Au début du mois de mai, le major général Jonathan Shaw, chef de la sécurité informatique de l'armée, a reconnu Le gardien que le ministère de la Défense était vulnérable aux attaques en ligne et qu'il y avait déjà eu un petit nombre d'incidents graves. Ce qui était plus choquant, c’est que Shaw ait dit que c’était une surprise pour les gens à quel point ils étaient vulnérables..

Vraisemblablement, il ne s’agissait pas de simples attaques par déni de service. Ils doivent avoir été organisés, coordonnés et planifiés, les craqueurs ciblant des systèmes et des vulnérabilités spécifiques. Ce qui est inquiétant, c’est l’approche implicite de certaines de leurs procédures de sécurité..

Cela ressemble à laisser la porte d'entrée ouverte et à compter sur la volonté morale de ses citoyens de faire ce qui est juste. Et ça n'arrivera jamais. Non pas à cause d'un manque général de moralité ou d'un désir d'intrusion ou de méchanceté, mais parce que vous ne pouvez pas combattre la curiosité d'adolescents intelligents avec trop de temps.

L'opacité est un défi

La seule façon de faire la sécurité est, à mon avis, avec une transparence complète et aveugle. Brouiller vos procédures ne vous donne qu'une fausse idée de votre non-sécurité. Cela n'ajoute rien aux systèmes que vous avez et montre seulement un manque de confiance en ces systèmes et leur capacité à déjouer une attaque..

Un cracker déterminé verra l’obscurcissement comme une invitation et un défi. Cela va attirer leur curiosité d'adolescent. La technologie a changé, mais je doute qu'il y ait une différence entre les motivations des pirates actuels et celles d'il y a 20 ans, écrivant leurs modems pour qu'ils composent en silence les numéros de téléphone locaux tout au long de la nuit dans l'espoir de voir ce 'CONNECT' illusoire lors d'une session terminale..

Si vous êtes un geek, il y a peu de choses aussi passionnantes. Certains peuvent devenir criminels, politiques et dangereux, mais ils n’auront peut-être jamais été aussi loin s’ils ne pouvaient pas commencer avec des cibles faciles et en se débrouillant pour faire des économies. C'est pourquoi votre meilleur recours est toujours une sécurité froide et sobre..

Pour ce faire, vous devez bien entendu connaître toutes les vulnérabilités. Vous devez tenir les systèmes à jour et savoir où rechercher les éventuelles incursions. La sécurité ne doit pas être traitée comme un secret d'État et les détenteurs de ces secrets ne peuvent pas agir comme des membres d'une loge clandestine..

Garder les choses secrètes ne rend pas les choses plus sûres. La lecture de documents sur l’intrusion dans un système ne fait pas de vous un criminel au même titre que tenter d’imaginer comment un cambrioleur pourrait escalader votre clôture de jardin et traverser le toit du garage, ce qui fait de vous un voleur..

Les chapeaux blancs sont essentiels

Vous devez être mieux préparé que les crackers. Et, pour être mieux préparé, vous devez savoir de quelle manière ils sont susceptibles d’attaquer en apprenant leurs techniques et en effectuant des tests de pénétration avec votre propre matériel. Vous devez porter un chapeau blanc.

Si vous recherchez la preuve que cette approche fonctionne, voici un exemple évident: les logiciels open source. Il n'y a pas si longtemps, les systèmes d'exploitation et les logiciels qui les utilisaient devenaient de plus en plus secrets et propriétaires. Par exemple, beaucoup d’entre nous sommes passés à Linux parce que nous ne voulions pas payer pour un environnement de développement simple sous Windows, et Red Hat - le géant de l’open source qui vient d’annoncer un chiffre d’affaires de 1,13 milliard de dollars - a construit son activité dans le vide laissé par développement fermé.

Cependant, le modèle open source a changé les mentalités, non pas parce que c'est moins cher (parce que ce n'est probablement pas le cas), mais parce que vous obtenez un meilleur produit. Pas seulement fonctionnellement mieux, non plus. C'est mieux parce que vous connaissez ou pouvez découvrir sa provenance.

À l'instar de la sécurité ouverte, l'examen minutieux de nombreux codeurs, qui vérifient et utilisent le code, a permis d'innover et de sécuriser l'open source, depuis l'immense réseau de Google jusqu'aux nouvelles conceptions matérielles de Facebook pour son centre de données open source. Après tout, la sécurité consiste à trouver des bogues dans votre système, et la meilleure façon de le faire consiste à utiliser autant de personnes que possible..

Red Hat a une liste de diffusion interne où elle partage presque toutes les idées de stratégie et de planification, à quelques exceptions près, où elle ne peut légalement faire une annonce. Bien sûr, certains diront que cela donne trop d'informations à leurs concurrents - tout comme un gourou de la sécurité prônant les systèmes fermés et la restriction de la recherche. Mais Red Hat ne souffre pas de cette stratégie, il en profite.

Il dispose immédiatement d'un pool de 4 000 employés qui discutent de ces nouvelles idées et discutent de leurs avantages et inconvénients. Le résultat est que de meilleures idées émergent dans un environnement déjà prêt pour leur germination. Ainsi, même si les concurrents de Red Hat en prenaient quelques-uns, ils ne pourraient pas produire de si bons résultats..

C’est ce que Red Hat a toujours fait avec ses logiciels, avec sa stratégie et avec sa sécurité, et c’est la marque d’un système dont le fonctionnement est prouvé. Faire la même chose dans le froid et l'obscurité, dans l'espoir que personne ne le remarquera, est en attente de problèmes. Et, comme pour la plupart des choses, il est bien mieux de faire face à la tâche, à l'air libre, sachant que vous n'avez rien à craindre.