En tirant la fiche sur l'énorme piratage

Anonim

Salim Neino attendait quelque chose comme WannaCry.

Rapide, indiscriminée et perturbatrice, l'infection informatique a bloqué les ordinateurs dans les hôpitaux britanniques et s'est répandue à travers le monde lorsque la société de Neino, Kryptos Logic, est entrée dans le ring.

Un de ses chercheurs a trouvé un «kill switch» dans le code WannaCry et a sauté. "Nous l'avons mis dans un triangle étranglé!" a plaisanté Neino, un fan d'arts martiaux mixtes.

Pas mal pour un diplômé de Lawndale âgé de 33 ans et un diplômé de Cal State Long Beach, qui a cofondé Kryptos il y a huit ans avec 120 000 $.

L'épisode de la mi-mai a propulsé la petite entreprise de cybersécurité de Los Angeles sur la scène mondiale. Dans le même temps, il a ouvert une nouvelle ère d’attaques à grande échelle contre les ransomwares. Un second ver, exploitant les mêmes méthodes que WannaCry, a de nouveau saisi des ordinateurs dans le monde entier. opérations.

Neino n'a pas tardé à tirer parti des opportunités commerciales grâce à sa nouvelle importance. Mais il a également essayé d’utiliser ce statut de spécialiste des ransomwares pour obtenir des changements de politique - des mesures qui, selon lui, sont nécessaires pour faire face à ce nouveau paysage de la cybermayhem.

Témoignant devant le Congrès entre les attaques, Neino a énoncé sa proposition pour une «échelle de Richter» de la cybersécurité - un système de triage pour aider le public à prioriser les menaces - et a mis en garde les législateurs contre la menace du danger.

Avec WannaCry, et la reprise du 27 juin, le monde a été facile, a-t-il insisté: "Ils avaient la bombe, ils n'avaient pas le GPS."

Jusqu'en mai, Kryptos n'était qu'une autre entreprise de cybersécurité peu connue, opérant, autant que possible, "en mode furtif", a déclaré Neino. Il ne fait pas de marketing, n'emploie aucune force de vente et ses travailleurs protègent leur anonymat. La raison en est que les pirates de vengeance ciblent généralement les sociétés de cybersécurité.

Génial, sérieux et toujours apte à ses jours de lutte, Neino est le fils d'un père immigrant jordanien et d'une mère mexicaine d'origine américaine de Montebello. Son père est arrivé à Los Angeles en tant que jeune homme sans anglais, mais assez talentueux pour se lancer dans l'industrie aérospatiale de la région.

Neino a été élevé en arabe et en espagnol, mais il ne se souvient plus des deux langues. Peut-être que le code a pris le contrôle de cet espace cérébral, a-t-il dit. Il a fait ses débuts en tant que programmeur adolescent autodidacte, a décroché son premier emploi informatique à l'âge de 15 ans et est devenu, après une sœur, la deuxième personne de sa famille à aller à l'université.

L’arrière-plan, a-t-il dit, est typique d’Angelenos, son âge a été élevé par des travailleurs de l’aérospatiale à qui la cybernétique est venue naturellement.

Après quelques années en tant que spécialiste indépendant de la cybersécurité, Neino a cofondé Kryptos alors qu’il n’a encore qu’une vingtaine d’années avec des capitaux de démarrage pour ses amis et sa famille, et a utilisé ses revenus pour se développer depuis.

Au début, Kryptos a lutté. Neino pouvait montrer aux clients potentiels qu'ils avaient été piratés, mais il ne pouvait pas les convaincre de s'en soucier.

Le problème est généralisé dans le domaine de la cybersécurité, un secteur industriel vaste mais mal défini, qui pourrait rapporter des centaines de milliards de dollars dans un avenir proche - si seulement ses fournisseurs pouvaient expliquer à quoi cela sert.

Les gens qui sont bons en cybersécurité ont tendance à parler en jargon; les gens qui ne sont pas bons en cybersécurité ne peuvent pas les comprendre. En attendant, les pompiers des réseaux de zombies et des logiciels malveillants qui circulent sur Internet ces jours-ci laissent les victimes impuissantes. De nombreuses entreprises colportent un mélange de remèdes: gadgets, logiciels et services, dans diverses combinaisons.

Puis, sur un drame, Neino a rejoint une équipe qui a participé au concours de piratage Defcon 19 2011 à Las Vegas et a remporté un Black Badge convoité, un tchotchke en forme de crâne, de taille presque réelle, conçu pour rester dans le cou. L'augmentation de la réputation de Kryptos a amené de nouveaux clients et des contrats lucratifs.

Aujourd'hui, la société privée Kryptos compte environ 25 employés - presque tous les ingénieurs répartis aux États-Unis et en Europe, presque tous des hommes, dont beaucoup possèdent des compétences de piratage autodidactes - et un chiffre d'affaires annuel de plusieurs dizaines de millions de dollars. Son jeune PDG a échangé des cols bleus Lawndale pour une maison avec vue sur l'océan. Le badge noir est exposé dans son bureau.

La société recueille des informations sur qui tente de pirater ses clients et pourquoi. Ensuite, cela les aide à décider comment riposter.

Au quotidien, ses chercheurs passent leur temps à signaler les programmes malveillants aux abonnés et à suivre les dizaines de milliers de nouveaux codes malveillants qui apparaissent quotidiennement sur le Web.

Essentiellement, ils fonctionnent comme des zoologistes sur le terrain: ils détectent les séquences malveillantes par les signaux qu'ils émettent, les cataloguent et tentent de les attirer dans des cibles simulées afin de pouvoir les disséquer.

C'est ce que Marcus Hutchins, un chercheur de Kryptos dans la ville d'Ilfracombe, sur le canal de Bristol, dans le sud-ouest de l'Angleterre, aurait fait le matin du 12 mai s'il n'était pas en vacances. Neino était lui aussi - en route pour l'Italie pour des vacances de longue date avec sa femme.

Neino avait embauché Hutchins l'année dernière après être tombé sur son blog. Hutchins, un passionné d’informatique et de surf, a impressionné Neino par ses compétences et son éthique. Malgré sa jeunesse - Hutchins a 22 ans - Neino l’a engagé pour diriger une de ses divisions.

Heureusement pour Kryptos - et pour les systèmes Windows non protégés partout dans le monde - Hutchins n'était pas loin de chez eux.

Alors que les ordinateurs des hôpitaux britanniques étaient enfermés et que des entreprises européennes commençaient à signaler des problèmes, Hutchins s’est entretenu avec Neino, qui se trouvait dans un hôtel de Munich, en Allemagne, alors qu’il se rendait à Venise en Italie. Hutchins a commencé à analyser des échantillons du code malveillant, partageant des informations via Twitter avec d'autres cyber-chercheurs.

WannaCry est un ver à réplication automatique qui attaque un protocole de partage de fichiers de base sur des systèmes d'exploitation Windows plus anciens. S'il est chargé avec succès, le ransomware se propage à tout terminal vulnérable connecté, verrouillant les fichiers et exigeant, en anglais légèrement cassé, une rançon de 300 $ à 600 $ pour les libérer.

Le ver exploite une vulnérabilité intégrée au système d'exploitation le plus populaire au monde. Le code utilisé dans WannaCry, qui peut craquer les systèmes Windows, a été volé à l'Agence de sécurité nationale des États-Unis et partagé sur Internet.

Comme beaucoup dans son industrie, Neino savait que ce n'était qu'une question de temps avant que des bandits ou des terroristes ordinaires mettent ces outils d'espionnage de qualité militaire au travail. WannaCry, réalisa-t-il, signala que le moment était arrivé.

A partir de maintenant, pensa-t-il, de vastes hacks sophistiqués, autrefois limités aux Etats-nations, seraient à la portée de quiconque.

Neino a appris que Hutchins avait trouvé un domaine non enregistré sur lequel WannaCry avait envoyé un signal avant le chargement. Aucun d'eux ne savait à quoi cela servait. Mais c'était à gagner.

Neino a dit à Hutchins "d'utiliser le meilleur jugement" et s'est dirigé vers l'aéroport.

Au moment où Neino était arrivé, Hutchins avait enregistré le domaine, jetant ainsi les serveurs de Kryptos sur la voie de l'attaque. A la surprise des deux hommes, le domaine a fonctionné comme un interrupteur et a empêché WannaCry de charger la note de rançon dans toutes les infections ultérieures.

Avec Kryptos contrôlant le domaine, chaque nouvelle infection WannaCry a produit un ping sur ses serveurs. Un flot de données affluait alors que l'attaque - désormais sans dents - se répandait dans le monde entier.

Neino ne pouvait pas se connecter à Kryptos pour voir par lui-même parce qu'il n'avait pas de connexion sécurisée et que son avion partait. Il a survolé les Alpes, deux soucis le rongeant.

L'un était pour la sécurité de Hutchins. En raison de la couverture médiatique généralisée, Neino craignait que Hutchins ne soit exposé et que des pirates ne ripostent contre lui.

L'autre était pour les serveurs de Kryptos. Étant donné que la société s’était essentiellement intégrée au protocole de WannaCry, Neino savait que les organismes chargés de l’application de la loi pourraient confondre l’entreprise avec une source d’attaque et chercher à fermer ses serveurs. Cela pourrait déclencher par inadvertance le malware.

En ligne de nouveau enfin dans son hôtel de Venise, il vérifia le tableau de bord, où des dizaines de milliers de pings de WannaCry s’empilaient.

Il n'a pas eu le temps de s'émerveiller. Kryptos était assiégé. Hutchins était traqué. L'histoire du jeune héros qui a sauvé l'humanité de la plus grande attaque de ransomware au monde s'est avérée irrésistible pour les tabloïds britanniques agressifs.

Au même moment, les pirates attaquaient Kryptos. Dès que le mot d'ordre a été annoncé, une série d'attaques par déni de service ont été lancées contre les serveurs de l'entreprise dans le monde entier.

Cette "inondation diabolique" de réseaux de robots malveillants et de piratages informatiques était la récompense de l'entreprise pour avoir stoppé le ver, a déclaré Neino. Il a appelé certains des attaquants "des sauteurs de train en marche" et a dit qu'ils voulaient probablement juste être embêtants. Mais d’autres essayaient clairement de "décrocher le commutateur", at-il déclaré - une menace sérieuse.

Déjà, comme l’avait craint Neino, deux des serveurs de Kryptos avaient été arrêtés par erreur par les autorités en France, un incident courant lié au cyber-incendie.

Ses ingénieurs ont tiré toute la nuit. Neino a passé ses 10 jours de vacances penché sur son ordinateur portable dans la chambre d’hôtel, à parler aux agences de sécurité, à convaincre les médias, à gérer ses chercheurs et à maintenir le coupe-circuit. Sa femme s'est assurée qu'il n'a pas oublié de manger.

Les attaques sur Kryptos se sont poursuivies pendant des semaines. Un récent botnet destiné à la société semble provenir de milliers de routeurs russes, a déclaré Neino.

Pour le monde extérieur, WannaCry semblait rapidement exagéré. Une publication britannique a suggéré de la renommer "What-a-wimp".

Son design était de mauvaise qualité. Neino admet volontiers que Hutchins a eu de la chance avec le kill switch - le ransomware n’a généralement pas une telle fonctionnalité et on ne sait pas pourquoi. Microsoft avait corrigé une vulnérabilité clé avant l’attaque, puis publié d’autres correctifs, et Neino a déclaré que le ver n’avait pas été chargé sur la plupart des anciens systèmes Windows XP considérés comme les plus vulnérables.

De plus, très peu de personnes ont payé la rançon bitcoin, qui n'a pas encore été collectée.

Mais à Kryptos, où l'interrupteur reste en permanence sous surveillance - "nous possédons ce bébé maintenant", a déclaré Neino - la photo est différente. Neino a déclaré qu'il avait recensé des dizaines de millions de nouvelles infections à WannaCry - des infections que l'action rapide d'Hutchins avait rendues inoffensives.

Kryptos a une liste de "chaque personne affectée par WannaCry", at-il dit. Parmi les victimes potentielles se trouvaient de grands hôpitaux américains dont les dirigeants n’ont toujours aucune idée, at-il déclaré au Congrès.

"Les freins étaient complètement allumés. C'était la fumée résiduelle des pneus", a déclaré Neino.

Comme WannaCry, l’attaque ransomware centrée sur l’Ukraine de la semaine dernière a également semblé rapidement s’éteindre. Il a utilisé le même outil de saisie forcée NSA volé, verrouillé les ordinateurs et exigé une rançon bitcoin, avec des résultats tout aussi médiocres.

Mais Neino a déclaré qu’il s’étendait encore plus rapidement, infectant 2 millions d’ordinateurs au cours de la première heure. Il pouvait également voler des informations d'identification et accéder à encore plus de machines.

Plus différent de tous, il n'y avait pas d'interrupteur de mise à mort. Au lieu de cela, l'attaque a semblé se fermer d'elle-même, a déclaré Neino, avec des domaines qui hébergeaient rapidement sa charge utile.

En utilisant ses données de WannaCry, Neino a publié un rapport à la fin du mois de juin, faisant valoir que ce nouveau ver avait un potentiel de destruction encore plus grand.

Par sa propre mesure "à l’échelle de Richter", WannaCry aurait pu attribuer une note de 7 et une nouvelle attaque de 7, 2, a déclaré Neino, qui s’exprimait dans une zone sismique. Le schéma suggère "un claquement de sabre, peut-être pour un événement plus important à venir", a-t-il déclaré.

Le lendemain de l'attaque la plus récente, avec des théories tourbillonnant quant à son objectif, Neino a souligné le message qu'il avait donné au Congrès après WannaCry:

S'inquiéter moins de savoir qui l'a fait et plus sur les problèmes que ces attaques exposent, at-il dit.

"Si tu laisses la porte ouverte … est-ce que ça importerait vraiment … qui l'a fait?" Il a demandé. "Ils le font parce qu'ils le peuvent."

menu
menu