Dans la première partie de cette série, nous nous sommes assis avec Huw Evans pour une excellente perspicacité. Cette fois, nous nous sommes assis avec Charles pour une perspective légèrement différente.
Charles MacCorquodale a construit et sécurisé des systèmes pendant la majeure partie de sa vie. Au cours des cinq dernières années, il s'est concentré sur l'évaluation par le biais de tests d'intrusion et équipe rouge.
Quand il ne passe pas au crible les systèmes avec l'état d'esprit d'un hacker, vous constaterez que Charles redonne à la communauté informatique en donnant des cours sur le piratage éthique, en encadrant les nouveaux arrivants et en participant à des concours locaux de capture du drapeau.
Q: Qu'est-ce que le piratage éthique et en quoi est-il différent du piratage malveillant?
A: La principale différence entre un pirate malveillant et un pirate éthique est la suivante. Un hacker éthique vous montrera toutes ses cartes à la fin du jeu et vous dira comment vous pouvez les empêcher de jouer à nouveau ces cartes.
Q: Existe-t-il différents types de piratage éthique?
A: D'un point de vue technique, oui. Vous avez des équipes rouges (les attaquants) et des équipes bleues (les protecteurs).
Les équipes rouges sont plus attrayantes sur le marché car elles sont plus axées sur les objectifs. Lors d'un test de pénétration, chaque vulnérabilité expose vos joyaux de la couronne, vos données, ou pire, les données de votre client. C'est ce que nous recherchons en effectuant ces tests.
L'équipe bleue est beaucoup plus large. Essentiellement, le travail de chacun est la sécurité.
Disons que vous appelez le service d'assistance et que la personne qui y travaille vous demande votre pièce d'identité. Ils vous posent une série de questions ennuyeuses avant que vous n'obteniez votre aide - c'est la sécurité. Ils doivent s'assurer que vous êtes qui vous dites être.
La personne qui configure le système de façon fastidieuse pendant la nuit est également une question de sécurité. Lorsqu'un attaquant recherche des failles de configuration, il recherche de la paresse ou des étapes sautées. Nous considérons toutes ces activités comme des équipes bleues car elles contribuent toutes à la défense.
Quand je forme des hackers éthiques, je leur dis que l'équipe bleue est la tâche la plus difficile. Être dans l'équipe rouge est beaucoup plus facile car il suffit d'une seule erreur à un attaquant pour entrer. Je cherche quelqu'un qui passait une mauvaise journée. Peut-être étaient-ils fatigués, ou peut-être que leur téléphone a sonné avant de terminer le travail. C'est tout ce qu'il faut.
Q: Quels sont certains des inconvénients du piratage éthique?
A: L'un des plus gros problèmes est que certains systèmes n'aiment pas être analysés. Les concepteurs originaux de tout ce qui est industriel n'ont jamais voulu que leurs systèmes soient connectés au réseau avec des ordinateurs portables. Si je fais un grand balayage de sécurité d'un système avec un réseau électrique, l'analyse peut ne pas aimer ce qu'elle voit sur le réseau.
J'ai également cherché d'anciens sites Web avec une base de données. Après avoir juste abordé des choses pour voir si elles étaient vulnérables, j'ai fini par abattre le tout parce que c'était juste si vieux. Tout ce que j'ai demandé au système de faire a complètement inondé sa mémoire, et nous avons dû le réinitialiser en conséquence.
Une mémoire inondée est précisément le genre de chose que vous voulez qu'un hacker éthique trouve. Dans le cas de l'ancien site Web, je savais ce que je testais, où je testais et qui appeler lorsque je le cassais. J'ai expliqué ce que j'avais fait, et en cinq minutes, nous savions où se trouvait le problème et comment le résoudre.
Un pirate malveillant ne vous fera pas cette courtoisie.
Q: N'y a-t-il pas de risques pour la sécurité lorsque vous engagez un hacker éthique?
A: Il y a des risques pour la sécurité lorsque vous embauchez un pirate informatique éthique, alors assurez-vous de faire appel à une personne de bonne réputation. La plus grande partie du contrat est l'accord de confidentialité, qui interdit au pirate de parler du travail afin que tout le monde soit protégé.
La plupart des hackers éthiques protègent farouchement leur réputation. Ils peuvent ne jamais obtenir un autre travail de piratage s'ils ont ne serait-ce qu'un petit problème sur leur dossier.
C'est une petite industrie. Si vous franchissez la ligne et postulez pour un emploi différent, il apparaîtra dans les références - et pas officiellement. Il existe un réseau industriel, ou sous-couche, où les hackers éthiques restent en contact. Si un employeur potentiel tend la main et pose des questions sur Bob Smith et que quelqu'un dit: «Eh bien, il a fait des choses louches», il n'obtient pas ce travail.
Q: Vous inquiétez-vous des implications juridiques du piratage éthique?
A: Nous avons des règles d'engagement qui nous protègent de l'errance juridique. Pour rester en sécurité, vous devez vous en tenir à ce que vous avez convenu dans le contrat.
Cela est cependant plus facile à dire qu'à faire, en particulier avec le fluage de la portée.
Une fois, un client m'a demandé de rester à l'écart d'une division spécifique au sein de l'entreprise. C'était la fin du trimestre pour eux, donc la société ne voulait pas que nous touchions à quoi que ce soit. Quand j'ai commencé à fouiller dans les zones autorisées, les choses que je chassais continuaient à courir et à se cacher dans la zone interdite. J'ai dû les laisser tranquilles. Je n'aimais pas abandonner la poursuite, mais j'avais les mains liées. Telles sont les règles.
Q: Comment les choses ont-elles changé depuis que vous êtes devenu un hacker éthique?
A: Au cours des cinq dernières années, le piratage est devenu beaucoup plus complexe. Si je ne m'entraîne pas constamment, je prends du retard.
La cybersécurité d'aujourd'hui est plus comportementale et moins axée sur les signatures. Au lieu de rechercher des fichiers .exe suspects, les outils de sécurité modernes sont conçus pour détecter lorsque plusieurs actions se produisent qui semblent louche lorsqu'elles sont effectuées ensemble.
Par exemple, un utilisateur non authentifié demande un accès à la base de données, puis demande une connexion réseau, puis demande des droits d'administrateur. Le service informatique est alors informé de ces activités potentiellement malveillantes.
Q: Les données sont-elles plus ou moins sécurisées qu'il y a cinq ans?
A: J'ai remarqué une augmentation des problèmes de sécurité interentreprises, en particulier parmi les startups. Généralement, les startups fonctionnent sous la directive de la vitesse. La clé est de lancer votre MVP sur le marché en premier; vous le sécurisez plus tard.
Lean startup, développement agile - c'est une ruée vers le marché en premier. Si vous ne le faites pas, vous perdez votre opportunité - et cela crée une toute nouvelle exposition au risque. La sécurité et les tests de sécurité prennent du temps. Si vous ne voulez pas ralentir les choses, vous ne pensez pas à la sécurité.
Supposons que votre produit soit un CRM et que vous soyez le nouveau démarrage en vogue. Si un client met ses données dans votre système et que vous êtes violé, votre client est tenu responsable de cette perte de données. Cela pourrait potentiellement détruire les deux entreprises, à la fois sur le plan de la réputation et sur le plan financier.
Q: Dans cinq ans, quelle sera selon vous la menace la plus importante pour la sécurité des données des entreprises?
A: Je pense que nous devons prêter attention à la politique. Nous allons voir plus de restrictions tierces et gouvernementales sur les fournisseurs que nous pouvons utiliser, les pays avec lesquels nous pouvons faire affaire et même les technologies que nous sommes autorisés à mettre en œuvre dans certaines régions.
Lorsque nous commençons à faire ces compromis de politique, cela affecte notre capacité à sécuriser les appareils - ce qui fait mal à tout le monde.
Q: Pour passer à vos expériences personnelles en tant que hacker éthique, de quelles compétences avez-vous besoin pour devenir hacker éthique?
A: Pour être un hacker efficace, vous devez penser différemment et être prêt à poser des questions inconfortables. Les tactiques de collecte d'informations qui peuvent être offensantes dans un contexte différent sont essentielles lorsque vous êtes un hacker éthique.
Vous avez également besoin d'une expérience informatique diversifiée et vous devez être un chercheur rapide. Vous ne pouvez pas tout savoir, mais vous devez tout savoir.
Mon conseil à toutes les personnes qui sortent de l'école et qui veulent un travail de piratage sexy est de travailler dans un centre d'appels et d'obtenir un emploi dans un service d'assistance. Faites tous les travaux informatiques. Lorsque vous cassez quelque chose pour un client, vous pouvez l'aider à le réparer.
Disons que je n'avais pas d'expérience dans le Web, les bases de données et le réseautage. Si je ne savais pas comment toutes ces pièces fonctionnent ensemble, je ne saurais pas qui je devrais appeler à propos d'un problème de sécurité que j'ai trouvé et ce que j'ai fait pour le déclencher.
Q: Quelle est votre technique de piratage préférée?
A: J'essaie de ne me concentrer sur aucune technologie en particulier car cela va changer demain. Au lieu de cela, j'aime attaquer la logique.
Je recherche les hypothèses émises par les gens: le processus d'inscription est-il à l'étape 1, 2, 3, 12? Puis-je sauter des étapes? Quelles hypothèses avez-vous faites que ma pensée folle peut contourner?
Q: Quelle vulnérabilité rencontrez-vous le plus souvent?
A: Sans conteste, ce sont des correctifs manqués et des systèmes obsolètes. J'ai entendu des gens dire: «Je n'ai pas les 5,000 5,000 $ pour remplacer ce système.» Mais en réalité, ces 1 XNUMX $ leur coûteront XNUMX million de dollars.
Les gens ont une centaine d'excuses pour expliquer pourquoi ils ne peuvent pas patcher leurs systèmes aujourd'hui, mais c'est aujourd'hui que je cherche.
Une autre vulnérabilité courante est la validation des entrées. Ne faites jamais confiance aux utilisateurs. Si vous me donnez une case sur votre site Web pour y mettre un numéro de téléphone, vous feriez mieux de vous assurer que je mets un numéro de téléphone parce que je vais mettre en programmation. Je vais essayer de briser cette forme.
Q: Sur la base de votre expérience en tant que hacker éthique avec IT Weapons, quels conseils aimeriez-vous transmettre aux équipes de sécurité informatique?
A: D'un point de vue commercial, sachez qu'il est acceptable d'embaucher quelqu'un pour vous aider avec le piratage éthique. Lorsque vous vous associez à quelqu'un en qui vous avez confiance, vous pouvez être sûr qu'il le fera bien et le fera en toute sécurité. Les budgets sont serrés en ce moment. Pensez à ce qui coûtera plus cher: une évaluation de la sécurité ou tout reconstruire à partir de zéro?
Q: Comment IT Weapons se différencie-t-il dans l'industrie du piratage éthique?
A: IT Weapons fournit des informations exploitables, pas des rapports très sophistiqués. De nombreuses entreprises gonflent le langage et mettent un tas de faste et de circonstances dans les résultats pour que cela semble beaucoup plus compliqué qu'il ne devrait l'être.
Mais nos clients sont des PME (petites et moyennes entreprises). Ils n'ont pas besoin de peluches. Ils ont juste besoin de savoir quels sont leurs risques et comment ils peuvent les atténuer. C'est ainsi que j'énonce mes rapports: quelles sont les informations les plus précieuses que je peux donner au client et qu'il peut commencer à utiliser aujourd'hui?
Le piratage éthique est un moyen très efficace de trouver et de corriger les vulnérabilités de sécurité avant les pirates malveillants. Mais pour une protection maximale, vous devez adopter une approche holistique. Télécharger Cyber Security 101 pour apprendre à créer une stratégie de sécurité complète pour les plus grandes menaces d'aujourd'hui et de demain.
