Ethical Hacker: Conseils de cybersécurité d'un expert certifié, partie 1

Accueil / Services managés / Ethical Hacker: Conseils de cybersécurité d'un expert certifié, partie 1

Huw Evans a dirigé initiatives de sécurité chez IT Weapons depuis plus de 15 ans. Il est un expert des dernières méthodes de sécurité de l'information, qui incluent des tests d'intrusion et des évaluations de vulnérabilité. En plus de créer le cabinet de conseil en sécurité, Huw est responsable de la sécurité interne chez ITW. Cela comprend les politiques, les procédures, les technologies et la gestion du changement.

Lorsqu'il n'est pas occupé à protéger ses clients et à éliminer les menaces de sécurité, Evans est un acteur amateur. Ce flair artistique fait partie intégrante de ses compétences, en particulier lorsqu'il tente d'anticiper le comportement humain.

Nous nous sommes récemment entretenus avec Huw pour découvrir comment ses décennies d'expérience dans les services de sécurité de l'information lui permettent de pirater les systèmes clients pour trouver et corriger les vulnérabilités.

Q: Qu'est-ce que le piratage éthique et en quoi est-il différent du piratage malveillant?

A: Quand les gens me posent cette question, je dis toujours: «C'est simple: la différence entre un hacker ordinaire et un hacker éthique est que le hacker éthique demande d'abord la permission.» Mais en termes d'outils et de capacités, ils sont à peu près les mêmes.

Q: Existe-t-il différents types de piratage éthique?

A: Je ne sais pas s'il existe différents types de piratage éthique, mais il existe différents exercices de piratage.

Par exemple, il y a le piratage technologique où vous essayez de casser la technologie. Ensuite, il y a des choses telles que l'ingénierie sociale où vous essayez de tromper quelqu'un en lui donnant des informations, comme faire semblant d'être du service informatique et demander un nom d'utilisateur et un mot de passe pour résoudre un problème.

Ensuite, il y a les équipes de sécurité rouges et bleues, qui adoptent des approches très différentes pour protéger les données et les systèmes de l'entreprise.

L'équipe rouge (attaque): Ils commencent par un objectif, qui pourrait être d'entrer dans un système et de voir s'ils peuvent devenir administrateur. L'équipe rouge attaquera une entreprise spécifique et fera de son mieux pour éviter d'être détectée. Ils continueront à parcourir le système jusqu'à ce qu'ils atteignent ce scénario de capture du drapeau et atteignent leur objectif.

L'équipe bleue (protéger): Essentiellement, l'équipe bleue est le centre des opérations de sécurité. Ils examinent les attaques en cours, s'assurant que rien ne passe. L'équipe bleue surveille les systèmes de sécurité pour s'assurer que tout fonctionne correctement et, dans certains cas, elle chasse les menaces et recherche activement les menaces au sein de l'organisation.

Q: Quels sont les principaux avantages d'employer un hacker éthique?

A: Le principal avantage du piratage éthique est d'identifier et de corriger les failles de votre réseau avant qu'un pirate ne puisse compromettre votre organisation. Cette pratique a l'avantage supplémentaire de vous aider à comprendre vos attaquants pour mieux encadrer vos défenses.

Q: Y a-t-il des inconvénients au piratage éthique?

A: Je dirais que l'un des principaux inconvénients est le potentiel d'un faux sentiment de sécurité. Une fois qu'une entreprise a résolu tous les problèmes détectés par un pirate informatique éthique lors des tests de pénétration ou d'autres évaluations de sécurité, elle peut avoir le sentiment que l'entreprise est complètement protégée. Cependant, tout le paysage pourrait changer en un instant, il est donc important de rester vigilant.

Le piratage éthique ressemble beaucoup à une vérification des antécédents. Ce n'est pas parce que la personne n'a pas de casier judiciaire aujourd'hui qu'elle ne volera pas une banque demain. De même, si un hacker éthique ne trouve que quatre problèmes de sécurité, cela ne signifie pas que vous n'aviez que quatre problèmes.

Lorsque vous payez un hacker éthique pour faire quelque chose, il ne passera qu'un certain temps dessus. Si vous avez un budget défini, vous ne paierez que le pirate informatique pour attaquer pendant si longtemps.

Un pirate informatique malveillant n'a pas de délai, il peut donc continuer à se battre. Entrer est la façon dont ils gagnent leur argent, ils passeront donc autant de temps qu'ils en ont besoin s'il y a suffisamment de valeur pour justifier l'effort.

Q: Il y a sûrement des risques pour la sécurité lorsque vous embauchez un hacker éthique?

A: Le plus grand risque est toujours, dans quelle mesure votre hacker éthique est-il éthique? Vous devez savoir qui vous embauchez. Il y a toujours un risque lorsque vous donnez accès à vos systèmes internes, vous devez donc vraiment faire vos devoirs sur le type d'organisation que vous embauchez.

Assurez-vous qu'ils sont correctement contrôlés. Comme l'analogie de la vérification des antécédents, la vérification peut ne pas signifier grand-chose. Néanmoins, vous devez faire quelque chose pour vous assurer que les personnes que vous embauchez sont toujours plus performantes.

Q: Qu'en est-il des implications juridiques?

A: Les actions que nous entreprenons en tant que hackers éthiques sont techniquement illégales. Cependant, comme l'entreprise nous a demandé de les faire avant qu'un pirate malveillant ne le fasse, nous sommes couverts d'un point de vue juridique.

Bien que cela puisse être légal, vous devez toujours vous assurer que les bonnes personnes sont informées du projet. J'ai entendu parler de cas où un pirate informatique a été embauché pour faire un travail, mais la société mère les a fait arrêter.

Dans ce cas, un hacker éthique a été embauché par un gouvernement local pour violer physiquement un bâtiment municipal. Il s'est avéré qu'une société parapluie les a embauchés pour s'introduire par effraction, mais le propriétaire du bâtiment l'a pris personnellement et a fait arrêter les pirates.

Bien qu'ils n'aient jamais été condamnés, ces personnes ne travailleront plus jamais en tant que hackers éthiques. L'accusation suffit pour les empêcher de se faire embaucher.

Q: Comment le piratage éthique a-t-il changé depuis vos débuts?

A: Depuis que j'ai commencé il y a environ 20 ans, tout le paysage a changé. Les hackers éthiques d'aujourd'hui doivent faire bien plus.

Les premiers virus dont je me souvienne étaient des virus au niveau du démarrage, c'est-à-dire qu'ils infectaient l'ordinateur, mais ils n'ont pris effet qu'après le redémarrage de la machine. Mais ces premiers virus étaient faciles à trouver et donc faciles à corriger.

Lorsque j'ai suivi mes cours de piratage éthique, nous avons appris des choses telles que comment intégrer du code malveillant dans un véhicule de livraison tel qu'Elf Bowling (un des premiers jeux vidéo).

Aujourd'hui les attaques sont beaucoup plus complexes - par exemple, les infections au volant. Ici, les cybercriminels infectent les publicités qui s'affichent sur les sites Web. Lorsque vous naviguez sur ce site, l'annonce infecte votre ordinateur - aucun clic n'est requis.

Nous constatons également moins de tentatives d'infection des machines. Au lieu de cela, les pirates veulent accéder aux systèmes d'entreprise. Une fois qu'ils sont entrés, le code malveillant restera là et attendra, attendra et attendra. Pendant ce temps, les pirates découvrent tranquillement tout ce qu'ils peuvent sur l'environnement et proposent un plan d'attaque malveillant qui fera le plus de dégâts.

Q: Pensez-vous que les données sont plus ou moins sécurisées qu'il y a cinq ans?

A: Tous les deux. Les attaquants d'aujourd'hui sont beaucoup plus sophistiqués, mais je pense que les gens comprennent ce qu'il faut pour données sécurisées est meilleur aujourd'hui qu'il ne l'a jamais été.

Il y a une mise en garde: les gens ne protègent pas leurs données personnelles dans la même mesure qu'ils protègent les données professionnelles. De nombreuses personnes sont simplement prêtes à céder leur vie privée à de grandes entreprises sans se demander ce que cela signifie en termes de protection de leur identité et de leurs données personnelles.

Q: Dans cinq ans, quelle sera selon vous la plus grande menace pour la sécurité des données des entreprises?

A: L'informatique quantique est une menace réelle pour de nombreux algorithmes de sécurité que nous utilisons aujourd'hui. Par exemple, nous utilisons actuellement le cryptage AES 256 bits sur les certificats SSL pour sécuriser la majeure partie du trafic qui transite sur Internet. Un ordinateur quantique annulerait complètement ce cryptage.

Disons que quelqu'un a chiffré et stocké une conversation entière. Une fois que l'informatique quantique est devenue courante, quelqu'un pourrait facilement décrypter cette conversation et tous les chemins de données intermédiaires. Il incombe vraiment aux gens de commencer à se pencher sur le chiffrement quantique et de trouver des moyens de l'implémenter. Il est d'une importance vitale au cours des prochaines années de commencer à utiliser des algorithmes de chiffrement à sécurité quantique.

Q: Pour passer à vos expériences personnelles en tant que hacker éthique, de quelles compétences avez-vous besoin pour devenir hacker éthique?

A: La compétence n ° 1 est la curiosité. Quand vous regardez quelque chose, il ne suffit pas de savoir comment cela fonctionne. Les pirates informatiques doivent aller plus loin et demander: «Que se passe-t-il si je fais cela?»

Les hackers éthiques ont également besoin d'une bonne compréhension du fonctionnement de nombreuses technologies différentes. Vous ne pouvez pas être simplement une personne Windows ou une personne Linux. Vous devez comprendre comment fonctionnent les systèmes de fichiers en général, comment l'informatique en général fonctionne, et vous devez savoir pourquoi vous faites cet exercice.

Les pirates les plus efficaces que j'ai vus comprennent le traitement de base et le réseau de base dans leurs moindres détails. Je recommande également fortement d'acquérir des compétences en script, que ce soit Python, C # ou même JavaScript, afin que vous puissiez écrire votre propre code «malveillant».

Pour les équipes rouges et les attaques générales, plus vous comprenez de choses, mieux c'est, mais au minimum, vous avez besoin d'une curiosité naturelle, de compétences en script et d'une connaissance pratique de nombreux outils et technologies informatiques différents.

Q: Quelle est votre technique de piratage préférée?

A: Ceux basés sur le timing sont généralement les plus intéressants. Par exemple, il y a eu un cas à l'hippodrome de Woodbine où quelqu'un a trouvé un problème avec un système de chronométrage. Il a ensuite pu placer des paris une fois les courses terminées. Il savait qui avait gagné, et à cause du problème de timing, il a pu mettre un ticket gagnant.

La seule raison pour laquelle il s'est fait prendre est qu'il est devenu gourmand.

Q: Quelle est la vulnérabilité la plus courante que vous ayez rencontrée?

A: Les correctifs manquants sont la vulnérabilité que nous constatons le plus souvent. Il englobe de nombreuses faiblesses de sécurité différentes, mais le correctif est toujours le même: Corrigez vos systèmes. Les fournisseurs corrigent souvent ces vulnérabilités au fil du temps, mais le service informatique ne fait généralement pas un travail suffisant pour suivre le rythme.

Q: Quelle est la vulnérabilité la plus surprenante que vous ayez rencontrée?

A: Je ne peux pas croire que les gens utilisent encore des serveurs Windows NT et Windows 2000. Windows 2000 n'est plus pris en charge depuis près de 15 ans, et cela fait 20 ans que Windows NT a été considéré comme non pris en charge. Et pourtant, de temps en temps, nous voyons encore quelqu'un exécuter ces anciens systèmes Windows NT Service Pack 6. Ils peuvent être compromis en deux secondes.

Q: Quelle est la vulnérabilité la plus grave que vous ayez découverte?

A: Il existe de nombreuses vulnérabilités vraiment sérieuses qui vous donneront accès à des choses. Mais quelque chose de majeur que j'ai vu - bien que techniquement pas une vulnérabilité - est que quelqu'un a publié par inadvertance une liste de noms d'utilisateur et de mots de passe sur Internet. Pour moi, ces types d'événements sont les plus graves car ils sont complètement évitables.

Q: Sur la base de votre expérience en tant que hacker éthique avec IT Weapons, quels conseils aimeriez-vous transmettre aux équipes de sécurité informatique (bleues)?

A: Mon meilleur conseil est de vous armer de connaissances. Cela inclut des analyses de vulnérabilité constantes et la garantie que les utilisateurs que vous soutenez sont conscients de la sécurité. Plus vous disposez d'informations, meilleur sera votre travail.

La sécurité n'est pas une fonction de l'informatique et ce n'est pas une fonction de l'équipe de sécurité. La sécurité est la responsabilité de tous. Il suffit d'une seule personne pour faire une erreur. Peu importe le travail effectué par l'équipe de sécurité, tout va s'effondrer à ce stade.

Chez IT Weapons, nous croyons que la connaissance est le pouvoir. Obtenez plus d'informations d'experts sur la sécurisation des données, des applications et des systèmes de votre entreprise lorsque vous téléchargez notre livre électronique, Cyber ​​Security 101: Gardez les pirates informatiques à l'écart et vos données à l'intérieur.

Nouvel appel à l'action

Articles Similaires