációk és workshopok mellett állandó felügyeletet is tudnak biztosítani. A korrektség persze megkívánja, hogy a lyukakat feltáró cég ne legyen azonos azzal, aki azt befoltozza, ezért ezt a munkát nem ők végzik. A foltozás után viszont ismét egy újabb próba következhet. Amiről többnyire kevés szó esik, hogy a felkészült legális hackerek képesek egy már megtörtént behatolás utáni nyomozást is elvégezni, kiderítve azt, hogy ki, mikor és mihez fért hozzá, milyen kárt okozott és hogyan csinálta. Tiszta sci-fi.

A magyar siker mindenképp büszkeségre, elismerésre ad okot, hisz egy a miénktől teljesen különböző kultúrában tudtak meggyőző eredményeket felmutatni, ráadásul nem egy elmaradott vidékről van szó, ahol az olcsó "keleti" (nekik északi) informatikusokat keresve leltek magyarokat. Egy ilyen siker után a Kürtöt és a hasonló minőségre képes egyéb magyar cégeket valószínűleg kézen fogva vezetik majd körbe a sejkek egymáshoz.