Si la porte d'entrée de votre maison est recouverte d'arbustes et d'arbres, cela signifie-t-il que vous n'avez pas à la verrouiller? C'est en quelque sorte la base de la sécurité par l'obscurité. La sécurité par obscurité repose essentiellement sur le fait qu'une vulnérabilité donnée est cachée ou secrète en tant que mesure de sécurité. Bien sûr, si quelqu'un ou quelque chose découvre accidentellement la vulnérabilité, il n'existe aucune protection réelle pour empêcher l'exploitation.
Il existe des acteurs de la cybersécurité et des organisations gouvernementales qui préféreraient garder secrets les astuces des hackers et des crackers. Ils estiment que partager les connaissances équivaut à encourager de nouveaux pirates informatiques et pirates informatiques à essayer les techniques à des fins illégales et contraires à l'éthique. Ils croient qu'en protégeant les astuces et les techniques du domaine public, ils protègent le monde entier.
Nous sommes plus enclins à être d’accord avec l’opinion qui estime que la divulgation complète des astuces et des techniques offre la meilleure possibilité de se protéger contre ces erreurs ou de les annuler. Supposer que la sécurité par obscurité offre une protection, c'est supposer qu'aucune autre personne au monde ne peut découvrir les mêmes défauts ou vulnérabilités. Cela semble être une supposition idiote.
Le fait que vous ne sachiez peut-être pas comment utiliser une arme à feu n’empêchera pas une personne immorale ou malhonnête qui sait comment utiliser une arme à feu de vous faire du mal. De même, ne pas savoir comment fonctionnent les techniques de piratage informatique ne vous protégera pas contre une personne immorale ou immorale qui Est-ce que connaître les astuces et les techniques du piratage de votre ordinateur ou de tout autre dommage malveillant sur votre réseau ou votre ordinateur.
Ethique vs connaissance
L'éthique, pas la connaissance, sépare les voleurs des détectives et les pirates informatiques des administrateurs de la sécurité. Vous devez connaître votre ennemi afin de préparer une défense adéquate. Les pirates Whitehat du monde ont les mêmes connaissances que les pirates Blackhat du monde: ils choisissent simplement d'utiliser leurs connaissances à des fins éthiques plutôt que d'activités malveillantes ou illégales.
Certains des pirates informatiques Whitehat ont ensuite créé des entreprises en tant que consultants en sécurité ou en tant que sociétés dédiées à aider d'autres entreprises à se protéger des pirates informatiques blackhat du monde entier. Plutôt que d’appliquer leurs connaissances à des activités illégales susceptibles de leur rapporter beaucoup d’argent mais de les amener en prison, ils choisissent d’appliquer leurs connaissances pour faire ce qu’ils aiment faire tout en gagnant beaucoup d’argent - légalement .
Certaines de ces personnes font également ce qui est en leur pouvoir pour partager les astuces, astuces et techniques utilisées par les pirates informatiques et les pirates informatiques avec le reste du monde pour leur apprendre également à se défendre. George Kurtz et Stuart McClure ont fondé la société de sécurité Foundstone (rachetée ultérieurement par McAfee). Ces deux vétérans de la sécurité de l’information, ainsi que Joel Scambray, consultant en sécurité informatique auprès de sociétés du Fortune 50, sont les auteurs du livre sur la sécurité informatique le plus vendu, Hacking Exposed, qui vient de paraître dans sa 6e édition et est à l’origine de la très réussie série Hacking Exposed.
La 6ème édition de Hacking Exposed a récemment été publiée. Hacking Exposed a également donné naissance à une série très réussie d'autres titres Hacking Exposed: Hacking Exposed - Sans fil, Hacking Exposed - Linux, Hacking Exposed - Computer Forensics, etc. Il existe également des livres similaires d'autres auteurs tels que Hack Attacks Revealed de John Chirillo et Counter Hack Reloaded d'Ed Skoudis.
Hacking Exposed est considéré par beaucoup comme le meilleur livre sur le sujet. Ces trois messieurs, avec l'aide de nombreux autres experts en sécurité de l'information (dont la plupart travaillent également pour Foundstone), ont compilé un guide complet des méthodes, astuces et technologies utilisées par les pirates pour pénétrer dans votre réseau ou votre ordinateur.
Dans la préface du livre, Patrick Heim, vice-président Enterprise Security de McKesson Corporation, écrit: «Maintenant que l'art noir du piratage est démonisé, je dirais qu'il est essentiel pour les personnes chargées de concevoir, de construire et de conserver des informations. l'infrastructure pour être pleinement conscient des véritables menaces que leurs systèmes devront repousser. "
Lorsque vous consultez un médecin, vous vous attendez à ce qu’il diagnostique correctement vos symptômes et détermine le véritable problème avant de donner des conseils ou de prescrire des médicaments. Pour ce faire, le médecin doit être pleinement conscient des différentes menaces que votre corps peut rencontrer et des mesures correctives efficaces à prendre pour ces menaces spécifiques.
Tout comme un détective doit penser comme un voleur pour attraper un voleur et qu'un médecin doit savoir comment les virus et les maladies fonctionnent et se comporter pour les diagnostiquer et les combattre, nous nous attendons à ce qu'un expert en sécurité de l'information soit un expert dans l'utilisation des astuces, des outils et des techniques on leur demande de se défendre contre. Ce n’est qu’avec cette connaissance que nous pourrons honnêtement compter sur une personne capable de se défendre adéquatement contre les pirates et de détecter quand et comment une intrusion s’est produite si, en fait, votre réseau est compromis.
L'ignorance n'est pas un bonheur. La sécurité par l’obscurité ne fonctionne pas. Cela signifie seulement que les méchants savent des choses que vous ne connaissez pas et exploiterez votre ignorance au maximum de chaque occasion qu’ils auront.
