CYBERSÉCURITÉ : « ILS NE L'ONT PAS FAIT MAIS VOUS POUVEZ ! »
Avec Paul Ducklin et Chester Wisniewski
Musique d'intro et d'outro par Edith Mud.
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
CANARD. Bonjour tous le monde.
Bienvenue dans ce mini-épisode spécial du podcast Naked Security.
Je m'appelle Paul Ducklin et je suis accompagné aujourd'hui de mon ami et collègue Chester Wisniewski.
Chester, j'ai pensé que nous devrions dire quelque chose sur ce qui est devenu la grande histoire de la semaine… ce sera probablement la grande histoire du mois !
je vais juste vous lire le titre J'ai utilisé sur Naked Security :
"UBER A ÉTÉ HACKÉ, se vante le pirate - comment empêcher que cela ne vous arrive."
Alors!
Racontez-nous tout….
CHET. Eh bien, je peux confirmer que les voitures roulent toujours.
Je viens de Vancouver, je suis au centre-ville, je regarde par la fenêtre, et il y a en fait un Uber assis devant la fenêtre…
CANARD. Il n'a pas été là toute la journée ?
CHET. Non, ce n'est pas le cas. [DES RIRES]
Si vous appuyez sur le bouton pour héler une voiture dans l'application, rassurez-vous : pour le moment, il semble que quelqu'un vienne vous conduire.
Mais ce n'est pas nécessairement si sûr, si vous êtes un employé d'Uber, que vous allez faire grand-chose au cours des prochains jours, compte tenu de l'impact sur leurs systèmes.
Nous ne connaissons pas beaucoup de détails, en fait, Duck, sur ce qui s'est exactement passé.
Mais, à un niveau très élevé, le consensus semble être qu'il y avait une certaine ingénierie sociale d'un employé d'Uber qui permettait à quelqu'un de prendre pied à l'intérieur du réseau d'Uber.
Et ils ont pu se déplacer latéralement, comme on dit, ou pivoter, une fois à l'intérieur afin de trouver quelques références administratives qui les ont finalement conduits à avoir les clés du royaume Uber.
CANARD. Cela ne ressemble donc pas à un vol de données traditionnel, à un État-nation ou à une attaque de ransomware, n'est-ce pas ?
CHET. No.
Cela ne veut pas dire que quelqu'un d'autre n'a peut-être pas également été dans son réseau en utilisant des techniques similaires - on ne sait jamais vraiment.
En fait, lorsque notre équipe d'intervention rapide répond à des incidents, nous constatons souvent qu'il y a eu plus d'un acteur menaçant à l'intérieur d'un réseau, car ils ont exploité des méthodes d'accès similaires.
CANARD. Oui… nous avons même eu une histoire de deux escrocs de rançongiciels, pratiquement inconnus l'un de l'autre, qui sont entrés en même temps.
Ainsi, certains des fichiers ont été chiffrés avec ransomware-A-puis-ransomware-B, et certains avec ransomware-B-suivi-par-ransomware-A.
C'était un gâchis impie…
CHET. Eh bien, ce sont de vieilles nouvelles, Duck. [DES RIRES]
Depuis, nous en avons publié un autre où *trois* rançongiciels différents étaient sur le même réseau.
CANARD. Oh cher! [GRAND RIRE] Je n'arrête pas de rire, mais c'est faux. [DES RIRES]
CHET. Il n'est pas rare que plusieurs acteurs de la menace soient impliqués, car, comme vous le dites, si une personne est capable de découvrir une faille dans votre approche de la défense de votre réseau, rien ne laisse penser que d'autres personnes n'ont peut-être pas découvert la même faille.
Mais dans ce cas, je pense que vous avez raison, en ce sens que cela semble être "pour le lulz", si vous voulez.
Je veux dire, la personne qui l'a fait collectait principalement des trophées au fur et à mesure qu'ils rebondissaient sur le réseau - sous la forme de captures d'écran de tous ces différents outils, utilitaires et programmes qui étaient utilisés autour d'Uber - et les publiait publiquement, je suppose pour la rue crédit.
CANARD. Maintenant, dans une attaque effectuée par quelqu'un qui *ne voulait pas* se vanter, cet attaquant aurait pu être un IAB, un courtier d'accès initial, n'est-ce pas ?
Auquel cas, ils n'auraient pas fait grand bruit à ce sujet.
Ils auraient récupéré tous les mots de passe, puis seraient sortis et auraient dit : « Qui voudrait les acheter ?
CHET. Oui, c'est super-super dangereux !
Aussi mauvais que cela semble être Uber en ce moment, en particulier quelqu'un des équipes de relations publiques ou de sécurité interne d'Uber, c'est en fait le meilleur résultat possible…
… ce qui est juste que le résultat de cela va être embarrassant, probablement des amendes pour la perte d'informations sensibles sur les employés, ce genre de chose.
Mais la vérité est que pour presque tous les autres victimes de ce type d'attaque, le résultat final finit par être un ransomware ou plusieurs ransomwares, combinés avec des cryptomineurs et d'autres types de vol de données.
C'est beaucoup, beaucoup plus coûteux pour l'organisation que d'être simplement embarrassé.
CANARD. Donc, cette idée d'escrocs entrant et pouvant se promener à volonté et choisir où ils vont…
… n'est malheureusement pas inhabituel.
CHET. Cela souligne vraiment l'importance de rechercher activement les problèmes, plutôt que d'attendre les alertes.
De toute évidence, cette personne a pu violer la sécurité d'Uber sans déclencher d'alerte au départ, ce qui lui a laissé le temps de se promener.
C'est pourquoi la chasse aux menaces, selon la terminologie, est si critique de nos jours.
Parce que plus vous vous rapprochez de la minute zéro ou du jour zéro, vous pouvez détecter l'activité suspecte des personnes fouillant dans les partages de fichiers et se connectant soudainement à tout un tas de systèmes en série - ces types d'activités, ou de nombreuses connexions RDP volantes autour du réseau à partir de comptes qui ne sont normalement pas associés à cette activité…
… ces types de choses suspectes peuvent vous aider à limiter la quantité de dommages que cette personne peut causer, en limitant le temps dont elle dispose pour démêler toute autre erreur de sécurité que vous avez pu commettre et qui lui a permis d'accéder à ces informations d'identification administratives.
C'est une chose avec laquelle beaucoup d'équipes se débattent vraiment : comment voir ces outils légitimes être abusés ?
C'est un vrai défi ici.
Parce que, dans cet exemple, on dirait qu'un employé d'Uber a été amené à inviter quelqu'un, sous un déguisement qui lui ressemblait finalement.
Vous avez maintenant un compte d'employé légitime, qui a accidentellement invité un criminel dans son ordinateur, faisant des choses auxquelles l'employé n'est probablement pas normalement associé.
Cela doit donc vraiment faire partie de votre surveillance et de votre chasse aux menaces : savoir ce qu'est réellement la normalité, afin de pouvoir détecter une "normalité anormale".
Parce qu'ils n'ont pas apporté d'outils malveillants avec eux - ils utilisent des outils qui sont déjà là.
Nous savons qu'ils ont examiné les scripts PowerShell, ce genre de choses - les choses que vous avez probablement déjà.
Ce qui est inhabituel, c'est cette personne qui interagit avec ce PowerShell, ou cette personne qui interagit avec ce RDP.
Et ce sont des choses qui sont beaucoup plus difficiles à surveiller que d'attendre simplement qu'une alerte apparaisse dans votre tableau de bord.
CANARD. Alors, Chester, quel conseil donneriez-vous aux entreprises qui ne veulent pas se retrouver à la place d'Uber ?
Bien que cette attaque ait naturellement fait l'objet d'une énorme publicité, à cause des captures d'écran qui circulent, car il semble que ce soit "Wow, les escrocs sont arrivés absolument partout"...
… en fait, ce n'est pas une histoire unique en ce qui concerne les violations de données.
CHET. Vous avez demandé des conseils, que dirais-je à une organisation ?
Et je dois repenser à un bon ami à moi qui était RSSI dans une grande université aux États-Unis il y a une dizaine d'années.
Je lui ai demandé quelle était sa stratégie de sécurité et il a dit : "C'est très simple. Présomption de manquement.
Je suppose que je suis violé et que des personnes sont dans mon réseau que je ne veux pas dans mon réseau.
Je dois donc tout construire en partant du principe qu'il y a déjà quelqu'un ici qui ne devrait pas l'être, et demander : « Ai-je la protection en place même si l'appel vient de l'intérieur de la maison ? »
Aujourd'hui, nous avons un mot à la mode pour cela : Zero Trust, que la plupart d'entre nous en ont déjà marre de dire. [DES RIRES]
Mais c'est l'approche : présomption de violation ; confiance zéro.
Vous ne devriez pas avoir la liberté de vous promener simplement parce que vous portez un déguisement qui semble être un employé de l'organisation.
CANARD. Et c'est vraiment la clé du Zero Trust, n'est-ce pas ?
Cela ne veut pas dire : « Vous ne devez jamais faire confiance à personne pour faire quoi que ce soit.
C'est une sorte de métaphore pour dire "ne rien supposer" et "n'autorisez pas les gens à faire plus que ce dont ils ont besoin pour la tâche à accomplir".
CHET. Précisément.
En supposant que vos attaquants ne tirent pas autant de joie de découvrir le fait que vous avez été piraté que cela s'est produit dans ce cas…
… vous voulez probablement vous assurer que les membres du personnel disposent d'un bon moyen de signaler les anomalies lorsque quelque chose ne semble pas correct, pour vous assurer qu'ils peuvent avertir votre équipe de sécurité.
Parce que parler des temps de séjour des violations de données de notre Livre de jeu de l'adversaire actif, les criminels sont le plus souvent sur votre réseau depuis au moins dix jours :
Donc, vous avez généralement une semaine à dix jours solides, où si vous avez juste des yeux d'aigle qui repèrent des choses, vous avez une très bonne chance de l'arrêter avant que le pire ne se produise.
CANARD. En effet, parce que si vous pensez au fonctionnement d'une attaque de phishing typique, il est très rare que les escrocs réussissent du premier coup.
Et s'ils ne réussissent pas du premier coup, ils ne se contentent pas de faire leurs valises et de s'éloigner.
Ils essaient la personne suivante, et la personne suivante, et la personne suivante.
S'ils ne réussissent que lorsqu'ils tentent l'attaque sur la 50e personne, alors si l'un des 49 précédents l'a repéré et a dit quelque chose, vous auriez pu intervenir et résoudre le problème.
CHET. Absolument - c'est essentiel !
Et vous avez parlé d'inciter les gens à donner des jetons 2FA.
C'est un point important ici - il y avait une authentification multi-facteurs chez Uber, mais la personne semble avoir été convaincue de la contourner.
Et nous ne savons pas quelle était cette méthodologie, mais la plupart des méthodes multifactorielles, malheureusement, peuvent être contournées.
Nous connaissons tous les jetons basés sur le temps, où vous obtenez les six chiffres à l'écran et vous êtes invité à mettre ces six chiffres dans l'application pour vous authentifier.
Bien sûr, rien ne vous empêche de donner les six chiffres à la mauvaise personne afin qu'elle puisse s'authentifier.
Ainsi, l'authentification à deux facteurs n'est pas un médicament polyvalent qui guérit toutes les maladies.
Il s'agit simplement d'un ralentisseur qui est une autre étape sur la voie de la sécurité.
CANARD. Un escroc bien déterminé qui a le temps et la patience de continuer à essayer peut éventuellement entrer.
Et comme vous le dites, votre objectif est de minimiser le temps dont ils disposent pour maximiser le retour sur le fait qu'ils ont obtenu en premier lieu…
CHET. Et cette surveillance doit avoir lieu tout le temps.
Des entreprises comme Uber sont assez grandes pour avoir leur propre centre d'opérations de sécurité 24h/7 et XNUMXj/XNUMX pour surveiller les choses, bien que nous ne sachions pas exactement ce qui s'est passé ici, et combien de temps cette personne est restée et pourquoi elle n'a pas été arrêtée.
Mais la plupart des organisations ne sont pas nécessairement en mesure de le faire en interne.
Il est très pratique de disposer de ressources externes capables de surveiller - surveiller * en continu * - ce comportement malveillant, ce qui raccourcit encore davantage la durée pendant laquelle l'activité malveillante se produit.
Pour les personnes qui ont peut-être des responsabilités informatiques régulières et d'autres tâches à accomplir, il peut être assez difficile de voir ces outils légitimes utilisés et de repérer un modèle particulier d'utilisation comme une chose malveillante…
CANARD. Le mot à la mode dont vous parlez ici est ce que nous appelons MDR, abréviation de Détection et réponse gérées, où vous obtenez un groupe d'experts pour le faire pour vous ou pour vous aider.
Et je pense qu'il y a encore pas mal de gens qui s'imaginent : « Si on me voit faire ça, est-ce que je n'ai pas l'air d'avoir abdiqué ma responsabilité ? N'est-ce pas un aveu que je ne sais absolument pas ce que je fais ?
Et ce n'est pas le cas, n'est-ce pas ?
En fait, vous pourriez dire qu'il s'agit en fait de faire les choses de manière plus contrôlée, parce que vous choisissez des personnes pour vous aider à prendre soin de votre réseau *qui font cela et seulement cela* pour gagner leur vie.
Et cela signifie que votre équipe informatique habituelle, et même votre propre équipe de sécurité… en cas d'urgence, ils peuvent en fait continuer à faire toutes les autres choses qui doivent être faites de toute façon, même si vous êtes attaqué.
CHET. Absolument.
Je suppose que la dernière pensée que j'ai est celle-ci…
Ne percevez pas le piratage d'une marque comme Uber comme signifiant qu'il vous est impossible de vous défendre.
Les grands noms d'entreprise sont presque de grands chasseurs de trophées pour des personnes comme la personne impliquée dans ce piratage particulier.
Et ce n'est pas parce qu'une grande entreprise n'a peut-être pas la sécurité qu'elle devrait que vous ne pouvez pas !
Il y avait beaucoup de bavardages défaitistes parmi de nombreuses organisations à qui j'ai parlé après quelques gros hacks précédents, comme Target et Sony, et certains de ces hacks que nous avons eus dans les nouvelles il y a dix ans.
Et les gens disaient : « Aaargh… si avec toutes les ressources de Target, ils ne peuvent pas se défendre, quel espoir y a-t-il pour moi ?
Et je ne pense pas vraiment que ce soit vrai du tout.
Dans la plupart de ces cas, ils ont été ciblés parce qu'il s'agissait de très grandes organisations et qu'il y avait une très petite faille dans leur approche par laquelle quelqu'un a pu s'introduire.
Cela ne veut pas dire que vous n'avez aucune chance de vous défendre.
Il s'agissait d'ingénierie sociale, suivie de pratiques douteuses de stockage de mots de passe dans des fichiers PowerShell.
Ce sont des choses que vous pouvez très facilement surveiller et éduquer vos employés pour vous assurer que vous ne commettez pas les mêmes erreurs.
Ce n'est pas parce qu'Uber ne peut pas le faire que vous ne pouvez pas !
CANARD. En effet – je pense que c'est très bien dit, Chester.
Ça vous dérange si je termine avec un de mes clichés traditionnels ?
(Le problème avec les clichés, c'est qu'ils deviennent généralement des clichés en étant vrais et utiles.)
Après des incidents comme celui-ci : « Ceux qui ne se souviennent pas de l'histoire sont condamnés à la répéter – ne soyez pas cette personne !
Chester, merci beaucoup d'avoir pris du temps malgré votre emploi du temps chargé, car je sais que vous avez en fait une conférence en ligne à faire ce soir.
Donc, merci beaucoup pour cela.
Et terminons à notre manière habituelle en disant : « Jusqu'à la prochaine fois, restez en sécurité.
[MODÈME MUSICAL]
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- La perte de données
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- Sécurité nue
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Podcast
- Direction de la sécurité
- VPN
- la sécurité d'un site web
- zéphyrnet
![S3 Ep128 : Alors tu veux être un cybercriminel ? [Audio + Texte]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep128-so-you-want-to-be-a-cybercriminal-audio-text-360x188.png)
