Vidéo: Face au Ministre de l'Intérieur de Monaco, le chef de la police 😰 (Novembre 2024)
Dans cet épisode de Fast Forward, je souhaite la bienvenue à Josh Schwartz, responsable de la Red Team interne de Verizon Media. Cela signifie qu'il passe ses journées à essayer de pirater les systèmes les plus précieux et les plus fiables de son employeur, idéalement avant que quelqu'un qui n'est pas sur la liste de paie ne fasse la même chose.
Dan Costa: Je pense que les gens ont une vague idée de ce que sont les équipes rouges. ils les ont vus dans des films. Est-ce aussi amusant et excitant qu'il en a l'air à la télévision?
Josh Schwartz: Je souhaite seulement, non? C'est avoir la responsabilité de s'introduire dans les lieux. Bien sûr, c'est assez excitant, mais évidemment, dans les films, tout se passe instantanément et en réalité, ce n'est pas le cas. Cela demande beaucoup de travail… il ne suffit pas de courir et de faire des farces.
Il s'agit en fait d'essayer d'influer sur le changement au sein d'une organisation, d'essayer d'informer l'organisation de la question "Que font vraiment les méchants?" Ce rôle de faire partie de l’équipe rouge interne est, bien que toujours passionnant, que je dois encore aller à des réunions, encore fixer des objectifs, des choses comme ça.
Dan Costa: Qui sont les membres de cette équipe? J'imagine qu'il y a beaucoup de programmeurs, mais j'imagine que cela ne se limite pas aux programmeurs.
Josh Schwartz: La diversité des compétences de l'équipe est quelque chose que si nous n'avons pas, nous n'avons pas cette capacité. Il y a très souvent une idée fausse à cause de ce que vous voyez dans les films, c'est comme s'il y avait un pirate informatique qui peut résoudre n'importe quel problème technologique.
Dan Costa: Et il y a le gars de la voiture, le spécialiste des armes.
Josh Schwartz: En réalité, je construis une équipe pour que chaque personne soit un expert en quelque chose. Ce gars est le gars qui sait faire l'intrusion physique et quelqu'un d'autre est un expert en cryptographie et quelqu'un d'autre est un expert en ingénierie sociale. Faire de chaque personne un expert signifie que nous pouvons nous appuyer les uns sur les autres pour… résoudre tout type d’équipe problématique.
Dan Costa: Alors, à quoi ressemble une journée au bureau? Quels types de choses testez-vous?
Josh Schwartz: Être un hacker, c'est un peu être quelqu'un qui aime démanteler des systèmes, n'est-ce pas? C'est la raison pour laquelle nous ne sommes pas criminels en tant que pirates.
Ainsi, au cours d'une journée au bureau, nous fixons des objectifs en fonction des résultats, un peu comme les pires scénarios que nous souhaitons voir. Quelles sont les étapes pour que nous passions de rien à la réalisation de cet objectif vraiment mauvais pour l’entreprise? De là, nous pouvons former quelque chose appelé une "chaîne de destruction". Une journée au bureau consiste à déterminer comment concrétiser cette chaîne. Ensuite, nous réfléchissons aux différents endroits où nous pourrions briser cette chaîne. À partir de là, nous rencontrons les parties prenantes, leur expliquons comment les pirates pourraient le faire et nous proposons un petit changement que vous pouvez apporter pour résoudre ce problème.
Dan Costa: Quels sont les vecteurs qui vous inquiètent le plus? Je sais que les TI me disent toujours de ne pas cliquer sur les liens joints dans les courriels ou les pièces jointes. Où voyez-vous les vulnérabilités qui existent toujours?
Josh Schwartz: Si vous cliquez sur des liens et téléchargez des pièces jointes, que vous les exécutez sur votre ordinateur malgré les nombreux avertissements, c'est un problème. Mais nous sommes passés à une nouvelle ère où l’accès aux informations existant dans le cloud et à différents endroits est désormais accessible. Si vous autorisez l'accès à quelqu'un d'autre, c'est également un problème.
Cela finit par être plus problématique que quelque chose qui tourne sur votre ordinateur, car il y a déjà beaucoup de protections autour de ça. Nous avons maintenant des informations qui circulent partout et vous avez le pouvoir de les contrôler. Vous avez une agence pour accorder d'autres accès, c'est un peu la façon dont Internet fonctionne maintenant. Les attaquants, y compris nous-mêmes, se sont un peu plus tournés vers ce genre de choses.
Dan Costa: C'est vraiment extraordinaire de regarder mon propre disque Google Drive et le nombre de fichiers auxquels j'ai accès que je ne devrais vraiment pas. J'imagine que c'est bien pire dans les entreprises qui ne sont pas aussi sophistiquées sur le plan technologique que Ziff Davis et PCMag. Il ne s'agit pas uniquement de fichiers exécutant des programmes malveillants, mais il peut s'agir de documents d'entreprise ou de documents financiers que vous ne voulez vraiment pas que vos concurrents aient, ni d'utilisateurs finaux ni de criminels.
Josh Schwartz: La sécurité en général, c'est ce système holistique. Il ne s'agit pas de "Y a-t-il un bogue dans le système où je vais lancer un exploit et que ça va exploser" ou quelque chose comme ça. Ça ne marche plus comme ça. Ce sont les systèmes interconnectés, les personnes, les processus métier, la technologie qui les prend en charge, ce que nous pensons à ce sujet, les politiques - tout ensemble… c'est la sécurité.
Et la sécurité, souvent, est juste un peu ce que vous ressentez à ce sujet. Que pensez-vous des données et des informations? Quelles mesures pouvez-vous prendre pour le protéger? Si vous y tenez fermement et si les efforts que vous déployez sont inférieurs à ceux des forces autour de vous qui tentent de l'obtenir, vous êtes alors dans l'insécurité. Mais si vous sentez que vous faites assez d'efforts et que rien ne se passe mal, alors vous vous sentez en sécurité. Mais il n'y a pas d'interrupteur marche / arrêt pour la sécurité.
Dan Costa: Parlons un peu de la nature de ces menaces. Il me semble qu'il y a deux ou trois seaux dont on s'inquiète. Le piratage était une chose ludique que les gens faisaient pour accéder à votre ordinateur ou le bloquer. Ensuite, les criminels ont compris comment gagner de l'argent en utilisant ces différentes techniques. Mais il y a aussi des acteurs étatiques et même des entreprises privées qui disposent d'énormes quantités de données sur les personnes. Selon vous, quelles sont les plus grandes menaces invisibles dans le domaine de la sécurité?
Josh Schwartz: Déterminer qui est la plus grande menace finit par déterminer qui vous êtes. La plus grande menace pour vous n'est probablement pas la plus grande menace pour moi, pas plus que la plus grande menace pour une entreprise quelque part. C'est en quelque sorte une question de modélisation de la menace, non? Vous ne choisissez pas simplement la plus grande menace et ne la dirigez pas vers vous. Vous pensez, "Qu'est-ce que j'ai? Qui pourrait le vouloir? Que devrais-je faire à ce sujet?" Et essayez de prendre des mesures pour atténuer ce que vous ne voulez pas voir se produire.
Vouloir montrer que notre pays est la plus grande menace ou cette société est la plus grande menace est quelque chose qui nous met dans un piège où nous commençons à construire un modèle de menace sur tout. Et tandis que nous sommes tellement concentrés sur cette seule petite chose, le monde qui nous entoure change et ensuite, nous sommes pris au dépourvu.
Dan Costa: De nombreuses entreprises ont été victimes de violations massives de leurs données. La plupart d'entre elles sont dues à une sécurité laxiste ou à de mauvaises habitudes. Equifax a blessé des millions d'Américains, mais il n'y a pas eu de conséquences. Ils vont payer une amende, mais tous leurs cadres ont eu des bonus. Pensez-vous qu'il doit y avoir une sorte de changement en termes de responsabilité?
Josh Schwartz: Je suis un type qui s'introduit dans les ordinateurs, pas un décideur politique, alors je ne sais pas vraiment. Peut-être que cela changerait les choses. Probablement, il y aurait des changements, mais au niveau fondamental, penser qu'un changement quelque part change tout et qu'il n'y a plus de problèmes, je pense est un peu à courte vue.
C'est à propos de la façon dont tout fonctionne ensemble. C'est la manière dont nous nous en préoccupons en tant que public, c'est la façon dont les entreprises se soucient de cela. C'est un élément, mais ce n'est pas toute la solution, bien sûr. Et je pense que l’une des grandes choses dont nous avons besoin en tant que praticiens de la technologie ou consommateurs de technologie doit penser, c’est que la sécurité n’est pas le travail de chacun dans une tour d’ivoire: actionner le bon commutateur et tout rendre parfait. Les changements les plus mineurs dans les comportements que nous pouvons adopter pour rendre les choses un peu plus sûres… pour tout le monde.
Dan Costa: Quelles sont vos habitudes en matière de sécurité personnelle? Utilisez-vous un VPN? Utilisez-vous une détection de logiciels malveillants disponible dans le commerce?
Josh Schwartz: Cela revient au modèle de la menace, non? Cela dépend de ce que je fais à l'époque. Un VPN vous protège de certaines choses, mais la connexion à un VPN ne vous protège pas des virus. La connexion à un VPN change essentiellement votre position dans le monde et cela peut parfois être utile si vous en avez besoin.
Cela met votre trafic dans un petit tunnel et ce tunnel vous emmène ailleurs et le trafic sort ailleurs. Un VPN est utile si l'endroit où vous vous trouvez est un peu dangereux ou si vous ne voulez pas que quelqu'un sache où vous en êtes. L'idée que je suis connecté à un VPN et que je suis en sécurité sur Internet, ce n'est pas si vrai.
Pour moi personnellement, je pense que le plus important est les gestionnaires de mots de passe. Ils sont un peu nouveaux, mais s'ils étaient plus nombreux, ils seraient dans un bien meilleur endroit. Il y a eu toutes ces violations, non? Vous les connaissez bien. Donc, en tant qu'adversaire offensif, ceux-ci ne sont pas privés. Tout ce qui a été divulgué est disponible sur Internet. Nous pouvons organiser une grande liste de tout, rechercher des mots de passe et voir ceux que vous avez utilisés auparavant.
Ensuite, si j'essaie d'accéder à quelque chose que vous possédez, si je peux aller chercher le mot de passe que vous avez utilisé auparavant, je sais un peu de vous et je peux prendre cette information et essayer de la réutiliser ou d'essayer de deviner ce que votre le prochain mot de passe pourrait être. Utiliser un gestionnaire de mots de passe et rendre chaque mot de passe super unique pour chaque site que vous visitez est en fait une bonne chose qui soulage le cerveau humain. Vous ne devez vraiment la protéger qu’à un seul endroit, ce qui simplifie grandement la sécurité.
Dan Costa: Nous sommes de grands fans des gestionnaires de mots de passe chez PCMag. J'utilise LastPass depuis près de 10 ans. Une fois que vous en avez fini avec le fait de ne pas connaître vos mots de passe, c'est un tel soulagement. Cela me rappelle aussi que nous avons en quelque sorte oublié la faille Yahoo, qui a laissé filtrer de nombreux noms d'utilisateur et mots de passe. C'était il y a des années et plus personne ne se souciait vraiment de Yahoo, mais l'intérêt de ce piratage et des cybercriminels réside dans le fait que beaucoup de gens utilisent encore ces mots de passe qu'ils avaient utilisés sur Yahoo il y a 10 ans. Et vous pouvez rechercher tous ces mots de passe.
Josh Schwartz: Cela dépend du comportement humain. Cela se résume au fait que vous avez des habitudes d’humain et d’attaquant. C'est souvent ce que je cherche à exploiter. Ce n'est pas la technologie. La technologie continuera de s’améliorer et continuera d’accroître la sécurité et deviendra de plus en plus sécurisée, car nous en avons besoin pour faire avancer les affaires.
Mais le comportement humain est en quelque sorte notre responsabilité de changer. Et si nous ne modifions pas nos habitudes et ne renforçons pas notre sécurité, aucune technologie ne peut nous protéger de rien.
Dan Costa: Existe-t-il d'autres habitudes qu'un gestionnaire de mots de passe que les consommateurs vont devoir adopter, d'autant plus que nous passons à l'âge d'internet des objets et que tout est tellement plus connecté?
Josh Schwartz: Si vous y réfléchissez, ce n'est plus uniquement votre ordinateur. Ce sont des appareils partout et certaines habitudes. Vous pensez peut-être que votre téléphone n'est pas si important, mais le mot de passe que vous avez mis sur le téléphone est essentiellement votre mot de passe. Le téléphone a accès à un grand nombre des éléments auxquels votre ordinateur pourrait avoir accès. Pensez à tout ce que vous touchez qui interagit avec toutes les données que vous souhaitez protéger et assurez-vous de les traiter de manière aussi sensible que votre ordinateur portable, votre ordinateur de bureau ou l'ordinateur de travail.
Dan Costa: La semaine dernière, quelques personnes de RSA ont interrogé un responsable de la NSA, qui a déclaré: «Quel que soit le cryptage du téléphone, ils peuvent accéder au téléphone, car la plupart des gens ne verrouillent toujours pas leur téléphone. Il y a beaucoup de gens qui ne verrouillent pas leur téléphone du tout et qui n'ont besoin d'aucun chiffrement pour résoudre ce problème. C'est juste le comportement de l'utilisateur pur.
Josh Schwartz: Ou le mot de passe est composé de zéros ou de tous les zéros, ou quelque chose comme ça. Il y a toujours cette idée que, à mesure que les technologies progressent et que votre mot de passe devient plus important, comme votre empreinte digitale, votre visage ou quelque chose du genre, il y aura toujours des attaques et des contournements. J'ai juste besoin de te trouver et de diriger ton téléphone vers ton visage ou j'ai besoin de te couper un doigt et de le mettre sur ton téléphone.
Dan Costa: Également vu dans de nombreux films.
Josh Schwartz: Oui, mais nous ne le faisons pas ces jours-ci, ce qui est bien.
Dan Costa: Ainsi, vous êtes à court de membres de l'équipe.
Josh Schwartz: Et avec les doigts, il est difficile de taper.
Dan Costa: Ils peuvent travailler sur 10 projets et ensuite, c'est tout. Alors, dites-moi ce que vous faites, quel est l’équilibre entre l’ingénierie sociale et le piratage technique? Et ce mélange change-t-il au fil du temps?
Josh Schwartz: L'ingénierie sociale a toujours été mon pain quotidien. C'est le chemin de moindre résistance très souvent. Je dirais que c'est un mélange. Il s’agit en grande partie d’essayer de comprendre ce qui existe réellement, mais c’est intéressant. L'ingénierie sociale, ce n'est pas seulement dans le monde offensif. Si vous pensez à la façon dont une équipe rouge interne existe dans une entreprise… nous faisons du piratage technique et nous utilisons l'ingénierie sociale, physique, et tout est combiné pour essayer d'exécuter cette chaîne de destruction, accomplir la mission.
Mais ensuite, si vous réfléchissez à ce que la sécurité essaie de faire, nous essayons d’associer tous les ingénieurs de la société à l’ingénierie sociale pour qu’ils aient de meilleures habitudes pour le plus grand bien. Souvent, il s'agit de raconter l'histoire de ce que nous avons fait et d'éduquer les gens au sein de… la société "voici comment cela fonctionne, voici ce que vous pouvez faire pour être meilleur". C'est l'ingénierie sociale. L’ingénierie sociale est donc l’essentiel du travail, car il consiste à amener les gens à se préoccuper de la sécurité de la bonne manière, à faire les bons choix et, espérons-le, à se préoccuper des bonnes choses.
Dan Costa: J'imagine que lorsque les gens reçoivent des courriels de votre part, ils ne veulent pas répondre. Si vous demandez quelque chose, je n’imagine pas que la première réponse est non.
Josh Schwartz: Les équipes rouges se sont métamorphosées au cours de la dernière décennie. Vous commencez dans cet endroit où vous êtes extrêmement accusatoire, extrêmement offensif, vous essayez de battre le tambour et de faire savoir à tout le monde que la sécurité est importante. À cette époque, les gens vous considéraient comme un adversaire, car c’est votre travail.
J'ai eu personnellement des expériences où je monte dans l'ascenseur et les gens me disent: "Oh, je ne veux pas aller à mon étage, car l'équipe rouge est ici", et je suis comme: "Je ne suis pas vraiment nul gars." Cela a changé au fil du temps, car au final, nous visons tous le même objectif: protéger les informations, protéger nos consommateurs. Donc, alors que nous travaillons ensemble et partageons des informations sur ce que nous avons fait en tant qu’adversaires, ce type de fusées nous permet de nous considérer comme un allié et un ami, mais il a fallu un certain temps pour y arriver. Mais je vois une tendance dans la bonne direction, alors c'est bien.
Dan Costa: Génial. Je vais vous poser quelques questions que je pose à tout le monde qui vient sur le spectacle. Y a-t-il une tendance technologique qui vous concerne, quelque chose qui vous empêche de dormir la nuit?
Josh Schwartz: Cela me tient éveillé la nuit? Peut-être l'omniprésence et le confort que nous obtenons avec toute la technologie qui nous entoure. Pas tellement… en fait, la vraie réponse est que rien ne me garde éveillé la nuit.
Dan Costa: Tu dors bien.
Josh Schwartz: Je vois les pires choses et cela revient à accepter le risque, je me dis "Ok, je sais comment est le monde, je sais ce qui est possible et ça va me convenir." Je sais que la technologie va infuser ma vie partout dans le monde et je vais faire le choix de l'accepter, mais je vais opérer de manière à ce que je comprenne cela et je dors comme un bébé.
- Les meilleurs gestionnaires de mots de passe gratuits pour 2019 Les meilleurs gestionnaires de mots de passe gratuits pour 2019
- Comment savoir si votre mot de passe a été volé Comment savoir si votre mot de passe a été volé
- Facebook stocké jusqu'à 600 millions de mots de passe utilisateur en texte brut Facebook stocké jusqu'à 600 millions de mots de passe utilisateur en texte brut
Dan Costa: D'accord, y a-t-il une technologie que vous utilisez tous les jours ou un outil ou un service qui inspire les merveilles?
Josh Schwartz: Eh bien, ce n'est pas mon téléphone portable, mais honnêtement, il y a beaucoup de choses qui sont en train de se poser et qui me préoccupent et je me sens surtout impatient. J'aimerais qu'ils arrivent plus vite. Je suis enthousiasmé par l'avenir de l'intelligence artificielle, de l'apprentissage automatique et des choses qui, espérons-le, nous donneront un monde plus connecté. Surtout, je l'attends juste. Mais rien ne me surprend vraiment trop, je pense.
Dan Costa: Alors, comment les gens peuvent-ils suivre ce que vous faites, ce que vous êtes autorisé à dire publiquement aux gens, comment peuvent-ils vous trouver en ligne?
Josh Schwartz: Je m'appelle FuzzyNop, pour que les gens puissent me trouver n'importe où.
