Il nuovo servizio si avvale delle competenze nell'ambito dell'ethical hacking sviluppate da BT lavorando per quasi vent'anni a stretto contatto con grandi istituti finanziari statunitensi.
Entro i limiti delle rigide regole di ingaggio, gli hacker "etici" di BT, spiega la società, possono effettuare:
- database dump di decine di migliaia di codici di social security e numeri di carte di credito;
- eseguire il reverse engineering di flussi di dati con crittografia proprietaria;
- generare enormi quantità di carte regalo valide con dettagli di pagamento da altri account di prova;
- creare account di amministratore semplicemente attraverso l'apertura di un'email da parte di un dipendente;
- effettuare un escape dalle sessioni di accesso remoto e ottenere l'accesso alla shell dei sistemi, con la conseguente creazione di tunnel verso la società;
- trasferire fondi tra account di prova non autorizzati o raccogliere i dati completi degli account di tutti gli utenti attaccando le comunicazioni machine-to-machine.
L'obiettivo ultimo di questo modo di operare consiste nell'individuare le vulnerabilità che avrebbero ripercussioni sui principali processi di business di un'azienda e, di conseguenza, sul suo brand e sulla sua reputazione.
ll nuovo ‘Assure Ethical Hacking for Finance' ha l'obiettivo, in sostanza, di consentire a BT di utilizzare i servizi certificati Simulated Targeted Attack and Response (STAR) di CREST (www.crest-approved.org) per aiutare le aziende che offrono servizi finanziari a sviluppare le soluzioni di sicurezza più solide, garantendo la protezione dei dati sensibili dei clienti.
BT, osserva la società, è poi una delle prime al mondo accreditate da CREST per la fornitura dei servizi STAR.
Va osservato che CREST ha sviluppato la certificazione STAR per fornire test della sicurezza informatica personalizzati basati sull'intelligence. STAR, sviluppata in collaborazione con la Banca d'Inghilterra e il governo britannico, include penetration test avanzati e servizi di intelligence per le minacce che consentono di riprodurre in modo più accurato le minacce informatiche agli asset critici.
Ma non è solo questione di perdita economica immediata o differita. Le conseguenze di un attacco riuscito e reso noto possono essere ancor più gravi.
"Oltre alla perdita economica diretta, un attacco informatico serio potrebbe provocare danni irreparabili alla reputazione. Anche se la preoccupazione si concentra per lo più sulle attività bancarie retail, la minaccia è altrettanto importante per le banche di investimento o per il settore wholesale, nel cui ambito le banche forniscono servizi come il cambio valuta e transazioni commerciali su larga scala per i principali clienti corporate. Noi incoraggiamo tutti gli istituti finanziari ad effettuare una rigorosa serie di simulazioni di cyber security, con le quali i consulenti di Ethical Hacking di BT sollecitano fino al limite le loro difese informatiche", ha osservato Mark Hughes, president di BT Security: