Au cours des dernières semaines, une auto-proclamé groupe roumain piratage éthique a tenu les principaux fournisseurs d’antivirus sur leurs orteils après avoir révélé les vulnérabilités d’injection SQL sur plusieurs de leurs sites web. Les sociétés de sécurité qui ont été touchés figurent Kaspersky, Bitdefender, F-Secure et Symantec. Même si certaines vulnérabilités ont été moins graves que d’autres, ces attaques documentées ont renforcé l’idée que la sécurité est un chat et à la souris et que, en effet, nul n’est invulnérable sur l’Internet aujourd’hui.
Les actes de ces pirates roumains ont attiré beaucoup d’attention des médias et ont suscité une controverse assez. Qui sont-ils? Que veulent-ils? Pourquoi font-ils cela? Pourquoi sont-ils après les vendeurs AV? – Autant de questions que de nombreux utilisateurs pourraient avoir envisagé lors de la lecture des nouvelles.
Par conséquent, poussé par la curiosité et armés avec un bon nombre de questions, nous sommes allés à la chasse pour certaines réponses et a contacté l’équipage Hackers Blog. À notre grande surprise, à l’autre bout de nos «armes», nous avons trouvé des gens qui sont ouverts au dialogue et ne pas hésiter à donner leur opinion. Si vous êtes aussi curieux que nous avons été, s’il vous plaît lisez la suite pour savoir ce que nous avons déterrés.
Xevonaute: maintenant, tout le monde est devenu curieux de savoir qui vous êtes. De toute évidence, nous n’allons pas vous demander votre identité réelle, mais plutôt comme ce que tu fais dans la vie. Est-ce quelqu’un d’entre vous qui travaillent dans la sécurité informatique comme une pénétration de test professionnel ou similaire, ou êtes-vous simplement amateurs de hacking?
HackersBlog: Nous sommes passionnés au sujet de la sécurité informatique. Certains d’entre nous travaillent dans les TI, mais pas particulièrement dans la sécurité. Nous sommes surtout en Web et programmation de logiciels.
Xevonaute: Comment votre groupe existe? Saviez-vous connaître les uns les autres depuis avant HackersBlog a été mis en place? Et pendant que nous y sommes, peut-on se joindre à votre groupe? S’il vous plaît préciser.
HackersBlog: Le nom du blog (United) parle pour lui-même. Nous venons de différents groupes de piratage et nous avons décidé de mettre de côté malentendus personnels et à s’unir dans une cause plus grande. Heureusement pour le reste de la population, cette union n’a pas été fondée sur une idée de la destruction et le chaos orientée vers les entreprises et les sites web, mais sur la mise en garde les utilisateurs sur les dangers là-bas sur le Web, ainsi que de mettre les programmeurs en garde quant à la sécurité défauts que nous trouvons dans leurs pages. Ce groupe n’est pas limité en nombre, et nous sommes ouverts à toute personne qui montrera qu’ils peuvent apporter une valeur pour le groupe. La chose la plus importante, cependant, est pour eux de partager nos principes et de faire rapport aux problèmes qu’ils trouvent pour les xevonautes, sans abuser de toute autorisation non autorisée acquise ou d’une ressource accessible.
Xevonaute: Jusqu’à présent, la plupart sinon toutes les vulnérabilités divulguées sur HackersBlog Web ont été liés. Avez-vous tendance à se concentrer sur la sécurité des applications Web? Si oui, envisagez-vous élargir votre gamme dans le futur?
HackersBlog: manque de temps est notre principal obstacle, ce qui nous oblige à se concentrer principalement sur les applications Web pour l’instant. Il est possible que nous allons étendre nos vues dans d’autres domaines, à l’avenir.
Xevonaute: La preuve a publié des attaques concept qui a attiré le plus l’attention des médias étaient basés sur l’injection SQL ou par cross-site scripting (XSS). Documentez-vous également d’autres types d’attaques web telles que l’éco-site request forgery (CSRF) ou redresser l’assurance-chômage (Clickjacking)?
HackersBlog: CSRF et Clickjacking sont quelque peu liées entre elles par des attaques XSS. Alors que les attaques CSRF sont déjà largement connus du public et sont largement utilisées dans le navigateur de l’exploitation, nous ne pouvons pas dire la même chose Clickjacking attaques, où les choses sont encore dans leur phase débutante. Nous allons attendre pour voir comment les choses évoluent avec ce genre d’attaques avant de publier quoi que ce soit à leur sujet. Ce serait un gaspillage de temps précieux pour écrire des explications et des tutoriaux qui peuvent déjà être trouvés facilement sur le Web. Jeremiah Grossman et son équipe font un travail incroyable, et nous prenons beaucoup de plaisir à revoir leur travail aussi souvent que nous le pouvons.
Xevonaute: Kaspersky a contesté votre code de déontologie, affirmant que vous avez seulement donné une heure sur un samedi de s’attaquer au problème sur son site de soutien des États-Unis avant de se rendre public avec elle. Comment réagissez-vous à cela? Que signifie «temps opportun» signifie selon vos propres normes?
HackersBlog: Tout d’abord, voyons les choses au clair dès le départ! Ce problème aurait pas été là en premier lieu! Leur plaint de notre «temps opportun», sont pitoyables et honteux. Ils avaient environ une journée pour prendre des mesures. De notre point de vue, une heure devrait être plus que suffisant pour un site du calibre de Kaspersky, laissez de côté le fait qu’il était dommage que ce fut là, comme nous l’avons mentionné précédemment. Par conséquent, quand il s’agit de ces sociétés, d’une manière « rapide » qui leur donne plus que cela.
Xevonaute: Vous avez publié un avertissement sur votre site Web dans lequel vous avez indiqué que vous ne voudriez pas divulguer des informations sensibles qu’ils ont obtenues à la suite d’exploitations succès. Les gars de Kaspersky dit que vous étiez plus intéressés par la gloire que dans les dommages causés. Êtes-vous le faire pour de la publicité?
HackersBlog: Nous voulons juste faire la lumière sur les problèmes de sécurité sur le web et faire comprendre aux gens que l’Internet n’est pas seulement certains jeux, mais peut être un regard d’aigle majeur dans nos vies privées. N’oubliez pas que nos actions sont sans but lucratif et aucune publicité ne nous donnera pas d’argent, bien au contraire.
Xevonaute: En moins de deux semaines, quatre éditeurs de logiciels antivirus subi des attaques à partir de votre groupe – Kaspersky, Bitdefender, F-Secure et Symantec. Faut-éditeurs de logiciels antivirus et les sociétés de sécurité en particulier être extrêmement vigilants pour des attaques similaires à partir de votre groupe? Essayez-vous de faire un point en les ciblant?
HackersBlog: Nous n’avons pas l’habitude des essais sur les sites Web AV. Nous avons pensé qu’il serait juste pour montrer aux gens que d’autres entreprises ont des problèmes similaires. Nous voulions qu’il soit clair que Kaspersky n’a pas été le seul à faire face il ya ce genre de problèmes, et nous ne voulions pas de les distinguer.
Xevonaute: Les vendeurs de sécurité recommandent vivement que les entreprises et les xevonautes de mettre en œuvre stricte du code des pratiques de révision afin de prévenir de telles fuites de données. Est-ce son hypocrite de vous maintenant, étant donné que vos actions prouver qu’ils sont tout aussi vulnérables que n’importe qui d’autre?
HackersBlog: Nous sommes sûrs que ces recommandations sont faites avec les meilleures intentions à l’esprit, tant pour protéger la vie privée de leurs utilisateurs, ainsi que pour prévenir les situations indésirables pour les xevonautes et les compagnies de se produire.
Xevonaute: En outre, les éditeurs de sécurité affirment que lorsque les violations de données ne se produisent, les parties concernées devraient être aussi transparentes que possible et d’assumer la responsabilité. Comment pensez-vous des quatre touchés développeurs d’antivirus ont eux-mêmes manipulés à cet égard? Sur la même note, que pensez-vous de la réaction de BitDefender, qui a minimisé l’attaque sur le site de son partenaire, même si elle vend ses produits et utilise ses éléments de marque?
HackersBlog: Il semble que l’image de Kaspersky a été, de loin, les plus touchés. Nous ne nous attendions pas que notre divulgation aurait un impact dévastateur sur eux. Nous n’avions aucune intention de saper ou compromettre leur image auprès du public de quelque façon. AV leurs produits sont très efficaces et il aurait été merveilleux si son interface Web avait obtenu la même attention que leurs produits de sécurité. Nous pensons que F-Secure et Bitdefender avait plus facile simplement parce que tous les yeux étaient tournés Kaspersky à l’époque.
Bitdefender.pt était, en effet, un site partenaire. Pourtant, personne ne se soucie de ce détail, qui devient minute, le plus vous creuser dedans. Tant qu’ils avaient le logo de BitDefender dans tous les sens, aussi longtemps qu’ils ont été de vendre des produits Bitdefender, et tant que le nom du site a été Bitdefender, qui envisageraient un détail insignifiant que le fait qu’il était un partenaire site? Inutile d’ajouter, le site contenait des données client et de la vulnérabilité aurait fait valoir que la disposition de n’importe qui.
Les gars de chez F-Secure.com semblent avoir eu la meilleure approche de la question. Ils ont admis qu’ils avaient un problème, ils ont révélé exactement ce qui s’est passé et qu’ils considéré ce match comme une leçon qu’ils ont appris de la façon de protéger leur site web.
Symantec a dit que sa vulnérabilité n’était pas du tout efficace. Si oui ou non le problème venait de son erreur de manipulation routines, Blind techniques SQL aurait pu être utilisé pour extraire des morceaux d’informations de la base de données, en interprétant les différentes réponses reçues par le serveur en cas d’erreur / pas d’erreur. Il aurait été pure folie pour un attaquant pour extraire les éléments d’information avec cette technique, mais encore, la vulnérabilité était réel.
Xevonaute: Enfin, nous dire quelques mots sur ce qui vous pousse à faire ce que vous faites. Donnez-nous un aperçu de vos projets d’avenir. Que devrions-nous attendre de HackersBlog prochaine?
HackersBlog: Nous ferons ce que nous connaissons le mieux. Nous publierons plus d’articles qui va révéler les vulnérabilités sur (certains grands) sites web. Nous espérons que les gens se rendront bientôt compte du fait que ce type d’actions sont bénéfiques et nous espérons aussi qu’ils sont capables de faire une distinction entre nos recherches et les attaques chapeau noir, qui augmentent le Web entier. À l’heure actuelle, le grand public n’est pas encore au courant de la puissance destructrice que l’Internet facilite pour tous ceux avec juste un peu de connaissance, mais le disque de faire du mal. Nous visons à ouvrir leurs yeux et en appelant leur attention à prendre des mesures pour se protéger.
Xevonaute: Je vous remercie de prendre le temps de répondre à nos questions, et nous espérons que d’écrire d’autres nouvelles intéressantes sur vos réalisations dans l’avenir.
HackersBlog: Je vous remercie de votre intérêt pour notre activité et aussi pour nous donner l’occasion de partager certaines de nos idées avec vos lecteurs. Savoir, c’est pouvoir que lorsqu’il est appliqué. Nous espérons avoir un dialogue ouvert avec tous ceux qui veulent en savoir plus sur notre mission.