Des hackers qui ont un but: la vie d'un pirate à chapeau blanc – Un bon serveur Minecraft


Il a fallu un jour aux pirates informatiques pour pénétrer dans la serrure intelligente utilisée pour sécuriser les portes des personnes. Les intrusions n’étaient pas l’objectif: les pirates informatiques voulaient avoir accès au "hub intelligent" qui contrôlait ce verrou et d’autres dans le monde entier. Deux jours plus tard, ils étaient à

Lorsque Charles Dardaman, passionné de jeu vidéo et amateur de vingt ans environ, résidant à Dallas, et son ami Jason Wheeler, expert en sécurité de l'information, ont ouvert le hub, ils ont trouvé le mot de passe de l'administrateur codé en dur sur sa carte mémoire. C’était beaucoup plus précieux que de casser la serrure intelligente elle-même. Les hubs intelligents, comme ceux de la société de technologie Zipato, contrôlent une variété de gadgets, des serrures aux thermostats et aux systèmes de sécurité. Obtenir un accès administrateur au hub était comme obtenir une clé principale pour toute maison utilisant les technologies de Zipato. "Si j’attaque le réseau de quelqu'un, je le considère comme une victoire ou une victoire ou une défaite", a déclaré Dardaman. Cette fois, il a gagné.

Mais Dardaman n’a pas cherché après les affaires des gens. En fait, lui et Wheeler ont immédiatement informé Zipato de la violation.

Dardaman et Wheeler sont des hackers éthiques, des personnes qui s'introduisent dans des systèmes pour gagner leur vie afin de rendre la technologie plus sûre. Ces "hackers au chapeau blanc" se différencient des hackers criminels en ce qu’ils ne feront rien d’illégal. Beaucoup travaillent pour des agences gouvernementales ou des entreprises, tandis que d'autres opèrent dans des laboratoires à domicile, préférant se faire plaisir.

Mais cela ne signifie pas que tous leurs piratages sont strictement autorisés. Alors que Dardaman et Wheeler passent leurs journées de travail dans des entreprises qui leur ont demandé de tester leurs vulnérabilités, ils passent leurs nuits et leurs week-ends à la réalisation de «projets parallèles» non officiels.

Le hack Zipato, inspiré par un autre expert en sécurité de l’information, est l’une de ces expériences du week-end. Lesley Carhartqui, quand elle a appris que son propriétaire changeait l'immeuble entier pour des serrures intelligentes plus tôt cette année, a décidé de commencer à chercher une nouvelle maison.

Dardaman et Wheeler ont piraté le centre pour prouver que l’appréhension de Carhart était bien fondée. Ils ont remis le rapport à TechCrunch et la nouvelle est immédiatement devenue virale. «Les entreprises mettent en place des technologies de maison intelligente sans sécurité, car elles ne pensent pas que quiconque vérifiera», a expliqué Dardaman.

Ce type de piratage éthique peut avoir de réelles implications pour la sécurité des personnes.

En 2015, des pirates informatiques ont réussi à détourner à distance une Jeep alors que quelqu'un conduisait, ce qui a incité Chrysler à rappeler 1,4 million de véhicules. L'an dernier, des pirates du groupe au chapeau blanc Anonymous Calgary Hivemind ont fait irruption dans des caméras de sécurité Nest pour alerter les personnes de la vulnérabilité, effrayer les propriétaires, forcer Nest à réinitialiser ses mots de passe et encourager les utilisateurs à adopter la vérification à deux facteurs. Plus tôt cette année, des pirates informatiques ont révélé que les vulnérabilités de sécurité des implants cardiaques Medtronic pourraient permettre à un attaquant de modifier les paramètres d'implant d'un patient à une distance aussi éloignée que 20 pieds. La Food and Drug Administration collabore actuellement avec Medtronic pour remédier aux vulnérabilités résultant du rapport du piratage informatique.

Ces pirates savent comment la plupart des gens associent leur art à la criminalité. «Les gens parlent de piratage de la vie ou de voyages et il n’ya pas de connotation négative», a déclaré un pirate informatique qui passe fil de fer et demandé à ne pas être identifié par leur vrai nom. "Mais mettez" ordinateur "avec et cela devient cette figure effrayante à capuchon. On ne demande pas aux serruriers: "Pourquoi ne vous êtes pas mis dans un cambriolage?"

Mais la relation entre les pirates éthiques et les entreprises qu’ils piratent peut être ténue. Alors que certaines organisations se félicitent de ces connaissances, d'autres considèrent les pirates informatiques comme l'ennemi et ne font guère de distinction entre les chapeaux blancs et les cybercriminels. "Pour de nombreuses entreprises, payer une amende coûte moins cher que de payer une sûreté", a ajouté Wirefall. Selon certains hackers, sans réglementation adéquate, l'attention des médias et la pression du public peuvent être le meilleur moyen de renforcer la sécurité.

Pour Dardaman, piratage criminel n'était jamais une option. «Je voulais une vie normale», a-t-il déclaré. "Et un 401 (k)."

L'été entre le lycée et le collège, il a commencé à écrire des astuces pour le jeu vidéo Minecraft et est tombé amoureux des aspects du piratage juridique qui résolvent des énigmes. Au moment où il a obtenu son diplôme universitaire en technologie de l'information à l'université, il savait qu'il serait un pirate informatique éthique.

Aujourd'hui, Dardaman travaille chez Critical Start, une entreprise qui sous-traite des pirates informatiques éthiques à de grandes entreprises et à des banques. La société fait partie d’un secteur en pleine croissance de la sécurité de l’information qui lutte contre la vague croissante de cyberattaques.

Le secteur a commencé à se développer au début des années 2000 en réponse aux premières violations de données et à l'avènement des médias sociaux et de la vente au détail en ligne. À cette époque, il n’était pas inhabituel que les gens passent du piratage criminel au piratage blanc après s’être fait prendre par le gouvernement. Maintenant, des personnes comme Dardaman peuvent suivre des cours de piratage éthique à l'école et recevoir des certifications en ligne en cybersécurité.

La plupart des contrats de Dardaman durent entre une et deux semaines. Souvent, une entreprise ne dit pas à son équipe de sécurité que Dardaman est là, ce qui lui permet de se déplacer tranquillement sur ses réseaux, d’observer comment les choses se passent et de s’enfoncer plus profondément dans le système. Mais le jeu du chat et de la souris ne dure que quelques jours.

"L’objectif est que je sois extrêmement bruyant à la fin de la semaine", at-il ajouté, précisant que sa décision finale était généralement d’obtenir un accès de domaine aux serveurs de la société afin de déclencher des alarmes sur l’équipe de sécurité. "S'ils ne m'attrapent pas d'ici la fin de la semaine, ils devraient réévaluer leurs outils de sécurité."

Pendant son temps libre, Dardaman pirate les technologies de la maison intelligente – des appareils pouvant être activés par la voix ou contrôlés à distance avec des capteurs ou une connexion Internet – car il pense que les gens ne comprennent pas suffisamment les risques pour la sécurité.

En 2018, une caméra de sécurité Guardzilla piratée lui a permis d’avoir accès aux informations stockées sur les appareils de l’utilisateur. (Il note qu’il n’a pas réellement eu accès à l’information, car ce serait «très illégal».)

«Il n’ya pas de meilleur moyen de protéger votre système que de le tester en tant qu’adversaire», a déclaré Phillip Wylie, testeur de pénétration à la US Bank et professeur de piratage éthique au Richland College. «C’est ainsi qu’un État-nation, un hacktiviste ou un cybercriminel tentera de s’immiscer dans le système.»

Comme Dardaman, Wylie était attiré par les énigmes mentales, l'excitation de percer dans un système fermé. Avant de rejoindre US Bank, il a travaillé comme consultant, effectuant des tests d'intrusion ou des cyberattaques autorisées sur des applications Web. Une fois, il a découvert une vulnérabilité grave qui lui permettait d’avoir accès à la base de données principale d’un client. «Le mot de passe était‘ password1 ’’, at-il déclaré. Il a utilisé un outil appelé John the Ripper pour entrer (cela lui a pris 30 secondes). «Je pourrais ajouter des utilisateurs à ce système; J'aurais pu fermer le serveur, vider la base de données, effacer des enregistrements… »

Mais tous les pirates informatiques ne sont pas là uniquement pour exposer les risques de sécurité. Jane Manchun Wong, une informaticienne de 23 ans basée à Hong Kong, passe son temps libre dans des applications d’ingénierie inverse pour découvrir les fonctionnalités à venir. «Ce que je trouve, ce sont des informations publiques», a déclaré Wong. «C’est caché dans le téléphone de tout le monde. Cela ne le rend pas illégal de l'extraire simplement parce que c'est difficile à trouver. "

En avril, elle a annoncé à la presse qu'Instagram allait essayer de cacher des informations "similaires" sur des photos pour certains utilisateurs. "Quand j’ai écrit pour la première fois à ce sujet, Instagram a tenté de dire:" Nous ne testons pas cela. "Mais le code existe, c’est le résultat final", at-elle déclaré. Plus tard au cours du même mois, Instagram a annoncé qu’il commencerait en fait à tester la possibilité de cacher des «j'aime» pour certains utilisateurs dans sept pays.

Néanmoins, les objectifs plus larges de Wong sont les mêmes. Lorsqu'elle détecte une fuite de données utilisateur dans le code, elle en informe la société afin que celle-ci corrige l'infraction potentielle. Elle le fait également pour le plaisir, en disant qu'elle aime l'aspect résolution de casse-tête.

Dans une interview avec la BBC, Wong a expliqué: «Depuis que j'ai commencé à susciter un certain intérêt et que les entreprises ont commencé à surveiller mes tweets, de plus en plus d'entreprises ont amélioré la sécurité de leurs applications. C’est l’un de mes arguments: les entreprises vont améliorer la sécurité de leurs applications, c’est pourquoi il est plus difficile d’intervenir. "

Les piratages de Wong ont en effet attiré l’attention des médias. Quand elle a publié les nouvelles sur Instagram, "presque tout l’Internet a explosé". Wong a fait remarquer que les entreprises n’aimaient pas ce qu’elle faisait, mais qu’elles ne pouvaient rien faire pour la garder tranquille.

La plupart des hackers au chapeau blanc disent ils ne cherchent pas à donner une mauvaise image aux entreprises. En règle générale, ils informent une organisation en privé et leur accordent environ 90 jours – une norme préconisée par le Project Zero de Google – pour corriger les vulnérabilités de sécurité. «S'ils répondent et corrigent le problème, c'est parfait», a déclaré Dardaman, qui respecte ce code d'éthique strict. «S'ils disent qu'ils ne vont pas le réparer, je publie le rapport plus tôt. S'ils essaient de le traîner pendant six mois, je le laisserai tomber – il n'y a aucune raison de ne pas le faire. Si c’est un problème réel, vous devriez pouvoir le régler dans ce délai. ”

Wong est également disposée à travailler avec les entreprises qu’elle pirate. L'année dernière, elle a découvert que Facebook travaillait sur une bibliothèque javascript pour rendre les applications Web plus rapides. Lorsqu'elle a commencé à donner des indications sur le projet sur Twitter, un employé de Facebook l'a contactée et lui a demandé de ne pas révéler les détails, car ils prévoyaient de l'annoncer l'année suivante – et elle a obtempéré. En mai, elle a été ravie d'apprendre qu'elle avait publié le projet open source.

Mais de nombreux hackers disent qu’ils se sentent responsables d’informer les utilisateurs sur les failles de sécurité. Lorsque les entreprises se fâchent contre elles pour avoir exposé des vulnérabilités potentielles, elles se demandent si elles prennent la sécurité au sérieux. "Si quelqu'un trouve une vulnérabilité et la signale et que le fournisseur dit qu'il va les signaler aux forces de l'ordre, c'est un problème", a déclaré Wylie, même s'il s'agit en définitive de menaces vides. "Vous devriez être heureux d'avoir obtenu un test de stylo gratuit."

Dans le cas du hub intelligent Zipato, la société a répondu peu de temps après avoir reçu le rapport, en promettant de corriger les failles le plus rapidement possible. «Ils n’ont pas aimé entendre parler de moi», a déclaré Dardaman en riant. "Mais ils l'ont réparé."

Quelques semaines plus tard, une fois cela fait, il a publié le rapport.

Des hackers qui ont un but: la vie d'un pirate à chapeau blanc – Un bon serveur Minecraft
4.9 (98%) 32 votes