Dojcsák Dániel

Hazatértek Kuvaitból a magyar cyberkatonák

Sikeres két hónapos bevetést tudhat maga mögött a magyar Kürt zRt. legális hacker csapata, akik a 42 millió ügyféllel bíró, 6 milliárd dolláros árbevételű Zain telekommunikációs csoport kuvaiti leányvállalatának IT biztonsági átvilágítását végezték el. Az arab vezetőknek leesett az álla, miután négy másik cég auditját követően a cég szakemberei számos durva lyukat találtak a hackelés során.

A legális hackelésről nemrégiben írtunk, igaz akkor olyan kontextusban, hogy a hazai cégek hogyan készíthetik fel saját IT gárdájukat az esetleges támadásokra. Ennél jóval komolyabb szintet jelent az, mikor egy arra alkalmas cég a cyber támadások teljes arzenálját felvonultatva stressz-tesztnek teszi ki a megrendelő cég teljes IT infrastruktúráját. A legtöbb cég az ilyen feladatokra "gépi" megoldásokat használ, melyek ugyan végigmérik az alapvető hiányosságokat, de képtelenek rugalmasan alkalmazkodni az adott környezethez. Ráadásul ezen a területen nincs sima ügyfél, nincs egyszerű probléma, nem jó a dobozos termék, nem lehet univerzális megoldásokban gondolkodni.


Kuvait, we have a problem. Melyikkel kezdjük?

A Kürt talán ezért is érzi még jobban az egyetemekről kitóduló IT szakembereken a hazai felsőoktatás gyenge teljesítményét, hiszen nekik olyan emberek kellenek, akik képesek komplexen gondolkodni, problémákat észrevenni, feltárni és megoldani. Az arab világban eddig adatmentés témában tudtak felmutatni referenciát, az IT biztonság vonalon viszont "noname", ismeretlen cégként vágtak neki a Zain projektnek. Ebben a térségben a referencia viszont kritikusan fontos, ezért választották azt az utat, hogy egy ottani befektetővel közösen létrehoznak egy irodát, akik adják a kapcsolatokat és az embereket, míg a magyar központ küldi a tudásbázist és a vezető szakértőt. A százezer dolláros nagyságrendű projekt sikeréhez ennél viszont többre volt szükség.

A legelső fal, amibe ütközhet egy európai cég, az a kulturális sajátosság, amit az arab világban tapasztal. Egyrészt az arab vezetők csak azt hiszik el, amit látnak, őket nem érdeklik a becslések, felmérések, jóslatok. Meg tudod mutatni vagy nem? Másrészt a cégmodellek is merőben különböznek a nyugati vállalatoktól: csak piramisrendszerben tudnak elképzelni hierarchiát, a középvezetői szinttől felfelé pedig már mindenki szent és sérthetetlen minden döntésében. Ez azon túl, hogy önmagában is biztonsági kockázat, megnehezíti egy legális hacker csapat feladatát is, hiszen a feltárt hibákat azzal számolva kell tálalni, hogy ami kiderül, az több fontos ember székét is megingathatja.


Itt már mindenki boldog

A megrendelésre történt mesterséges cyber háború decemberben kezdődött és két hónapot vett igénybe. A Zain eredendően nem várt túl sok eredményt, hiszen korábban több piacvezető cég is végzett felméréseket náluk. A munka elsőként Magyarországról indult, ahonnan többnyire a behatolás tesztek történtek, majd a csapat egy része kiutazott Kuvaitba, ahol a social engineering (emberi tényezők vizsgálata) vizsgálatok mellett a teljes rendszert átnézték kívülről-belülről, illetve a távolról sikeres támadásokat helyben is ellenőrizték.

A hacker csapat egy ilyen küldetésen pontosan ugyanazt csinálja, mint a rosszindulatú támadók élesben. A jó hivatásos hacker amellett, hogy ismeri a jogi- és etikai következményeket, be is tartja azokat, hiszen az ő célja a cég védelme és nem kizsebelése. Ismer minden behatolási módszertant, friss tudással rendelkezik a legújabb eszközökről, rendszerekről, technológiákról és ha teheti, mindig egy lépéssel a fekete kalaposok előtt jár. A Kürt-ös munkatársaknak annyira jól ment a vadászat, hogy "véletlenül" sikerült nekik a külső webszervereket teljesen leállítani, de a többi feltárt hiba ismertetésébe is belepirult a cég egyik-másik vezetője.

A konkrét hibák és rések ismertetése sajnos túlmenne az üzleti titok határán, de annyi kiderült, hogy a vállalat szakemberei kitartó munkával szép lassan átvették az irányítást a cég több ezer eszközös rendszere felett, hozzáférve szinte bármilyen dokumentumhoz, amit a cég féltve őriz. A megrendelők fejében ilyenkor felvetődhet a kérdés, hogy ugyan tényleg be lehet jönni, de ha eddig nem jött senki, akkor most vajon miért történne meg? Erre a válasz: Van autód? Van benne légzsák? Mikor használtad utoljára?


Ali, te tényleg ráklikkeltél arra a phishing linkre?

Ugyanis tökéletes rendszer nincs. Legfőképp azért nem, mert mindegyik hálózatnak a végpontjain buta emberek ülnek, akiket könnyen meg lehet szívatni bármivel. Ezt hívják social engineeringnek, melynek során egy egyszerű telefonhívással ki lehet szedni komoly jelszavakat a céges hálózathoz. A Kürt tapasztalatai szerint 10 jelszószerző teszthívásból 6 sikeres volt, ami elég komoly arány. És ekkor még nem is beszéltünk a phishing akciókról, aminek során egy valamirevaló hacker képes küldeni a valóságossal teljesen megegyező mailt, amire a céges alkalmazott automatikusan válaszol és küldi a kért adatokat. Anélkül hogy tudná, éppen kirabolja a cégét.

A legális hackerek így többnyire rossz híreket közölnek a megrendelővel. Szinte elhanyagolható az esély arra, hogy makulátlan rendszert találjanak. Épp ezért nem is szokták szeretni őket túlzottan. A Kürt munkatársait is többször szívesen megverték volna, pedig csak azt csinálták, amit kértek tőlük. Egy korábbi megrendelésükkor még orákulumként jósoltak is, ami az IT-ban többnyire kamu, ezért az illető magyarországi nagyvállalat nem is vette komolyan. A jóslat az volt, hogy két hónap múlva össze fog omlani a rendszerük nagy része. És két hónap múlva megtörtént. Valószínűleg az IT vezető arcáról lefagyott a mosoly.

Az ilyen történetek után viszont az illető cég bizonyára komolyan veszi majd a biztonsági tanácsokat, sőt ezek után egyértelmű, hogy nem engedik el a céget, hanem visszavárják. A történet többnyire nem fejeződik be a vizsgálatot követő prezentációval, hanem folyamatos tanácsadás, konzultációk és workshopok mellett állandó felügyeletet is tudnak biztosítani. A korrektség persze megkívánja, hogy a lyukakat feltáró cég ne legyen azonos azzal, aki azt befoltozza, ezért ezt a munkát nem ők végzik. A foltozás után viszont ismét egy újabb próba következhet. Amiről többnyire kevés szó esik, hogy a felkészült legális hackerek képesek egy már megtörtént behatolás utáni nyomozást is elvégezni, kiderítve azt, hogy ki, mikor és mihez fért hozzá, milyen kárt okozott és hogyan csinálta. Tiszta sci-fi.

A magyar siker mindenképp büszkeségre, elismerésre ad okot, hisz egy a miénktől teljesen különböző kultúrában tudtak meggyőző eredményeket felmutatni, ráadásul nem egy elmaradott vidékről van szó, ahol az olcsó "keleti" (nekik északi) informatikusokat keresve leltek magyarokat. Egy ilyen siker után a Kürtöt és a hasonló minőségre képes egyéb magyar cégeket valószínűleg kézen fogva vezetik majd körbe a sejkek egymáshoz.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Mcsiv #42
    Részben neked is igazad van, de be kell látnod, hogy ha közgázt tanulsz, rengeteg olyan mellékterület jöhet be leendő munkád során, ahol a kriminalisztika, illetve a többi szar nem mindig, de néha néha visszaköszönhet. Ezek azok a szükséges rosszak, mint középiskolában a pitagoras tétel, vagy a sinus cosinus dolgok bemagolása. Nem valószínü hogy sűrün fogod használni, de ha kell, akkor bizony csúnyán kifog húzni a szarbol, már csak akkor is, ha nem konkrétan annak a felhasználását nézed, hanem valaminek az elvén indulsz el, hozzá segít, hogy egy adott területbe is legyen betekintésed.
  • zseko #41
    Én szerintem gond van a magyar oktatással. Azokkal értek egyet, akik azt mondják, hogy sok felesleges dolgot tanítanak az iskolákon.

    Azt írtad:
    "Mindenki arrol ír, hogy mindennel foglalkoznak, mindenbe betekintést kapnak, de semmilyen mélyebb tudást nem kapnak egy területről. Szerintem ez így tökéletes, egy adott szakterület megtanulása, elsajátítása hosszú-hosszú évek, aktívan csak az adott szakterület gyakorlása, tanulása. 4 egyetemi év alatt kapsz egy olyan tudásanyagot, amivel el tudsz indulni valamelyik szakirány felé és nemtöbb, nem is kell több ennél. Aki valamilyen területtel akar foglalkozni, az az alapokat megkapja, láthatja hogy merre induljon el, onnantol már a saját szorgalmán múlik, hogy mennyire mélyed el az adott területben."

    Részben egyetértek veled, de: én azt gondolom, hogy választottam egy szakirányt, ami érdekelne, ennek ellenére rengeteg olyan dolgot akarnak megtaníttatni velem, ami amellett hogy nem is érdekel, még csak nem is látom hogy köze lenne a választott szakirányhoz. Pl, én közgázt tanulok, miért is jó nekem kriminalisztikát tanulni? Vagy a számítógépvírusok, esetleg digitális képfeldolgozás még, ami tantárgyam van. Jó-jó, lehet mondani, hogy alapműveltség, megy egyéb zöldségek, de azt már elviekben meg kellett kapjam a középsuliban, így joggal várnám, hogy a választott szakmámhoz kapcsolódó anyagokat tanuljam. Így elvesznek tőlem több évet, amiért cserébe szinte semmit nem kapok, mert én azt az alapot amit adnak, nem nevezném igazi alapnak, csak egy felszínes dolognak. te is írod, hogy :

    "de nem egyszer láttam már olyat, hogy az egyetemről frissen kikerült informatikusok sz@rhoz sem értettek."

    Ilyen oktatás mellett nem is csodálom. Ha kevesebb lenne a "mellékzönge", és több az adott szakhoz kapcsolódó tényleges tantárgyi oktatás, úgy vélem nem alakulna ki ilyen helyzet.

    (nem a nézeted ellen szól, csak erre tudtam a legjobban válaszolni)
  • NessieGraf #40
    Az összeomlás jóslat hitelessége: Azért a Kürt nem mai név a piacon. És nem kis tudás van mögöttük. Már megcsináltak olyan dolgokat, amiről mindenki azt mondta: lehetetlen. Nem hackelés téma.

    Az oktatás színvonala? Hát vonala az van... Viszont szívesen állítanám megoldandó feladatok elé az elméleti és gyakorlati IT oktatással foglalkozókat. Szerintem töredékük menne át. És olyantól aki a seggével tanult nem lehet annál többet megtanulni.

    Életem rémálma volt egy számítógép és szoftver használatról szóló verseny. Az én dolgom volt felügyelni a diákokat, egyikként. Egyszeri megbízás lett. Egy órás időtartamra szólt végül.

    Mert a felkészítő tanárok egyike azt találta mondani: "Milyen ügyesek! Olyan programmal kell dolgozniuk, amit meg se mutattam nekik!" Ez történetesen a versenykiírás egyik alap programja volt. Az asztalt időben kivették a kezemből.

    A versenyt kiíró illetékes arra a javaslatomra: Olyan tanár nevezhessen csak csapatot, aki a feladatot meg tudja oldani maga is, az volt a válasz: "Nem kell tovább foglalkoznod a versenyekkel. Dolgozz tovább nyugodtan."

    Ez engem nem nyugtat meg még ma sem, pedig már majd 10 év volt. Ugyanúgy nem, mint az, hogy az alapvető oktatás a szövegszerkesztés, táblázatkezelés szinten kezdődik. És azért használ az ország MS Office programokat, mert a tanárok nem hajlandók más program menüjét végigolvasni. Ez a mai gazdasági helyzetben megengedhetetlen. Nem beszélve arról, hogy a helyettesítő nyílt forráskódú változat klasszisokkal többet tud.

    És ez csak a legalapvetőbb lépés... Akkor várhatunk egyáltalán bármit is?
  • kecskeszeme #39
    Helyesen: "Zrt."
  • Mcsiv #38
    nah igen, szóval módosítsuk az előző mondókát arra hogy:
    "Az a jó programozó, akit nem kell megtanítani programozni, hanem magátol is tud"
  • assdf #37
    A dolog ennél azért összetetteb. Nézünk csak néhány példát az informatikai képzés világából:

    -vannak olyan diákok akiknek van érzésük a programozáshoz de viszont lusták tanulni igy a többi tárgyat letojják, a tanárokat is és ennek a maguk feje után. A tévhit ellenére belölük nem biztos hogy jó programozó lesz (és szivnak is majd a cégek rendesen velük), mivel lehet hogy jobban programoznak mint a többiek, de mivel alapvetően nem türnek rendszabályozást igy olyan gány kódot is irhatnak hogy képtelenség lesz kibogozni hogy mit is akart (ettől függetlenül müködhet a kódjuk) a bugokról már nem beszélve... nem leányálom
    -vannak olyanok akik beseggelik az anyagot és mindenből 5ösre vizsgáznak, cserébe fogalmuk sincs a dolgok gyakorlati részéről és isten kiméljen meg ezektől a "szakemberektől".
    -És persze megtalálható a két véglet is (persze ők vannak kevesebben), amikor az illető jól is tanul és jól is programozik, illetve akik szarul teljesitenek és programozni sem tudnak

    szóval összegezve hogy egy tanárom idézzem aki egyszer ironizálva tekintett az oktatásra:
    a mai magyar müszaki felsőoktatás elavult felesleges tárgyak tömkelegéből áll minimális életszerü gyakorlati oktatással, de cserébe a diák emberanyag is évről évre gyengébb és selejtesebb...
    (ezt egyébként akkor mondta mikor a főiskolán, másodikban, egy srácnak a táblánál kellet volna integrálnia, és kiderült hogy nem képes papiron egy kétjegyü számot kétjegyü számmal elosztania...)
  • eax #36
    Megerositem.
    (Ez az, amit a HR-esek csak "frissdiplomas-szindroma"-kent emlegetnek ;) ).
  • wender #35
    Mcsiv egyet értek veled.

    A felsőoktatás nagy részére az élni és élni hagyni hozzáállás jellemző. Igazából senki nem akarja bolygatni a viszonyokat.


  • Mcsiv #34
    A. ez hogy jön ide?
    B. Az, hogy a jegyeknek semmi közük (köszönő viszonyban sincsennek) a szakmában alkalmazható tudással.
  • zolis #33
    Bocs, kell kérdeznem néhány dolgot:
    - hány éves vagy?
    - milyen a végzettséged?

    Egyébknt pedig mi a bajod a jó jegyekkel?