Much @Stake: La bande de pirates informatiques qui a défini une époque
Un grand nombre des sommités de la cybersécurité actuelles, y compris Alex Stamos, l'ancien responsable de la sécurité sur Facebook, ont des racines dans une société appelée @stake. L'extrait suivant, tiré de Joseph Menn Culte de la vache morte: Comment le super-groupe de piratage original pourrait-il sauver le monde?, retrace l'influence durable de l'entreprise.
Deux ans avant le 11 septembre, un fournisseur de services de renseignements que j'appellerai Rodriguez était à Beijing lorsque les forces de l'OTAN dans l'État de Yougoslavie en décomposition ont lancé cinq bombes américaines sur l'ambassade de Chine à Belgrade, faisant trois morts. Washington s'est rapidement excusé pour ce qu'il avait dit d'être une erreur de ciblage, mais les Chinois étaient furieux. Dans un discours télévisé à la télévision, le vice-président chinois Hu Jintao a qualifié le bombardement de "barbare" et de criminel. Des dizaines de milliers de manifestants ont afflué dans les rues, jetant des pierres et faisant pression contre les portes de l'ambassade américaine à Pékin et des consulats dans d'autres villes.
Les États-Unis avaient besoin de savoir ce que les foules en colère feraient ensuite, mais le personnel de l'ambassade était coincé à l'intérieur de leurs bâtiments. Rodriguez, travaillant en Chine en tant que citoyen privé, pouvait toujours se déplacer. Il a vérifié avec un ami sur le bureau Chine de la CIA et lui a demandé comment il pourrait aider. L’analyste a demandé à Rodriguez d’aller au courant de ce qui se passait, puis de se rendre dans un cybercafé pour voir s’il pouvait produire un rapport à partir de là. Une fois dans un cybercafé, Rodriguez a de nouveau demandé conseil pour transmettre quelque chose sans que cela ne soit pris au piège des communications internationales de la Chine. L'analyste a demandé l'adresse du café. Lorsque Rodriguez lui a dit exactement où il se trouvait, l'analyste a ri. "Pas de problème, vous n’avez rien à envoyer", at-il expliqué. "Back Orifice est installé sur toutes ces machines." Pour signaler l'endroit où il souhaitait que Rodriguez s'asseye, il éjecta à distance le plateau de CD d'une machine. Il a ensuite lu tout ce que Rodriguez avait écrit en tapant les meilleurs reportages sur le terrain en provenance de Beijing. Rodriguez effaça ce qu'il avait tapé et sortit sans laisser aucune trace de l'écriture.
Certains pirates se sont sentis grand accomplissement dans le service gouvernemental. Servir le gouvernement à la suite des attaques terroristes leur a donné une chance de s’intégrer dans la société comme jamais auparavant, unis par une cause commune. Mais pour trop de membres de cette cohorte, ce qui a commencé avec la clarté morale a fini par comprendre que la moralité peut s'effondrer lorsque les gouvernements se battent contre les gouvernements. Ce fut le cas avec un membre de la force de frappe cdc Ninja que j'appellerai Stevens. Alors que Al-Qaeda devenait de plus en plus connu et recrutait depuis la destruction, le Commandement des opérations spéciales conjoint des États-Unis, ou JSOC, a intensifié le recrutement de pirates américains comme Stevens. Certains agents ont installé des enregistreurs de frappe dans des cybercafés en Irak, permettant ainsi aux superviseurs de savoir quand une cible s'est connectée à des comptes de messagerie surveillés. Ensuite, l'équipe suivrait la cible physiquement alors qu'il partait et le tuait.
Après le 11 septembre, l’armée a envoyé Stevens dans un autre pays et l’a affecté à tout faire comme un geek, de la mise en place de serveurs à l’intrusion dans le téléphone de suspects de terrorisme capturés. Bien qu'il soit un spécialiste de la technologie, les petites équipes étaient proches et les membres se substituaient les uns aux autres en cas de besoin. Parfois, les choses tournaient mal et les décisions prises sur le terrain le forçaient à faire des choses pour lesquelles il n’avait pas été entraîné ni préparé mentalement. «Nous avons fait de mauvaises choses aux gens», a-t-il déclaré des années plus tard, toujours aux prises avec le traumatisme.
Alors que le gouvernement américain intensifiait ses efforts d'espionnage après le 11 septembre, il devait découvrir de nouvelles vulnérabilités qui permettraient l'intrusion numérique. Dans le commerce, on les appelait souvent «zéro jour», car le fabricant de logiciels et ses clients n'avaient aucun jour d'avertissement pour réparer la faille. Une faille de dix jours est moins dangereuse car les entreprises ont plus de temps pour développer et distribuer un correctif et que les clients sont plus susceptibles de l’appliquer. La demande accrue de jours zéro a fait monter les prix.
Une fois les dollars multipliés, les pirates informatiques qui possédaient les compétences les plus solides pour trouver des bugs que d'autres ne pouvaient pas, seuls ou avec des outils spécialisés, ne pouvaient désormais plus gagner leur vie que cela. Et ensuite, ils devaient choisir. Ils pourraient vendre directement à un contractant gouvernemental et espérer que la faille servirait à la poursuite d'une cible qu'ils n'aiment pas personnellement. Ils pourraient vendre à un entrepreneur et décider de ne pas se soucier de son utilisation. Ou bien ils pourraient vendre à un courtier qui contrôlerait ensuite le lieu. Certains courtiers ont prétendu avoir vendu uniquement aux gouvernements occidentaux. Parfois c'était vrai. Ceux qui ne disaient rien de leurs clients payaient le plus. Pour la première fois, il était relativement simple pour les meilleurs pirates informatiques de choisir une position éthique et de facturer en conséquence.
Il n’était dans l’intérêt de personne de décrire ce marché. Le rôle du gouvernement a été classé comme secret. Les contractants étaient également tenus au secret. Les clients des courtiers ne voulaient pas que l’attention soit portée à leur chaîne d’approvisionnement. Et la majorité des pirates informatiques ne voulaient pas s’annoncer comme des mercenaires ou se faire une cible pour d’autres pirates informatiques ou des gouvernements susceptibles de vouloir les pirater pour une récolte facile en un jour zéro. Le commerce gris a donc progressé, alimenté par des rumeurs utiles à Def Con et ailleurs, et est resté à l'abri des regards du public pendant une décennie.
Les premiers articles grand public sur les affaires du jour zéro sont apparus peu de temps avant qu'Edward Snowden ne dévoile qu'il s'agissait d'un élément fondamental de la pratique du gouvernement américain en 2013.
En grande partie à cause de Snyder, Apple a mis en œuvre de nouvelles techniques rendant les iPhone impénétrables à la police et à Apple, à la grande frustration du FBI.
Lorsque les capacités offensives ont explosé, la défense s'est effondrée. Des entreprises comme @stake ont essayé de protéger les plus grandes entreprises et, plus important encore, de faire en sorte que les plus grands fabricants de logiciels améliorent leurs produits. Mais tout comme le gouvernement, le monde criminel avait découvert le piratage informatique de façon considérable. Améliorations modestes dans la sécurité des adresses en liste noire envoyant le plus de spam. Cela a incité les spammeurs à engager des auteurs de virus pour capturer des milliers d'ordinateurs propres qu'ils pourraient utiliser pour échapper aux blocages de spam. Et une fois qu’ils ont eu ces réseaux de robots, connus sous le nom de «botnets», ils ont décidé de voir ce qu’ils pouvaient en faire d’autre. À partir de 2003, les criminels organisés, dont une majorité en Russie et en Ukraine, sont à l'origine de la plupart des problèmes informatiques graves en Amérique. Pour ajouter facilement à leurs activités, les opérateurs de réseaux de zombies ont utilisé les machines captives de leurs réseaux pour lancer des attaques par déni de service rendant les sites Web inaccessibles, exigeant ainsi l’arrêt des paiements d’extorsion via Western Union. Ils ont également exploité les informations d'identification bancaires en ligne de propriétaires peu méfiants pour leur permettre de drainer leurs avoirs. Et quand ils ont manqué d'idées, ils ont loué leurs réseaux de zombies à des étrangers qui pourraient essayer d'autres astuces. En plus de cela, l'espionnage international passait à la vitesse supérieure, parfois avec des alliés du monde criminel aidant les officiels dans leurs quêtes.
Hors de @stake est venu le fourrage à la fois pour l'offensive et la défense. En attaque, Mudge a démissionné pour travailler dans une petite entreprise de sécurité, puis est retourné à BBN pendant six ans en tant que directeur technique pour des projets d'agence de renseignement. Son collègue @stake et ancien combattant de la NSA, Dave Aitel, a lancé Immunity Inc., en vendant des trousses d'outils offensantes utilisées par les gouvernements et les entreprises à des fins de tests et d'espionnage. Il a également vendu zéro-day et l'a reconnu dans la presse, ce qui était rarement le cas à l'époque en raison de préoccupations éthiques et de la crainte de questions de suivi sur les clients qui faisaient quoi avec les informations. Aitel a fait valoir que d'autres personnes trouveraient les mêmes vulnérabilités et qu'il n'y avait aucune raison de communiquer ses informations aux fournisseurs et de les laisser profiter gratuitement de son travail. Du point de vue du défenseur, "une fois que vous acceptez qu'il y a des bugs inconnus, ce n'est pas le cas lorsque quelqu'un publie une vulnérabilité, mais plutôt vos protections secondaires", a déclaré Aitel, recommandant des outils de détection d'intrusion. , systèmes d’exploitation mis à jour et paramètres restrictifs empêchant les activités inutiles.
Un alun de London @stake s'est installé au-dessus d'un bordel en Thaïlande, a assumé le rôle de Grugq et est devenu le plus célèbre courtier de zéro-jour au monde. Rob Beck, qui avait travaillé avec @stake entre deux postes chez Microsoft, a déménagé à Phoenix et a rejoint le luminaire de Ninja Strike Force, Val Smith, dans une boutique offensive qui travaillait à la fois avec des agences gouvernementales et des entreprises. Une attention particulière a été portée sur les tâches qu’ils ont entreprises et pour qui. "Nous étions des pirates, pas des mercenaires", a déclaré Beck. «Les pirates ont un code.» Ils ont rejeté les travaux illégaux et ceux qui auraient eu l'effet inverse sur le client. Le PDG Chris Darby, l’un des principaux adultes du groupe @, est devenu en 2006 le PDG d’In-Q-Tel, la société de capital-risque soutenue par la CIA dans la Silicon Valley, et Dan Geer a été nommé responsable de la sécurité de l’information, même sans autorisation de l’agence. Darby a ensuite présidé Endgame, un sous-traitant de la défense qui a vendu zéro million de dollars au gouvernement avant de quitter le marché après sa prise de contrôle par des pirates informatiques en 2011.
En défense, Christien Rioux et Wysopal ont lancé Veracode, qui analysait les programmes pour détecter les défauts en utilisant un système automatisé imaginé par Christien afin de faciliter son travail habituel. Après Microsoft, Window Snyder est allé chez Apple. Les logiciels d’Apple avaient moins de lacunes que ceux de Microsoft, mais ses clients avaient plus de valeur, car ils avaient généralement plus d’argent. Snyder a examiné l'écosystème criminel pour détecter les points d'étouffement où elle pourrait rendre la fraude plus difficile. L'une de ses innovations consistait à exiger un certificat de développeur, qui coûtait 100 dollars, pour installer quoi que ce soit sur un iPhone. Ce n’était pas beaucoup d’argent, mais c’était assez rapide pour qu’il devienne économiquement impossible pour les criminels d’expédier des logiciels malveillants de la même manière.
Pour aller plus loin, Snyder a affirmé que les criminels cibleraient moins les utilisateurs d’Apple si la société détenait moins de données à leur sujet. Mais plus de données permettaient également une expérience utilisateur transparente, un thème dominant chez Apple, et les dirigeants ont continué à faire pression sur Snyder pour obtenir la preuve que les consommateurs étaient intéressés. «Cela a été facilité lorsque les gens ont commencé à paniquer à propos de Snowden», a déclaré Snyder. «Lorsque les gens le comprennent vraiment, ils s’y intéressent.» En grande partie à cause de Snyder, Apple a mis en œuvre de nouvelles techniques rendant l’iPhone impénétrable à la police et à Apple, à la grande frustration du FBI. Ce fut la première grande entreprise de technologie à déclarer qu'elle devait se considérer comme un adversaire potentiel pour ses clients, une avancée décisive dans la modélisation des menaces. Encore plus tard, Snyder a décroché un poste de responsable de la sécurité chez le fabricant de puces Intel.
David Litchfield s'est disputé publiquement avec Oracle à propos des prétentions de sécurité exagérées du géant de la base de données. Il a ensuite occupé des postes de plus en plus importants en sécurité chez Google et Apple. Katie Moussouris, une amie de CDD chez @jake, est restée chez le nouveau propriétaire Symantec, puis a déménagé chez Microsoft, où elle a demandé à la société de se joindre à d’autres fournisseurs de logiciels pour payer des primes aux pirates informatiques qui ont détecté des failles importantes. Moussouris a par la suite décidé de son propre chef et a mis en place des programmes de divulgation coordonnée auprès de nombreuses autres organisations, y compris le ministère de la Défense. Elle a également travaillé sans relâche pour que les outils de test de pénétration ne soient plus soumis aux accords internationaux de maîtrise des armements.
Débats éthiques privés tourné chauffé et même dégénéré en piratage intramural. Certains hackers hautement qualifiés qui ont trouvé le jour zéro et les ont maintenus ont condamné le mouvement en faveur d'une plus grande divulgation. Sous la bannière d'Antisec, pour «antisecurity», le plus enthousiaste de ce lot a ciblé des entreprises, des listes de diffusion et des individus qui ont publié du code d'exploitation. Au début, ils ont fait valoir que le fait de donner des exploits permettait aux enfants sans script, comme ceux qui auraient pu être responsables de SQL Slammer. Mais certains d’entre eux ne voulaient tout simplement pas plus de concurrence. Le pirate Stephen Watt et un groupe qui s'appelle le Haut Conseil de Phrack ont incarné le manteau et ont rendu le mouvement Antisec pro-criminel. Watt a par la suite fourni du temps pour fournir un renifleur, qui enregistrait toutes les données traversant un réseau, à Albert Gonzalez, l'un des pirates informatiques américains les plus notoires. Dans un 2008 Phrack Watt s’est vanté d’avoir démarré le projet Mayhem, qui incluait des piratages contre d’importants chapeaux blancs. «Nous nous sommes tous beaucoup amusés», a déclaré Watt. Plus tard, la mission Antisec serait reprise par une nouvelle race d’hacktivistes.
Ted Julian, qui avait débuté en tant que responsable marketing chez @stake avant sa fusion avec le L0pht, a cofondé une société appelée Arbor Networks avec le contributeur open source de l'université du Michigan et le pirate old school w00w00, Dug Song; leur entreprise est devenue une force majeure pour mettre fin aux attaques par déni de service et pour empêcher les vers se reproduisant pour des clients commerciaux et gouvernementaux. Song fondera plus tard Duo Security et étendra l'authentification à deux facteurs aux entreprises géantes telles que Google et aux entreprises de taille moyenne.
Song a appris à connaître les fichiers cDc puis les membres en ligne avant d’être séduit par la version de Back Orifice. En 1999, il a lancé dsniff, un outil de capture de mots de passe et d’autres trafics réseau. Tandis qu'Arbor réfléchissait à plus de travail pour le gouvernement, Song développa discrètement un nouveau renifleur qui capturait des données plus profondes. Il avait prévu de le montrer aux dirigeants de Microsoft lors de la première conférence BlueHat de Window Snyder en 2004. Song a parlé de son renifleur amélioré, qui analysait les contacts et les documents de messagerie instantanée et effectuait des transcriptions complètes des appels voix sur IP, tels que ceux sur Skype. . Il a produit un dossier sur les employés de Microsoft dans le cadre de la démonstration. Il a ensuite décidé que le danger d'un tel outil de surveillance l'emportait sur les avantages pour la sécurité de la capture d'internés en train de voler des données. Il a convaincu les autres dirigeants d'Arbor d'abandonner les projets et d'enterrer son projet.
Un des jeunes talents de @ enjeu avait travaillé au bureau de San Francisco. Alex Stamos avait récemment quitté l'UC Berkeley pour admirer Mudge et les autres fondateurs. Alors que @stake était absorbé par Symantec, il a décidé de créer une nouvelle société avec quatre amis. @stake avait montré qu'il était possible de gérer une entreprise qui avait un impact positif considérable sur la sécurité des gens ordinaires. Mais il avait deux défauts principaux qu'il espérait corriger dans la nouvelle société. La première était que cela avait pris de l'argent de risque, ce qui le mettait à la merci d'objectifs financiers irréalistes. En déclinant les investissements extérieurs, Stamos et ses partenaires, dont Joel Wallenstrom et Jesse Burns de @stake, ont mis chacun 2 000 $ et ont démarré le nouveau cabinet de conseil, iSec Partners. Plutôt que de peser lourd sur la direction et les vendeurs, il fonctionnait comme un cabinet d’avocats, chaque associé gérant ses propres relations avec la clientèle.
Le modèle iSec a également tenté de traiter l'autre problème de Stamos avec @stake: celui-ci: "il n'avait pas de centre moral." Stamos s'est assuré que ni lui ni aucun de ses partenaires n'auraient à faire quoi que ce soit qui les rende mal à l'aise … toute décision importante nécessiterait un accord unanime des cinq.
"C'était une période de calcul moral. Les gens ont compris le pouvoir qu'ils avaient."
Dug Song, Duo Security
iSec est passé au conseil de Microsoft en 2004, après la disparition de @stake, ce qui a permis d'améliorer considérablement la sécurité de Windows 7. Quatre ans plus tard, il a été invité à apporter son aide sur un projet de grande envergure pour Google: le système d'exploitation du téléphone Android. Android avait été développé si secrètement que les excellents agents de sécurité de Google avaient été laissés de côté. iSec a été appelé sept mois seulement avant son lancement. Entre autres choses, la sécurité iSec a entraîné un risque énorme pour l’écosystème d’Android. Dans le cadre d’une stratégie raisonnable pour un outsider se battant contre l’iPhone d’Apple, Google prévoyait de donner le logiciel gratuitement et de laisser les compagnies de téléphone le modifier à sa guise. Mais iSec a réalisé que Google n'avait aucun moyen d'insister pour que les correctifs des inévitables défauts soient réellement expédiés et installés par les consommateurs à une vitesse réelle.
iSec a écrit un rapport sur le danger et l'a transmis à Andy Rubin, père d'Android. "Il l’a ignoré", a déclaré Stamos, bien que Rubin ait dit plus tard qu’il ne se souvenait pas de cet avertissement. Plus de dix ans plus tard, c’est toujours la faille la plus dangereuse d’Android. Stamos était frustré d'avoir été appelé après coup, et il a commencé à penser que travailler en interne était la voie à suivre. Finalement, il a rejoint le principal partenaire Internet Yahoo en tant que responsable de la sécurité de l'information. Wallenstrom est devenu PDG du système de messagerie sécurisée Wickr; Jesse Burns est resté chez iSec lors de son acquisition en 2010 par le groupe NCC. En 2018, il s’est occupé de la sécurité du cloud de Google. Pendant ce temps, Dave Goldsmith a lancé en 2005 son rival Matasano Security sur la côte est de la iSec, qui a attiré encore plus d’alunaires de @stake à travailler de l’intérieur pour améliorer la sécurité des gros fournisseurs et clients de logiciels. Il est ensuite devenu cadre supérieur à CNC.
La première décennie du millénaire a été une période étrange et conflictuelle en matière de sécurité. «Ce fut une période de calcul moral. Les gens ont compris le pouvoir qu'ils avaient », a déclaré Song. Des centaines d’experts en technologie peu socialisés, sans parler d’une formation en éthique formelle, ont été déchaînés soudainement. Seuls quelques groupes et vedettes de l’industrie étaient des modèles potentiels et pratiquement aucune discussion ouverte sur les bonnes et les mauvaises manières de se comporter. La plupart de @stake sont restés dans la sécurité défensive et ont élaboré différents codes d’éthique personnels dans des entreprises de toutes tailles. Bien qu’ils aient joué un rôle énorme dans l’amélioration de la sécurité au cours des prochaines années, le travail le plus important inspiré par le CDC n’est peut-être pas celui d’entreprises ou de gouvernements.
Cet article a été extrait de Culte de la vache morte: Comment le super-groupe de piratage original pourrait-il sauver le monde? par Joseph Menn. Copyright © 2019. Disponible chez PublicAffairs, une empreinte de Perseus Books, LLC, une filiale de Hachette Book Group, Inc.
Lorsque vous achetez quelque chose en utilisant les liens de vente au détail de nos récits, nous pouvons gagner une petite commission d’affiliation. En savoir plus sur comment cela fonctionne.
Commentaires
Laisser un commentaire