Dans les secrets du Hackers Challenge Radware / Cisco
Demain mardi se déroulera le Hackers Challenge de Radware / Cisco. Mission, permettre à des passionnés de sécurité informatique (professionnels et amateurs) de se tester sur une vingtaine d’épreuves. ZATAZ, partenaire du rendez-vous, vous fera suivre cette journée sur Twitter. En attendant, retour sur quelques petits secrets de ce Hackers Challenge avec Jean-Charles Labbat, directeur régional France & BeNeLux.
Comment va s’articuler ce Hackers Challenge ?
Le Hackers Challenge se déroule sur une après-midi. Une heure environ avec l’heure H, les hackers participants sont accueillis afin qu’ils puissent connecter leurs matériels et prendre connaissance de l’environnement. Chacun recevra un pool d’adresse IP ainsi qu’une connexion au réseau interne. Aucune connexion sur Internet n’est proposée. Il faudra donc qu’ils soient très autonomes et disposent déjà de tous les outils automatiques afin d’aller le plus rapidement possible. Après tout, c’est une course contre les autres participants (chacun sera sur un réseau étanche afin qu’une bataille entre les hackers n’est pas lieu – les stratégies de ralentissement des autres attaquants n’est pas de mise dans cet événement). Très peu d’informations seront fournies sur l’infrastructure, la découverte étant probablement la première mission à laquelle les hackers devront s’atteler. Le challenge s’apparente à une course de Formule 1. Des essais auxquels assistent les spectateurs permettent la sélection de cinq hackers, qui participeront en fin d’après-midi à la finale. Trois sessions de 30’ vont donc cadencer l’après-midi avec des niveaux de sécurité différents. La première demi-heure présentera une sécurité maximale tout en laissant quelques failles. La seconde demi-heure proposera un niveau de sécurité intermédiaire. La dernière partie verra un niveau de sécurité minimale. Cela devrait permettre aux cinq meilleurs d’avoir effectivement une bonne vue du système à attaquer pour la finale. Entre chaque essai, une courte période permettra aux pilotes et aux spectateurs de se rafraichir et de refaire un point sur la séance, pendant que le staff interviendra sur les systèmes pour ajuster les niveaux de sécurité. Lors des « play-off », tous les scores acquis dans le début de l’après-midi sont remis à zéro, et le niveau de sécurité est remonté à un niveau intermédiaire, mais avec des protections et des failles différents de ceux déjà découverts en qualification. La vraie course part pour trente minutes, à l’issue de laquelle seront élus les trois meilleurs hackers du challenge. Chaque attaque réussie sera commentée afin d’expliquer aux spectateurs comment les attaquants contournent les processus de sécurité, ou comment la sécurité doit être améliorée.
La mission des whites hats sera de réussir quelles missions lors de ce Hackers Challenge ?
Lors de l’accueil, les « white hats » se verront délivrer une grille qui recense une vingtaine de type d’attaque qui rapportera des points différents en fonction du niveau de difficulté. Par exemple, un mapping complet du site web rapportera ‘100’ points alors que le défacement du même site en rapportera 10 fois plus. Les points accumulés se verront aussi augmentés en fonction du niveau de sécurité appliqué pendant l’attaque réussie. Ainsi, les points seront multipliés par ‘3’ sur le niveau de sécurité maximal, et par ‘2’ sur le niveau intermédiaire. L’objectif est de partager avec les spectateurs les types d’attaques les plus répandus, et d’expliquer à quel moment ils sont réalisés, et pourquoi. Par exemple, une bonne défense préventive permettra peut-être à un client de décourager un hacker dans sa phase prospective sans nécessairement avoir à investir massivement sur une défense curative. Comprendre le comportement des hackers permettra aussi aux spectateurs d’adapter leur posture de défense. En résumé, la mission des hackers sera identique à leur mission dans la vraie vie. Essayer de pénétrer une infrastructure inconnue, sans savoir forcément quoi trouver dans un premier temps, et sans avoir trop de temps pour réagir. La seule différence sera le manque d’accès à Internet qui est assurément une source d’aide pour les attaquants. Mais le temps étant compté, cela ne devrait pas fausser le challenge.
Pour Radware, quelle mission finale qu’un CTF / Hackers Challenge de ce genre ?
Il n’y a pas de « mission finale » autre que celle de prendre part à l’écosystème de la sécurité, et d’évangéliser sur le besoin de mettre en place, non seulement des technologies, mais aussi des processus et des équipes capables d’ajuster la posture de sécurité en fonction des attaques reçues. C’est aussi l’occasion pour les professionnels de la sécurité que nous sommes, ainsi que les clients spectateurs de rencontrer en réel des « white hackers », et de comprendre leur motivation et leurs outillages. Trop souvent, on évoque les hackers comme des personnes venant de pays éloignés à l’ouest ou le sud-Est (Asiatique), alors que les motivations sont multiples, et que beaucoup d’attaques peuvent simplement subvenir de notre territoire, et pour certaines de nos enfants (pour les plus agés…). Autre découverte possible, le fait que la plupart des attaques sont automatisées et réalisées par des machines (botnet) qui exécutent des logiciels malveillants. Dernier exemple en date, l’attaque massive DYN en fin 2016 sur les infrastructures DNS (les pages jaunes sur internet) opérée à partir de centaines de milliers de caméras de surveillance qui ont fait tomber la moitié du réseau internet.
Qu’apporte le darkweb en termes d’outils de hacking et de documentation lors d’un Hackers Challenge comme celui de Radware ?
Le « Darkweb », qui est la face cachée d’internet propose pour les initiés un marché parallèle pour les hackers et les pirates (nous y reviendrons pendant l’événement). On peut trouver à peu près tout ce que l’on cherche via le blackmarket. Surtout ce qui est illégal. Le Darknet est un endroit dangereux, siège d’activités illicites ou underground…
Il se caractérise par la présence de places de marché en ligne où l’on peut acheter et vendre différents types de biens et de ressources numériques en échange de bitcoins et d’autres cryptodevises. Les places de marché se multiplient actuellement sur le Clearnet et le Darknet. Les cybercriminels fréquentent volontiers ces sites qui vendent à peu près tout ce que l’on peut imaginer, et notamment des logiciels malveillants (malware), des contrefaçons, des drogues et des armes, des services d’attaques DDoS, des numéros de cartes de crédit volés… Parmi les places de marché du Darknet, on compte par exemple AlphaBay, Valhalla, Dream, Hansa, The Real Deal, DHL ou encore Outlaw.
Quelles sont les outils disponibles en libre-service, à l’achat ou en location sur le darkweb ?
De très nombreux outils sont disponibles, des scanners de port pour découvrir les infrastructures physiques auxquelles on s’attaque, des scanners de vulnérabilités capables de trouver des failles, et ensuite des logiciels qui peuvent être utilisés comme tel ou légèrement modifiés afin d’attaquer des cibles particulières. Il existe aussi des outils complétement autonomes, facile d’utilisation pour lancer des attaques par quiconque (on a coutume d’appeler ces utilisateurs des « scripts kiddies » car ce sont souvent des jeunes qui utilisent des scripts sans forcément savoir comment ils fonctionnent). Par exemple, LOIC (Low Orbiter Ion Collider) est un outil qui permet de lancer des attaques de déni-de-service en spécifiant simplement l’adresse IP de la cible à atteindre. En plus sophistiqué, il est aussi possible de louer un « botnet » sur une durée courte (1H par exemple) pour lancer la même attaque mais de façon encore plus puissante pour quelques bitcoins. Par étonnant alors, que les demandes en ransomware pullulent comme presque n’importe qui (malveillant quand même) peut utiliser ces outils sans forcément rien y connaitre.