Serveur minecraft

Correctifs logiciels: vous le faites mal – Monter un serveur MineCraft

Par Titanfall , le 5 septembre 2019 - 8 minutes de lecture

Nous connaissons tous les risques de ne pas mettre à jour nos appareils. Finalement, les bugs envahissent tous les systèmes, des smartphones les plus minces aux plus gros PC de jeux.

"Gardez vos appareils à jour" est le conseil technique le plus fondamental. Mais que se passe-t-il si la manière dont l'industrie publie des mises à jour perpétue ces bugs? Les experts disent que l’avenir des ordinateurs pourrait nous permettre d’effacer complètement la culture des installations de correctifs. Avec de plus en plus d'appareils connectés mis en ligne chaque jour, le potentiel de piratage informatique augmente. et plus le système est complexe, plus il est facile pour les développeurs de commettre des erreurs cruciales.

Comment savez-vous ce qui est sécurisé?

90% de la masse d'un iceberg est sous l'eau; il peut sembler petit et contenu, mais un obstacle potentiellement dangereux se trouve sous la surface.

Sur le Web, Laurie Mercer, ingénieur en sécurité pour la société de cybersécurité HackerOne, recherche des icebergs numériques pour sonder les sous-domaines du site Web de sa société.

C'est un acte assez simple; Mercer utilise un outil proxy professionnel, Burp en l'occurrence, pour intercepter les communications entre son ordinateur et le serveur du site Web. Les sous-domaines, les ports et les applications supplémentaires (telles que les applications mobiles ou les services d’administrateur) apparaissent tous à l’écran.

bug informatique

C'est la première étape pour ceux qui cherchent à percer dans un site Web: la reconnaissance. La seule différence entre le navigateur de Mercer et un utilisateur régulier est qu’il dispose de plusieurs extensions différentes qui révèlent les fondements de Hackerone.com. Il peut voir son langage de programmation utilisé par la société HackerOne en tant que réseau de diffusion de contenu, la structure JavaScript et le système de gestion de contenu qu'elle exploite. Ce qui donne à lui, ou à un pirate informatique potentiel, des indices sur ce qu’il faut rechercher pour casser le site et collecter des données.

En regardant les informations ping de son navigateur sur le site Web, Mercer reçoit 40 ou 50 messages en un instant. Tout cela est en HTML, le langage utilisé pour créer des pages et des applications Web. Une partie de son travail en tant que testeur, dit-il, consiste à examiner ces choses une par une. Il passe trois ou quatre heures à explorer un site en particulier, à la recherche de motifs ou d’objets anormaux.

Mercer compare cela à un filet de pêche; "Au lieu que notre navigateur envoie des informations, il les récupère."

En chargeant le site Web d'un journal célèbre, il indique un nombre apparemment anodin qui est revenu après avoir mis un mot au hasard dans la barre de recherche. Les chiffres sont toujours intéressants, dit-il, car ils sont faciles à changer. Il est simple d'écrire un petit script d'énumération qui testera toutes les valeurs possibles pour voir s'il y a une différence de comportement. Sur GitHub, il existe plusieurs référentiels de mots permettant de faire la même chose avec le langage.

Si vous avez déjà modifié un numéro ou un mot dans une URL pour accéder à une autre partie d'un site Web, c'est ce que font les pirates informatiques pour tenter de pirater des sites Web, le logiciel de votre ordinateur ou votre périphérique Smart Home récemment acheté, mais à une échelle beaucoup plus grande.

Toutefois, si vous remplacez ce nombre par, par exemple, un élément HTML susceptible de modifier le produit, votre attaquant disposera alors d'une quantité importante de puissance. L’exemple le plus convaincant est peut-être la vulnérabilité Heartbleed de 2014, où les noms d’utilisateur, les mots de passe et les identifiants de session pourraient être volés très rapidement et furtivement par ceux qui n’ont pas beaucoup d’expertise technique.

Bouger vite et casser (trop) de choses

En tant que tel, il est difficile de savoir à quels sites web faire confiance. Il existe certaines réglementations, telles que le PCI Security Standards Council (Conseil des normes de sécurité PCI) pour les sites Web traitant d'informations de carte de crédit. Mais avec les entreprises qui modifient leur code ou qui publient des mises à jour d’applications tous les deux jours pour prendre en compte les nouvelles fonctionnalités, les clients n’ont aucune idée du fait qu’ils glissent ou non.

L'avenir de la lutte contre les insectes devient donc à la fois un problème technologique et un problème culturel, alimentés par notre désir de disposer rapidement des nouvelles fonctionnalités.

Mise à jour informatique

Lorsque les entreprises se dépêchent de vendre leurs produits aux consommateurs, il est plus probable que cela laisse des trous que les pirates peuvent exploiter. Ben Herzberg, directeur de la recherche sur les menaces chez Imperva (qui a découvert une faille dans le système interne de Facebook permettant aux pirates potentiels de rechercher dans les données des utilisateurs de Facebook) dit "intégration continue" [and] Un déploiement continu "qui envoie les mises à jour logicielles quotidiennement ou hebdomadairement, contrairement à tous les trimestres ou aux deux trimestres, signifie que les tests de sécurité ont moins de temps.

Herzberg utilise l'exemple d'une compagnie d'électricité qui est obligée d'ouvrir une API pour permettre au public de voir la consommation d'énergie. Bien que cela puisse être bon pour des raisons environnementales, la précipitation à mettre en œuvre des API en raison de la réglementation, ou parce que les entreprises les imposent dans les délais, signifie que les contrôles de sécurité nécessaires sont manqués.

Et même les meilleures défenses, telles que la protection de votre trafic via un réseau privé virtuel (VPN) payant ou gratuit, ou la garantie que vos mots de passe sont quasiment inviolables à l’aide d’un gestionnaire de mots de passe, ne vous protégeront pas si cette vulnérabilité est dans le système lui-même ou la violation est sur le serveur du site Web.

Regarde vers les nuages

Bien que les entreprises de cybersécurité telles que HackerOne cherchent à résoudre ces problèmes le plus rapidement possible, la communauté de pirates qui consultent des sites Web toute la journée et toute la nuit, avec des incitations financières pour les motiver, ne peut vraiment que faire beaucoup.

À l'heure actuelle, l'un des moyens les plus simples de protéger leurs appareils consiste à activer les mises à jour automatiques et à télécharger les derniers systèmes d'exploitation. Lorsque les entreprises ne parviennent pas à corriger rapidement les bogues, il en résulte des attaques similaires à celles de WannaCry, qui affectait le système ferroviaire allemand FedEx et même la banque centrale de Russie en 2014. Mais, bien que des correctifs aient été publiés, une énorme bande de machines Windows à installez-les un an plus tard, en mettant en péril les ordinateurs et les données personnelles.

D'autres conservent des systèmes d'exploitation obsolètes bien au-delà de leur apogée. En janvier 2019, Windows 7 détenait toujours une part de marché de 37%, selon Net Applications, malgré sa disparition imminente.

Par conséquent, certains, comme Google, se tournent vers le logiciel en tant que service et construisent des défenses dans les fondements de leurs appareils, tels que le système d'exploitation et le navigateur.

Étant donné que WannaCry (et des infections similaires) trouvera plus facile de pénétrer dans des ordinateurs qui reposent sur des mises à jour logicielles, certains choisissent Chromebooks plutôt que des ordinateurs Windows en raison des mises à jour de Chrome OS. arriver automatiquement et prend quelques secondes à compléter, par rapport aux minutes ou heures que les clients devront attendre sous macOS et Windows.

De même, une grande partie du logiciel exécuté sur Chrome OS est enracinée dans le cloud. Les documents, les feuilles, les diapositives et autres applications de Google sont alimentés par les serveurs de Google. Toute mise à jour à déployer peut donc se produire en quelques secondes sur tous les appareils. Pendant ce temps, Google Chrome marque maintenant tous les sites HTTP non chiffrés comme "non sécurisés" afin de donner aux clients plus d'informations sur les sites potentiellement dangereux.

Bien que les Chromebooks soient l’ordinateur de choix des professionnels de la sécurité, leur système d’exploitation sécurisé ne fonctionnera pas pour tout le monde. C'est donc la responsabilité des grandes entreprises, comme le dit Mercer, de mordre la balle et d'investir dans une technologie sécurisée. Personne ne veut être la raison d'un autre WannaCry ou Heartbleed.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.