Hivatásos magyar hackerek – világszínvonalon

Ma délelőtt tartott sajtótájékoztatót a világszerte elismert Kürt. Magyarország egyik legsikeresebb exporttermékét, az informatikai biztonsági tudást az elmúlt egy-két évben hivatásos hackeléssel egészítette ki a vállalat, amely így komplett megoldást kínál a megbízók számára: teljes átvilágítást nyújt Biztonsági Intelligencia szolgáltatása révén. Magas szinten képzett szakembereikkel hackertámadásokat, social engineering technikákat alkalmaznak a segítségüket igénybe vevő cégek esetében – minden olyan tevékenységet bevetnek, amit a fekete kalapos hackerek is. Azzal a különbséggel, hogy az így szerzet információt sem harmadik félnek nem adják át, sem saját célra nem fordítják – a Kürt segít biztonságosabbá tenni az informatikai rendszereket.

Nemrég nagy sikerként könyvelhették el a világ egyik legnagyobb telekommunikációs cégének, a Zain Csoport kuvaiti leányvállalatának az átvilágítását. Amint az a sajtótájékoztatón elhangzott a Kürt 2007 őszén a világ legnagyobb „big 4” vállalataival, valamint szaúdi és belga biztonsági szakértő cégekkel vette fel a versenyt, és elnyerte a 42 millió ügyfelet kiszolgáló, 6 milliárd dolláros árbevételű Zain helyi részlegének információbiztonsági átvilágításáról szóló megbízást. Ez volt a közel-keleti mobil telekommunikációs cég életének eddigi legnagyobb és legbonyolultabb IT biztonsági projektje. Kmetty József vezérigazgató elmondta, hogy előttük már négy másik, hasonló, de közel sem annyira teljes felderítésen esett át a cég, így az arab megbízók nem vártak különösebb megváltást a Kürttől sem.

A magyar cég alapos vizsgálata azonban olyan hiányosságokra derített fényt, amelyek korábban nem merültek fel. A szigorú hierarchiáról ismert világban azonban sikerült elérniük a magyar szakembereknek, hogy még a céget piramis-jellegű szervezeti egységét is sikerült a biztonság szempontjából hatékonyabb mátrixos elrendezéshez igazítani. Ez azt jelentette, hogy a két hónapos audit, behatolási kísérletek és felmérések után olyan történt, ami az arab térségben szinte elképzelhetetlen: egy asztalhoz ült le a Zain leányvállalatának helyi igazgatója és a jóval alacsonyabb beosztásban levő alkalmazott szakember.

Mi történt ezalatt a két hónap alatt? A hazai szakemberek először Magyarországról dolgoztak a cégóriás kuvaiti leányvállalatának, majd Kuvaitban folytatták a legális hackelést, a humán hackelést, valamint a szabványi megfelelőség felülvizsgálatát. Feltárták a Zain rendszerében felmerülő biztonsági réseket és valós, azonnali „sérülékenységi elhárítást” végeztek. Ezt követően megoldási akciótervet készítettek a biztonsági hiányosságok kiküszöbölésére, ezzel még átláthatóbbá vált a szakértők számára az IT- rendszer, és biztonságosabb adatkezelést sikerült megvalósítani.

„Hatalmas siker, amit Kuvaitban elértünk, hiszen a megbízónk évek óta komoly költségvetéssel és jól képzett szakemberekkel igyekszik biztonságát a lehető legmagasabb szinten tartani. A tudásunk élő bizonyítéka, hogy a legnagyobb nemzetközi versenytársaink kitartó munkával felépített rendszerei felett viszonylag rövid idő alatt teljesen át tudtuk venni az irányítást és a feltárt biztonsági réseket megszüntettük.” – mondta Zsilinszky Sándor, a KÜRT Információmenedzsment Megoldások üzletág vezetője.

Kürt Biztonsági Intelligencia csomag
A legális hackelés esetében a szakemberek éles, az „alvilági” hackerek által használt módszerekkel támadják meg az ügyfelek rendszereit, először az Internet felől, majd a vállalaton belülről. A biztonsági problémák megszüntetésére vagy mérséklésére azonnali akciótervet készítenek.
A logelemzés szolgáltatói egyfajta őrszemként felügyelik a vállalati rendszert. Ezzel a tevékenységgel előre jelezhetővé válnak a vállalatot fenyegető rendszer-összeomlások, a betörési kísérletek, de figyelmeztet a Kürt csapata abban az esetben is, ha az informatikai (pl. vállalatirányítási vagy ügyfélszolgálati) rendszerek nem állnak a felhasználók rendelkezésére az üzlet által elvárt időtartamban.
A biztonsági tudatosítás a humán hackerek elleni védelem legfontosabb eszköze. Ma már olyan fejlett eszközöket használnak a rosszindulatú phising (adathalászat) vagy éppen social engineering támadások megalkotói, amelyek elől csak a legfelkészültebb vállalati felhasználók tudnak kitérni.
A Kürt nyomozati tevékenységét abban az esetben veszik igénybe az ügyfelek, amennyiben egy visszaélés körülményeit, elkövetőjének kilétét és az elkövetés módját kívánják feltárni.