Les hackers se battent-ils vraiment en temps réel?

Tout le monde connaît cette scène d’attaque de pirate NCIS. Travaillant dans leur laboratoire médico-légal faiblement éclairé, Abby Sciuto (Pauley Perrette) et Timothy McGee (Sean Murray) doivent repousser un cybercriminel déterminé à voler des informations sur leur enquête.

Au milieu d’un torrent de technobabbles indéchiffrables (il a brûlé à travers le pare-feu! C’est le cryptage DOD niveau 9!), La paire commence à se battre. Finalement, ils finissent par taper simultanément sur le même clavier. C’est – faute de meilleur terme – ridicule.

Assieds-toi. Nous piratons

Ces scènes incarnent tout ce qui ne va pas dans la façon dont le piratage est décrit dans le monde de la télévision et du cinéma. Les incursions dans des systèmes informatiques distants ont lieu en quelques instants, accompagnées d’une variété de textes verts dénués de sens et de popups aléatoires.

La réalité est beaucoup moins dramatique. Les pirates et les testeurs d’intrusion légitimes prennent le temps de comprendre les réseaux et les systèmes qu’ils ciblent. Ils essaient de comprendre les topologies de réseau, ainsi que les logiciels et les périphériques utilisés. Ensuite, ils essaient de comprendre comment ceux-ci peuvent être exploités.

Oubliez le contre-piratage en temps réel décrit sur NCIS; cela ne fonctionne tout simplement pas de cette façon. Les équipes de sécurité préfèrent se concentrer sur la défense en s’assurant que tous les systèmes externes sont corrigés et correctement configurés. Si un pirate parvient d’une manière ou d’une autre à briser les défenses externes, les systèmes automatisés IPS (Intrusion Prevention Systems) et IDS (Intrusion Detection Systems) prennent le relais pour limiter les dégâts.

Cette automatisation existe car, proportionnellement, très peu d’attaques sont ciblées. Ils sont plutôt de nature opportuniste. Quelqu’un peut configurer un serveur pour parcourir Internet, à la recherche de trous évidents qu’il peut exploiter avec des attaques scriptées. Parce que ceux-ci se produisent à des volumes aussi élevés, il n’est pas vraiment envisageable de les traiter manuellement.

La plupart des interventions humaines surviennent dans les instants qui suivent une faille de sécurité. Les étapes consistent à essayer de discerner le point d’entrée et de le fermer afin qu’il ne puisse pas être réutilisé. Les équipes d’intervention en cas d’incident tenteront également de discerner quels dommages ont été causés, comment y remédier et s’il existe des problèmes de conformité réglementaire à résoudre.

Cela ne fait pas un bon divertissement. Qui veut regarder quelqu’un examiner méticuleusement la documentation sur les appareils informatiques d’entreprise obscurs ou configurer des pare-feu de serveur?

Capturez le drapeau (CTF)

Les hackers se battent parfois en temps réel, cependant, c’est généralement pour des «accessoires» plutôt que pour un objectif stratégique.

On parle de Concours Capture the Flag (CTF). Celles-ci ont souvent lieu lors de conférences infosec, comme les différentes Événements BSides. Là, les hackers rivalisent avec leurs pairs pour relever des défis pendant un laps de temps imparti. Plus ils gagnent de défis, plus ils gagnent de points.

Il existe deux types de concours de la FCE. Lors d’un événement Red Team, les pirates (ou une équipe d’entre eux) tentent de pénétrer avec succès des systèmes spécifiés qui n’ont pas de défense active. L’opposition est une forme de protection introduite avant le concours.

Le deuxième type de concours oppose les équipes rouges aux équipes bleues défensives. Les équipes rouges marquent des points en pénétrant avec succès les systèmes cibles, tandis que les équipes bleues sont jugées en fonction de leur efficacité à détourner ces attaques.

Les défis diffèrent selon les événements, mais ils sont généralement conçus pour tester les compétences utilisées quotidiennement par les professionnels de la sécurité. Il s’agit notamment de la programmation, de l’exploitation des vulnérabilités connues des systèmes et de la rétro-ingénierie.

Bien que les événements de la FCE soient assez compétitifs, ils sont rarement contradictoires. Les hackers sont, par nature, des gens curieux et ont également tendance à vouloir partager leurs connaissances avec les autres. Il n’est donc pas rare que des équipes adverses ou des spectateurs partagent des informations qui pourraient aider un rival.

CTF à distance

Il y a un rebondissement, bien sûr. Au moment d’écrire ces lignes, en raison du COVID-19, toutes les conférences de sécurité en personne de 2020 ont été annulées ou reportées. Cependant, les gens peuvent toujours participer à un événement de la FCE tout en se conformant aux règles d’abri sur place ou de distanciation sociale.

Des sites comme CTFTime regrouper les événements à venir de la FCE. Comme vous vous en doutez lors d’un événement en personne, bon nombre d’entre eux sont compétitifs. CTFTime affiche même un classement des équipes les plus performantes.

Si vous préférez attendre la réouverture des choses, vous pouvez également participer à des défis de piratage en solo. Le site Web Racine-moi propose divers défis qui testent les pirates à la limite.

Une autre option, si vous n’avez pas peur de créer un environnement de piratage sur votre ordinateur personnel, est Damn Vulnerable Web Application (DVWA). Comme son nom l’indique, cette application Web est intentionnellement remplie de failles de sécurité, permettant aux pirates potentiels de tester leurs compétences de manière sûre et légale.

Il n’y a qu’une seule règle: deux personnes pour un clavier, les gars!