Crédit : Dreamstime
Les chercheurs en cybersécurité travaillent dur pour assurer la sécurité du monde numérique, mais de temps en temps, leur propre sécurité physique est en danger. Quiconque est resté dans ce domaine assez longtemps est en fait tombé sur des histoires de spécialistes de la sécurité informatique recevant des risques ou a lui-même vécu des événements.
Un expert en sécurité qui souhaitait rester anonyme pour sécuriser sa maison a déclaré qu' » un certain nombre des personnes se concentrant sur la cybercriminalité ont couru des risques de mort » au cours des deux dernières années, et certaines d’entre elles ont même choisi de voler sous le radar ou de déménager pour faire d’autres choses. Ils ne souhaitent pas mettre leurs proches en danger « du fait que papa est un chercheur en sécurité et fait venir des méchants », a-t-il déclaré.
Sur infosec Twitter et lors de conférences, les chercheurs partagent des incidents et discuter des moyens de se protéger dans ces circonstances. Ils disent qu’appeler les autorités ou le FBI n’aide guère.
» Je tiens à vous informer d’aller contacter la police fédérale, je tiens à vous informer d’aller contacter un service de police, mais d’après ce que j’ai vu, il ne fait rien », a déclaré le spécialiste de la sécurité Matt Smith de Castle Lock Tools. » Cela peut prendre des mois pour obtenir une arrestation pour un seul événement, sans parler de cette personne qui est en liberté depuis assez longtemps. «
Alors que quelques chercheurs utilisent ces risques comme un insigne d’honneur, la majorité d’entre eux font tout ce qui est en leur pouvoir pour rester en sécurité.
Ils réduisent leur empreinte numérique, examinent en arrière-plan chaque individu non identifié qui les approche via les réseaux sociaux, utilisent des boîtes postales au travail plutôt que des adresses et s’abstiennent de publier quoi que ce soit en ligne qui pourrait les lier à leur famille.
Avec la récente montée des rançongiciels et l’escalade des tensions géopolitiques entre la Russie, la Chine, la Corée du Nord et l’OTAN, le travail d’au moins certains spécialistes de l’infosec devient dangereux. « Je ne sais pas si la situation s’est aggravée, mais je peux dire que la situation ne s’est pas améliorée du tout », a déclaré Ronnie Tokazowski, principal conseiller en matière de menaces chez Cofense. groupes
Les groupes de cybercriminels connaissent une excellente année jusqu’à présent. La variété des attaques de rançongiciels est à son plus haut niveau et le paiement typique a en fait dépassé 900 000 $.
La timide coopération entre les États-Unis et la Russie pour réprimer le phénomène semble s’être arrêtée après que la Russie a attaqué l’Ukraine et que l’Occident a réagi avec des sanctions. Quelques semaines plus tôt, l’affaire contre les membres déclarés du groupe de hackers REvil « était dans une impasse », selon le journal russe Kommersant.
« Beaucoup de ces groupes de rançongiciels font face à un sentiment d’impunité », a déclaré Allan Liska, analyste du renseignement chez Recorded Future. » Tant qu’ils ne quittent pas la Russie, il n’y a littéralement aucun effet pour toutes les mauvaises choses qu’ils font. Ils peuvent être plus audacieux et plus audacieux et avoir la couverture du Kremlin pour les protéger. «
Comme Liska En d’autres termes, ce type de sécurité a en fait permis aux gangs de faire « des choses assez vicieuses » aux experts en sécurité pendant de nombreuses années. Bien qu’il n’ait personnellement couru aucun danger direct, il a entendu parler de tels incidents, en particulier lorsque des experts de la sécurité informatique se sont engagés à un niveau individuel avec des malfaiteurs.
« Je comprends que dans au moins un cas, le groupe de rançongiciels a menacé l’enfant d’un scientifique », a-t-il déclaré.
Il y a eu des circonstances dans lesquelles les cybercriminels ont découvert où les professionnels de la sécurité vivaient et collectaient détails sur chaque parent. Ils ont publié ces informations sur des forums en ligne clandestins, invitant d’autres personnes de leur quartier à les cibler.
Liska note que les gangs ont tendance à travailler ensemble et à partager des informations plus qu’ils ne le faisaient il y a quelques années. « Ils ont des sites Web d’extorsion ; ils ont la capacité non seulement de publier des informations sur les victimes, mais aussi de dire tout ce qu’ils pensent », a-t-il ajouté.
Ces derniers mois, les cybercriminels ont également fini par être plus agressifs , avec des effets prospectifs sur la sécurité des scientifiques. Un exemple est le groupe Conti, qui a ciblé des dizaines d’organisations au Costa Rica et poussé le président Rodrigo Chaves à déclarer l’état d’urgence à l’échelle nationale. Les pirates ont révélé qu’ils visaient à renverser le gouvernement fédéral, un objectif inhabituel pour un gang de rançongiciels.
Cette attaque sans précédent « marque une nouvelle escalade des activités de rançongiciels », a déclaré Lauren Zabierek, directrice exécutive de la cybertâche chez Belfer Center de la Harvard Kennedy School. » S’ils voient qu’ils peuvent retenir toute une nation captive et obtenir une rançon en toute impunité, cela rendra l’environnement plus acceptable. «
Pour Liska, des incidents comme ceux-ci prouvent que les lignes entre les groupes de rançongiciels et la nation -les étoiles d’état deviennent plus floues. Pourtant, les stars des États-nations sont beaucoup plus ingénieuses, y compris lorsqu’elles ciblent les scientifiques de la sécurité, et leurs risques peuvent être plus subtils.
Par exemple, il y a eu des cas où des experts qui se sont rendus à des conférences ont vu leurs espaces examinés ou ont reçu de petits cadeaux suggérant qu’ils arrêtent leurs enquêtes.
Des personnes travaillant pour des États-nations Les stars ciblent également les professionnels de l’infosec sur LinkedIn, Twitter, Telegram, Keybase, Discord, les e-mails ou d’autres canaux, déclarant dans certains cas qu’ils souhaitent utiliser la parole avec des tâches ou collaborer avec eux sur la recherche de vulnérabilités.
En janvier En 2021, le groupe d’analyse des risques de Google a découvert que des pirates nord-coréens se faisaient passer pour des rédacteurs de blogs sur la cybersécurité et ont envoyé une tâche Visual Studio à des spécialistes de la sécurité.
« Dans la tâche Visual Studio, il y aurait… une DLL supplémentaire qui serait exécutée via les événements de construction de Visual Studio », a écrit Adam Weidemann sur le blog de Google. » La DLL est un logiciel malveillant personnalisé qui commencerait immédiatement à interagir avec les domaines C2 contrôlés par des acteurs. »
Weidemann et ses collègues ont également découvert que deux scientifiques avaient en fait été compromis après avoir vérifié un lien envoyé par ces hackers nord-coréens.
» Si vous craignez d’être ciblé, nous vous conseillons de compartimenter vos activités d’étude de recherche en utilisant différentes machines physiques ou virtuelles pour la navigation Web générale, en vous connectant avec d’autres personnes dans l’étude de recherche communauté, acceptant des fichiers de tiers et votre propre étude de recherche sur la sécurité « , a écrit Weidemann.
L’histoire ne s’est pas arrêtée là. En novembre 2021, Google a annoncé que des pirates nord-coréens prétendaient également être des employeurs chez Samsung, envoyant des PDF détaillant les opportunités de tâches dans le but réel d’installer un cheval de Troie de porte dérobée sur les systèmes informatiques des scientifiques.
Recherche bogues et risques juridiques
Les menaces ne se limitent pas aux professionnels de la sécurité informatique qui enquêtent sur des groupes parrainés par l’État ou des gangs de rançongiciels. Les chasseurs de bogues et les professionnels de la sécurité physique peuvent également être ciblés, dans certains cas par les mêmes organisations qu’ils essaient d’aider. C’est arrivé au crocheteur Matt Smith à plusieurs reprises.
« La toute première fois que j’ai travaillé sur une serrure individuellement, et l’entreprise l’a appris », a-t-il déclaré. » Ils se sont donnés beaucoup de mal pour tenter de me retrouver et me poursuivre en justice, consistant à menacer d’assigner un forum en ligne pour qu’il quitte mon adresse IP. «
La deuxième fois, cependant, c’était encore pire. Smith a eu un danger physique.
« J’avais affaire à Abloy Protec II, et parmi leurs revendeurs américains, j’étais vraiment en colère que sa serrure la plus sûre et la plus sécurisée puisse peut-être être vulnérable », se souvient-il. » Alors, il a commencé à m’envoyer des e-mails abusifs exigeant que je lui dise ce que je faisais. Quand je n’ai pas répondu avec les réponses qu’il voulait, il a menacé de « me faire comprendre » et « ne se souciait pas de savoir comment beaucoup d’argent que cela a coûté. «
Certains des e-mails reçus par Smith étaient particulièrement impitoyables. « Il m’envoyait des captures d’écran de mon visage lors de discussions en ligne et des photos de Google Earth de la rue où il croyait que j’habitais. Ce n’était pas bien, mais c’était assez suffisant pour être inquiétant », a-t-il déclaré. Smith n’a jamais répondu à cette personne et a changé son adresse e-mail.
Les chasseurs d’insectes devraient également savoir comment naviguer dans les dangers.
» Bien que les réponses que vous obtenez soient généralement indésirables, plus vous travaillez longtemps dans cette industrie, plus vous vous habituez à celles-ci « , a déclaré Tom Van de Wiele, principal scientifique en technologie et risques chez WithSecure.
Opérer dans ce domaine l’a rendu « plus prudent », et cela lui a également appris « à être bien mieux préparé pour traquer et trouver des problèmes encore plus importants, quel langage utiliser compte tenu du groupe cible », et comment aligner ses attentes en fonction de l’entreprise avec laquelle il traite.
Souvent, les chasseurs de bogues sont intimidés par des organisations qui menacent de les poursuivre. Une méthode pour contourner cela consiste à créer des rapports détaillés. Lorsqu’ils bloguent sur l’effet de la vulnérabilité, les chercheurs doivent commencer par le risque technique, puis le traduire en risque organisationnel et inclure les personnes susceptibles d’être touchées. Van de Wiele a déclaré que les scientifiques doivent également montrer qu’aucune loi n’a été enfreinte dans la procédure.
« Surtout : assurez-vous que vous pouvez utiliser différents cours et recommandations d’atténuation pour corriger ce que vous avez découvert, » Van de Wiele a ajouté.
» Il est simple de terminer un livre blanc ou un rapport par ‘fix it’ et de se tourner vers l’outrage-as-a-service sur les réseaux sociaux. Il vaut mieux penser en plus de l’entreprise qui est touchée sur la façon dont ils peuvent atténuer le coup en ce moment à court terme tout en réfléchissant à des solutions plus durables sur la façon de réduire le danger à un non-problème. «
Sauvegarder le groupe de recherche sur la sécurité
Travailler dans la cybersécurité implique souvent de prendre des risques. « C’est la nature du monstre ou la nature du travail », comme le dit Tokazowski de Cofense.
Certains experts en sécurité doivent faire la distinction entre la sécurité de leur famille et la publication de recherches sous leur nom. C’est pourquoi les entreprises effectuant des travaux sensibles, tels que le suivi des organisations terroristes, peuvent choisir de ne pas inclure les noms des scientifiques dans les rapports qu’elles publient.
Les scientifiques de la sécurité essaient d’apprendre les uns des autres et d’améliorer continuellement leur défense. Raisonnablement, cependant, ils ne peuvent pas faire grand-chose. « C’est difficile car, pour les individus, il semble qu’il n’y ait pas beaucoup de recours, à part aller voir les flics ou le FBI pour signaler l’infraction pénale », a déclaré Zabierek de la Harvard Kennedy School.
« Il existe des groupes comme le Cybercrime Assistance Network qui visent à aider les victimes privées de la cybercriminalité, et ce serait formidable s’ils pouvaient obtenir une assistance institutionnelle pour étendre leurs activités afin d’aider les gens à travers les États-Unis. »
Les entreprises qui souhaitent faire cela pour sécuriser leurs employés doivent s’assurer en permanence que leurs pratiques de sécurité interne sont à jour. Ils doivent également se préparer aux pires circonstances, en ayant des procédures en place pour les situations dans lesquelles l’un de leurs employés est ciblé.
Celles-ci doivent être basées sur plusieurs conceptions de risque, en tenant compte du travail effectué par chaque équipe interne. . Les équipes peuvent recevoir des listes de contrôle pour ce genre de circonstances, qui répertorient les choses à faire et à ne pas faire, et les personnes à appeler. Naturellement, ces traitements doivent être révisés de temps en temps et testés chaque fois que possible.
Protéger les maisons et les bureaux
Les experts d’Infosec connaissent bien la question de la sécurité numérique et leurs dispositifs. Certains font un effort supplémentaire et empêchent de partager des informations individuelles en ligne. D’autres, comme Smith, ne publient que de faux détails sur leurs profils de médias sociaux.
« Vous devez vous assurer que vous prenez toutes les mesures de sécurité appropriées pour protéger votre maison, votre foyer », a déclaré Liska.
En plus de la sécurité en ligne, infosec les professionnels doivent également se concentrer sur la sécurité physique. Smith suggère d’avoir plusieurs anneaux de sécurité : des clôtures, des murs, des portes solides et même des portes verrouillables à l’intérieur. » J’utilise des serrures que je ne peux pas forcer/crocheter, des portes que je ne peux pas contourner et des secrets difficiles à copier « , a-t-il déclaré. » Même si quelqu’un peut accéder à mes secrets, les blancs sont restreints, ils sont donc plus difficiles à copier. »
Parmi les serrures qu’il recommande figurent ASSA Twin, EVVA MCS et Abloy Protec II, qu’il pense sur le point d’être le plus sûr et sécurisé. Pourtant, même ceux-ci peuvent être battus. » Cependant, si votre adversaire est capable de les ouvrir sans le secret, alors vous restez dans une situation difficile « , déclara-t-il.
La porte elle-même doit également être solide. Il doit avoir un cadre solide sans espaces au bas ni sur les bords arrondis pour éviter que des objets ne pénètrent dans la maison.
« Les charnières d’une porte sont un point faible, il est donc préférable de les avoir à l’intérieur », a ajouté Smith. Le chercheur recommande également d’utiliser une boîte aux lettres externe au lieu d’une fente pour le courrier intégrée dans la porte, car cela pourrait permettre à un attaquant d’accéder à l’arrière de la porte.
En plus d’un solide verrouillage multipoint porte, les maisons et les lieux de travail doivent également utiliser la vidéosurveillance. « Assurez-vous qu’il est câblé et non sans fil, car le brouillage ou le simple fait de lancer des paquets de mort sur des appareils peut les empêcher de fonctionner », a déclaré Smith. » C’est exactement la même chose avec les systèmes d’alarme. Câblés, toujours. Les capteurs d’alarme doivent être configurés efficacement car de nombreuses affaires d’alarme laissent des angles morts. «
Selon le scientifique, le câblage de la vidéosurveillance et des alarmes doit être être inaccessible de l’extérieur, et le boîtier d’enregistrement CCTV doit sauvegarder quoi que ce soit sur le cloud. » Si possible, donnez accès à la vidéosurveillance à plus d’une personne, afin qu’il y ait une redondance en cas d’événement « , a déclaré Smith. Les meilleurs systèmes inspectent périodiquement les interactions et émettent une alarme si les communications diminuent.
Quelques autres éléments à prendre en compte : faites attention à l’éclairage de sécurité, qui doit être piloté par un capteur. Utilisez une boîte postale pour que votre adresse soit plus difficile à retrouver, variez vos sorties pour rendre vos déplacements moins prévisibles, et soyez gentils avec vos voisins pour qu’ils vous informent si quelqu’un entre chez vous.
Jusqu’où un scientifique doit aller pour sécuriser sa maison dépend de son travail et des niveaux de danger avec lesquels il est à l’aise. « Chacun doit mesurer sa propre menace et prendre les mesures préventives appropriées », a déclaré Liska.
Néanmoins, il reste encore beaucoup à faire pour soutenir les experts de la sécurité informatique et leur permettre de poursuivre leur travail. Ils « ont besoin d’avoir confiance en eux que le gouvernement peut aider à les protéger ou les aider à se remettre de ces menaces », a déclaré Zabierek.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
