L’automne dernier, le scandale entourant la démission du député conservateur, Brooks Newmark, a provoqué la controverse sur l’utilisation des médias sociaux. Le malheureux M. Newmark, qui pensait converser avec Twitter, une adolescente de 21 ans appelée Sophie, partageait en fait des images obscènes avec un journaliste de Sunday Mirror, un homme..

A-t-il été pris au piège ou a-t-il été surpris en flagrant délit? Le jury est toujours à ce sujet. Mais une chose est certaine: les médias sociaux sont désormais utilisés de multiples façons..

Prenons, par exemple, la sécurité de l'information. De nombreuses entreprises surveillent l'activité du réseau et analysent le courrier électronique à la recherche de pièces jointes malveillantes. Mais les attaques continuent de glisser à travers le filet, les emails de phishing étant l’une des méthodes d’attaque les plus courantes..

Les escroqueries par phishing incitent les utilisateurs à cliquer sur un lien suspect ou à ouvrir un fichier au nom obscur qui est envoyé par courrier électronique. L'utilisateur fait ce que l'attaquant espérait, ouvre l'e-mail ou clique sur le lien et la chaîne de suppression démarre, établissant une porte dérobée dans le réseau de l'entreprise. Voila, l'attaquant a maintenant accès au réseau interne et peut commencer à faire évoluer ses privilèges d'accès pour accéder à des données réellement sensibles..

Psychologie inversée

Mais qu'advient-il lorsque vous inversez la psychologie de cette attaque? À présent, le compte de messagerie a été délibérément créé et configuré sur votre domaine dans le seul but de surveiller les attaquants. L'e-mail 'utilisateur' est une entité fictive et vous savez que toute communication envoyée à cette adresse e-mail doit être considérée comme un courrier indésirable ou une attaque malveillante. Au lieu d'être compromis, vous avez maintenant capturé un échantillon de programme malveillant et pouvez immédiatement commencer à rechercher d'autres instances de contenu similaire envoyées à d'autres personnes de votre entreprise. Votre détection d'incident et votre attitude de réaction s'améliorent énormément.

En utilisant de faux comptes de messagerie, il est possible de créer une source d'informations de menace bricolage capable de surveiller les emails suspects en temps réel. Mais nous devons donner à l'utilisateur de messagerie une identité convaincante qui plaira au pirate informatique..

La majorité des attaques ciblées commencent par une attaque de phishing. Ces attaques contiennent une qualité variable de recherche et de profilage, utilisée par l'attaquant pour trouver des candidats appropriés à cibler au sein de l'organisation. Facebook, Google, LinkedIn et d’autres médias recherchent des informations. Peut-être même employons-nous un peu d’ingénierie sociale, l’agresseur fouillant ou téléphonant à la réceptionniste pour déterminer quels employés méritent d’être ciblés. (C’est pour cette raison que vous devriez demander au personnel administratif de ne jamais divulguer les noms ou les coordonnées de contact).

En configurant manuellement les réseaux sociaux avec des profils régulièrement mis à jour, il est possible de donner à nos faux employés des identités réelles. Cette technique nous permet de créer ce que l’on appelle dans les milieux de la sécurité un «honeynet». L'idée est basée sur un concept conçu par Clifford Stoll au début des années 1980 et documenté dans «L'œuf du coucou». Stoll a été la première personne à piéger et à documenter le piratage informatique, ce qui a conduit à la condamnation du pirate informatique Markus Hess, un espion du KGB qui volait des renseignements militaires américains..

  • Comment le paysage des menaces à la sécurité se prépare pour 2015

Appât juteux

Lors de la création d'un honeynet, pensez au contenu qui pourrait intéresser l'attaquant. Que faire? Quelle propriété intellectuelle avez-vous? Qu'en est-il des données non publiées sur les performances des entreprises? Bases de données clients? Données de carte de crédit? Rendez ces faux rôles pertinents pour le contenu. Les nouveaux débutants sont la chair de canon idéale pour une campagne de spear phishing, car ils ne sont pas familiarisés avec les processus internes, n'ont probablement pas encore reçu d'inductions de sécurité et sont inquiets de devoir s'exprimer ou d'être licenciés s'ils font quelque chose de ridicule sur leur ordinateur..

Le personnel ayant accès à d'autres ressources, éventuellement avec des privilèges élevés, mais qui peut ne pas être suspicieux ou au courant des attaques, constitue également une identité fictive idéale. Plus ils ont de véritables relations, plus ils sont vraisemblables. Par conséquent, plus ils sont susceptibles de recevoir les logiciels malveillants ciblés et plus les informations sur les menaces que nous recevons sont utiles..

Maintenir plusieurs profils de médias sociaux distincts et leur donner une apparence réelle peut être éprouvant. Les bots Twitter seraient le moyen idéal pour alimenter leurs profils Twitter avec un contenu qui semble frais, mais il y a toujours un risque: si c'est trop automatisé, il devient évident que le profil est faux.

C'est pourquoi un article intéressant paru l'année dernière peut aider. Les auteurs d'un algorithme appelé Bot ou pas? ont publié un outil qui tente de déterminer si un pseudo Twitter est authentique. En utilisant cet outil pour déterminer si le contenu du bot que nous utilisons pour renseigner un profil est détectable ou non, nous pouvons déterminer s'il est utilisé pour un employé de bonne foi..

Service publique

En utilisant ce honeynet, il devient alors possible de rechercher des modèles similaires dans les journaux de messagerie. Il est même possible de procéder à une ingénierie inverse du logiciel malveillant et de déterminer où la connexion est rétablie. Procurez-vous un échantillon et une adresse IP de destination, puis transférez-les sur un site tel que VirusTotal ou similaire et vous éviterez peut-être que quelqu'un d'autre ne soit également compromis..

Alors, l'ensoleillement des médias sociaux est-il éthique? Je pense que cela dépend du motif et de ce que la façade a l'intention de prouver. Si le honeynet empêche une attaque sur l'entreprise, rend public un exploit possible et dissuade les pirates, cela me semble à la fois éthique et souhaitable. Et je suis sûr que Clifford Stoll approuverait.

  • Ken Munro est associé principal chez Pen Test Partners LLP