Naked Security 33 1/3 – Prédictions de cybersécurité pour 2023 et au-delà

C'est le dernier jour de semaine ouvrable régulier de 2022 (au moins au Royaume-Uni et aux États-Unis), dans l'écart étonnamment détendu et vacancier entre Noël et le Nouvel An…

… donc vous vous attendiez probablement à ce que nous proposions soit un Histoires les plus cool de l'année en revue listicule, ou avec un Ce que vous devez simplement savoir sur l'année prochaine (basé sur les histoires les plus cool de l'année) listicule légèrement déguisé-comme-pas-un-listicle.

Après tout, même les rédacteurs techniques aiment passer en mode vacances à cette période de l'année (du moins nous a-t-on dit), et rien n'est aussi détendu et vacancier que de mettre du vieux vin dans de nouvelles peaux, de mélanger quelques métaphores et de dorer un couple de lys.

Nous avons donc décidé de faire quelque chose de presque, mais pas tout à fait, totalement différent de cela.

Ceux qui ne se souviennent pas de l'histoire...

Nous allons, en effet, regarder vers l'avant en regardant en arrière, mais - comme vous l'avez peut-être deviné d'après le titre - nous allons remonter plus loin que le jour de l'an 2022.

En vérité, cette mention de 33 1/3 n'est ni strictement exacte ni spécifiquement un hommage au regretté lieutenant-sergent Frank Drebbin, car ce numéro de titre aurait dû, en droit, se situer entre 34.16 et 34.19, selon la façon dont vous fractionnez les années. .

On ferait mieux de s'expliquer.

Notre référence historique remonte ici à 1988-11-02, que tous ceux qui ont étudié l'histoire des virus informatiques et autres logiciels malveillants connaissent, a été le jour où le dramatique Ver Internet lancé.

Ce virus informatique infâme a été écrit par un certain Robert Morris, alors étudiant à Cornell, dont le père, qui s'appelait également Robert Morris, était cryptographe à la National Security Agency (NSA) des États-Unis.

Vous ne pouvez qu'imaginer les commérages de refroidisseur d'eau à la NSA le lendemain de l'apparition du ver.

Au cas où vous vous demanderiez ce que le système juridique pensait des logiciels malveillants à l'époque, et si la diffusion de virus informatiques dans la nature a déjà été considérée comme utile, éthique, utile, réfléchie ou licite… Morris Jr. s'est retrouvé en probation pendant trois ans, faisant 400 heures de travaux d'intérêt général et une amende d'un peu plus de 10,000 XNUMX dollars – apparemment la première personne aux États-Unis condamnée en vertu du Computer Fraud and Abuse Act.

Le Morris Worm est donc à moins d'un an de 33 1/33 ans…

… et donc, parce que 34.1836 années communes sont assez proches de 33 1/3, et parce que nous aimons plutôt le nombre 33 1/3, apparemment un choix de vitesse de rotation favorable au marketing pour les disques de gramophone à longue durée il y a près d'un siècle, cela est le nombre que nous avons choisi de se faufiler dans le titre.

Pas 33, pas 34, et pas le 32 intelligemment factorisable et informatisé, mais 33 1/3 = 100/3.

C'est une fraction rationnelle délicieusement simple et précise qui, fâcheusement, n'a pas de représentation exacte ni en décimal ni en binaire. (1/3 = 0.333…₁₀ = 0.010101 ...₂)

Prédire le futur

Mais nous ne sommes pas vraiment ici pour en savoir plus sur les frustrations de l'arithmétique en virgule flottante, ou sur le fait qu'il existe des nombres irréprochables et conviviaux que les processeurs de votre ordinateur ne peuvent pas représenter directement.

Nous avons dit que nous ferions des prédictions sur la cybersécurité, alors voilà.

Nous allons prédire qu'en 2023, nous continuerons, collectivement, à souffrir du même type de problème de cybersécurité qui a été crié sur les toits plus de 100010.010101…₂ il y a des années par ce ver Morris alarmant et à propagation rapide.

Le ver de Morris avait trois principaux mécanismes d'auto-réplication qui reposaient sur trois erreurs courantes de codage et d'administration système.

Vous ne serez peut-être pas surpris d'apprendre qu'ils peuvent être brièvement résumés comme suit :

• Mauvaise gestion de la mémoire. Morris a exploité un vulnérabilité de débordement de tampon dans un service de réseau système populaire à l'époque, et a obtenu RCE (exécution de code à distance).
• Mauvais choix de mot de passe. Morris a utilisé un soi-disant attaque par dictionnaire pour deviner les mots de passe de connexion probables. Il n'avait pas besoin de deviner tout le monde est mot de passe - juste craquer quelques uns ferait.
• Systèmes non corrigés. Morris a recherché des serveurs de messagerie qui avaient été configurés de manière non sécurisée, mais jamais mis à jour par la suite pour supprimer le dangereux trou d'exécution de code à distance dont il avait abusé.

Semble familier?

Ce que nous pouvons en déduire, c'est que nous n'avons pas besoin d'une multitude de nouvelles prévisions de cybersécurité pour 2023 afin d'avoir une très bonne idée par où commencer.

En d'autres termes : nous ne devons pas perdre de vue les bases dans une bousculade pour régler uniquement les nouveaux problèmes de sécurité spécifiques et brillants.

Malheureusement, ces nouveaux problèmes brillants sont également importants, mais nous sommes également toujours coincés avec les péchés de cybersécurité du passé, et nous le serons probablement pendant au moins 16 ans et demi, voire plus.

Que faire?

La bonne nouvelle est que nous nous améliorons de mieux en mieux face à bon nombre de ces problèmes de la vieille école.

Par exemple, nous apprenons à utiliser des pratiques de programmation plus sûres et des langages de programmation plus sûrs, ainsi qu'à cocooner notre code en cours d'exécution dans de meilleurs bacs à sable bloquant les comportements pour rendre les dépassements de mémoire tampon plus difficiles à exploiter.

Nous apprenons à nous les gestionnaires de mots de passe (bien qu'ils aient apporté questions intrigantes d'eux-mêmes) et des technologies alternatives de vérification d'identité ou au lieu de s'appuyer sur des mots simples que nous espérons que personne ne prédira ou ne devinera.

Et nous n'obtenons pas seulement des correctifs plus rapidement de la part des fournisseurs (responsables, du moins - la blague qui le S dans IoT signifie Sécurité semble encore avoir beaucoup de vie), mais nous montrons également disposés à appliquer les correctifs et les mises à jour plus rapidement.

Nous adoptons également les TLA tels que XDR et MDR (prolongé et les gérés détection et réponse respectivement) plus vigoureusement, ce qui signifie que nous acceptons que faire face aux cyberattaques ne consiste pas seulement à trouver des logiciels malveillants et à les supprimer au besoin.

De nos jours, nous sommes beaucoup plus enclins qu'il y a quelques années à investir du temps non seulement pour rechercher les mauvaises choses connues qui doivent être corrigées, mais aussi pour nous assurer que les bonnes choses qui sont censées être là sont réellement là, et c'est il fait toujours quelque chose d'utile.

Nous prenons également plus de temps pour rechercher de manière proactive les éléments potentiellement dangereux, au lieu d'attendre que les alertes proverbiales apparaissent automatiquement dans nos tableaux de bord de cybersécurité.

Pour un aperçu fantastique des deux prévention de la cybercriminalité et les réponse à l'incident, pourquoi ne pas écouter nos derniers podcasts du temps des fêtes, où nos experts partagent généreusement leurs connaissances et leurs conseils :

Merci pour votre soutien à la communauté Naked Security en 2022, et veuillez accepter nos meilleurs vœux pour une année 2023 sans malware !

---