V dnešnom svete, v ktorom sú veľké a malé podniky do veľkej miery zasiahnuté kybernetickými útokmi a narušením údajov, sa výdavky na kybernetickú bezpečnosť zvýšili. Podniky míňajú milióny dolárov na ochranu svojej počítačovej obrany. A keď hovoríme o kybernetickej bezpečnosti a informačnej bezpečnosti, Gruzínsko Weidman je jedným z mála významných mien v priemysle, ktoré príde na myseľ.
Georgia Weidman je etický hacker, penetračný tester, generálny riaditeľ spoločnosti Shevirah Inc / Bulb Security LLC a autor knihy „Penetračné testovanie: praktický úvod do hackingu“.
Toto je exkluzívny rozhovor s Gruzínskom Weidmanom s našim tímom v Ivacy, kde sme položili pár otázok týkajúcich sa jej a Cyber Security všeobecne:
Q1 - Ahoj Gruzínsko, sme veľmi radi, že vás máme a sme úplne ohromení tým, že vieme, koľko ste dosiahli v krátkom čase. Čo vás privádza k tomuto infosec priemyslu? Ako ste začali svoju cestu ako etický hacker?
Šiel som na vysokú školu skôr, ako v 14 rokoch namiesto obvyklých 18 rokov. A získal som matematický titul, pretože som nechcel byť počítačovým vedcom. Moja matka bola jedna a aký teenager chce byť ako ich rodičia?
Ale potom som nemohol skutočne nájsť prácu v 18 rokoch s bakalárskym vzdelaním a bez pracovných skúseností. Bol som požiadaný o magisterské štúdium počítačovej vedy a oni mi dali peniaze! Bolo to lepšie ako žiť s rodičmi.
Preto som vstúpil do programu Masters a univerzita mala kybernetický obranný klub. Kapitán klubu kybernetickej obrany vyzeral naozaj zaujímavo a chcel som sa o ňom dozvedieť viac. Nevedel som teda nič o kybernetickej bezpečnosti, pripojil som sa k kybernetickému obrannému klubu a súťažili sme v stredoatlantickej súťaži kybernetickej obrany. Dozvedel som sa, že kybernetická bezpečnosť je zaujímavejšia ako ten chlap, ale tiež som zistil, čo chcem robiť so svojím životom.
Q2 - Aká bola vaša inšpirácia a motivácia pri písaní knihy „Penetration Testing“?
Chcel som napísať knihu, ktorú som si želal, keď som začínal v infosecu. Keď som prvýkrát začal a snažil sa naučiť toľko toho, čo bolo k dispozícii v spôsobe tutoriálov a zhromaždil toľko predchádzajúcich vedomostí, že som robil technický ekvivalent vyhľadaním všetkých slov v slovníku. Potom tie slová v detskom slovníku ešte viac objasňujú, ako veci fungujú oveľa menej, prečo fungujú.
Keď som žiadal o pomoc, namiesto vysvetlení som dostal veľa „Vypadni n00b“ alebo „Vyskúšaj tvrdšie!“. Chcel som uľahčiť tým, ktorí prišli za mnou, a vyplniť túto medzeru mojou knihou.
Q3 - Ako zaujímavé je meno, povedzte nám o svojej spoločnosti Bulb Security a ako to všetko začalo?
Vlastne mám dve spoločnosti Shevirah Inc. a Bulb Security LLC. Začal som programom Bulb, keď som dostal grant DARPA Cyber Fast Track na vybudovanie platformy Smartphone Pentest Framework a následne som bol pokarhaný za to, že som odvážny žiadať o grant samostatne.
Okrem výskumných projektov som v tomto bode vybudoval aj konzultačnú činnosť v oblasti penetračného testovania, školenia, reverzného inžinierstva a dokonca aj analýzy patentov. Vo svojom veľkom voľnom čase som tiež profesorom na University of Maryland University College a Tulane University.
Začal som Shevirah, keď som sa pripojil k urýchľovaču spustenia Mach37, aby som mohol produktizovať svoju prácu v mobilných zariadeniach a pri testovaní penetrácie internetu vecí, simulácii phishingu a validácii preventívnych kontrol, aby som rozšíril svoj dosah od pomoci iným výskumníkom, aby pomohli podnikom lepšie porozumieť ich mobilným a Pozícia zabezpečenia internetu vecí a ako ho vylepšiť.
Q4 - No, povedzte nám o najzaujímavejšom období, keď ste sa skutočne cítili hrdí na svoju prácu ako Penetračný tester.
Zakaždým, keď sa dostanem, najmä novým spôsobom, má to isté spojenie ako prvýkrát. Som tiež hrdý na to, že opakujem zákazníkov, ktorí nielenže opravili všetko, čo sme našli prvýkrát, ale aj naďalej zvyšovali svoju bezpečnostnú pozíciu, keď sa v čase medzi testami objavili nové zraniteľné miesta a útoky.
Ak chcete vidieť zákazníka, nielen opraviť to, čo som sa predtým dostal, ale tiež vytvoriť vyspelejšie držanie tela pre bezpečnosť podniku ako celku, znamená to, že som urobil oveľa väčší vplyv, než že im len ukážem, že môžem získať administrátora domény. Otrava LLMNR alebo EternalBlue.
Q5 - Aké návrhy alebo kariérové rady by ste chceli poskytnúť pre tých, ktorí chcú začať svoju cestu v oblasti etického hackingu a testovania prieniku? Môže to byť akýkoľvek návrh kurzu, osvedčenie alebo vzdelanie online.
Odporučil by som svoju knihu, Penetračné testovanie: Praktický úvod do hackingu. Navrhujem tiež zapojiť sa do miestnych hackerských stretnutí alebo konferencií, ako je napríklad miestna kapitola skupiny DEF CON alebo bezpečnostné BSides. Je to skvelý spôsob, ako stretnúť potenciálnych mentorov a kontakty v tomto odvetví. Navrhoval by som aj vykonanie výskumného projektu alebo triedy.
Toto je súťaž, ktorá ma dostala do #infosec. Sú tu súťaže v regiónoch celej krajiny, ako aj štátni príslušníci regionálnych víťazov. Dobré miesto, kde môžete vložiť svoje informačné doláre a dobrovoľnícke hodiny. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28. februára 2019
Mnoho ľudí si myslí, že bezpečnostný výskum je temnou mágiou, ktorá vyžaduje tajomné zručnosti o vnútornom fungovaní zavádzača, ale vo väčšine prípadov to tak nie je. Aj keď práve začínate, každý má sadu zručností, ktorá by bola užitočná pre ostatných v oblasti, ktorú môžu zdieľať. Možno ste vynikajúci formátovanie v programe Word alebo máte dlhoročné skúsenosti ako administrátor systému Linux?
Q6- Chceli by ste navrhnúť nášmu publiku bezpečnostný softvér, doplnky, rozšírenia atď., Ktorí sa obávajú o svoje súkromie a bezpečnosť online? Existujú spoľahlivé metódy na maximálnu ochranu online?
Vzhľadom na to, že časť mojej činnosti potvrdzuje účinnosť preventívnych riešení, som si istý, že pochopíte, že v rozhovoroch musím zostať predajcom agnostickým. Je dôležité si uvedomiť, že neexistuje nič také ako spoľahlivá bezpečnosť. V skutočnosti som pevne presvedčený, že marketingová stratégia predajcov preventívnych bezpečnostných služieb: „Ak inštalujete náš softvér (alebo umiestnite náš box do svojej siete), už sa viac nebudete musieť starať o bezpečnosť“, je hlavnou príčinou mnohých porušenia profilu, ktoré dnes vidíme.
Podniky, ktoré boli informované týmito takzvanými odbornými predajcami, vrhajú veľa peňazí na bezpečnostný problém, ale prehliadajú veci, ako je oprava a phishingová informovanosť, pretože ich predajcovia tvrdia, že sa na ne všetko vzťahuje. A ako znova a znova vidíme, žiadne preventívne riešenie nezastaví všetko.
Otázka č. 7 - Ako ťažké je hackerovi napadnúť niekoho, ak má na svojom inteligentnom zariadení spustenú sieť VPN? Aká je účinnosť VPN? Používate nejaké?
Podobne ako väčšina útokov v súčasnosti, väčšina mobilných útokov zahŕňa určitý druh sociálneho inžinierstva, často ako súčasť väčšej reťaze vykorisťovania. Ako v prípade preventívnych produktov, aj VPN môže byť určite nápomocná proti niektorým útokom a určite proti odposluchu, ale pokiaľ mobilní používatelia sťahujú škodlivé aplikácie, profily riadenia atď. A otvárajú škodlivé odkazy na svojich inteligentných zariadeniach, môže VPN iba choď tak ďaleko.
Chcel by som povzbudiť používateľov, aby používali VPN, najmä vo verejných sieťach, ako aj iné bezpečnostné produkty. Chcel by som len, aby používatelia boli naďalej ostražití v otázke ich bezpečnostného postoja, než aby sa na ich ochranu spoliehali iba na tieto produkty.
Q8 - Čo si myslíte, aké sú potenciálne bezpečnostné hrozby a zraniteľné miesta s exponenciálnym rozmachom inteligentných zariadení a neuveriteľným vývojom v oblasti IOT?
Hrozby proti mobilným telefónom a internetu vecí vidím rovnako ako tradičné zariadenia s väčším počtom vstupných a výstupných bodov. V počítači so systémom Windows existuje hrozba útokov na diaľkové vykonanie kódu, pri ktorých používateľ nemusí urobiť nič pre to, aby bol útok úspešný, útoky na strane klienta, kde používateľ potrebuje otvoriť škodlivý súbor, či už ide o webovú stránku, PDF, spustiteľné atď. Existujú aj útoky na sociálne inžinierstvo a eskalácia miestnych privilégií.
Chýbajú záplaty, heslá sa dajú ľahko uhádnuť, softvér tretích strán je neistý, zoznam pokračuje. V mobilných a IoT sa zaoberáme rovnakými problémami, s výnimkou toho, že namiesto káblového alebo bezdrôtového pripojenia máme mobilný modem, Zigbee, Bluetooth, Near Field Communication, aby sme vymenovali aspoň niektoré potenciálne vektory útoku a cesty, ako obísť akékoľvek nasadená prevencia straty dát. Ak sú dôverné údaje sifónované z databázy kompromitovaným mobilným zariadením a potom odoslané do celulárnej siete prostredníctvom SMS, všetky preventívne technológie na svete v obvode siete ich nezachytia. Podobne máme viac spôsobov, ako kedykoľvek predtým, aby sa používatelia mohli spoločensky upravovať.
Namiesto e-mailu a telefonického hovoru teraz máme SMS, sociálne médiá ako Whatsapp a Twitter, QR kódy, zoznam nespočetných spôsobov, ako by mohol byť užívateľ zameraný na otvorenie alebo stiahnutie niečoho škodlivého, čo ďalej pokračuje.
Q9 - Existujú nejaké bezpečnostné konferencie, na ktoré sa tešíte? Ak áno, tak aké sú?
Tiež by som rád videl nové miesta a spoznal nových ľudí. Takže som vždy na cestách do zahraničia, aby som robil konferencie. Tento rok ma pozvali na hlavnú myšlienku RastacCon! na Jamajke. Minulý rok som mal skvelý čas na návšteve brazílskeho Salvádoru, ktorý bol hlavným podujatím jednej z konferencií Roadsec. Aj v tomto roku som kľúčovým producentom spoločnosti Carbon Black Connect, ktorá je pre mňa dobrým miestom, pretože sa snažím stať sa tak známym v obchodnom svete ako v infosec svete. Napriek tomu, že je v lete v Las Vegas horúci a preplnený, letný tábor Infosec (Blackhat, Defcon, BSidesLV a rôzne najrôznejšie udalosti v rovnakom čase) je skvelým spôsobom, ako dohnať veľa ľudí z tohto odvetvia a zistiť, čo sa deje. k.
Q10 - Aké sú vaše budúce plány? Napíšete ďalšiu knihu? Založenie inej spoločnosti? Prispôsobenie existujúceho? Čo chce Georgia Weidman dosiahnuť vo svojom živote ďalej?
Momentálne dokončujem 2. vydanie Penetračného testovania: Úvod do hackingu. V budúcnosti by som určite rád napísal ďalšie technické knihy pre začiatočníkov. Aj keď som doposiaľ vykonal iba niekoľko anjelových investícií, dúfam, že v budúcnosti budem môcť investovať a usmerňovať ďalších zakladajúcich zakladateľov, najmä technických zakladateľov, ako som ja, a urobiť viac pre podporu žien a menšín v spoločnosti Infosec.
Veľa som sa naučil od uvedenia do prevádzky, ale som tiež jedným z tých vzácnych plemien, ktoré skutočne chcú robiť výskum v oblasti bezpečnosti. Po uvedení do prevádzky si predstavujem, že na chvíľu robím bezpečnostný výskum na plný úväzok. Úplne to nesúvisí s technikami, ale ak ma sledujete na sociálnych sieťach, možno ste si všimli, že súťažím v jazdeckých udalostiach, takže tento rok môj kôň Tempo a dúfam, že vyhráme finále asociácie Virginia Horse Show Association. Z dlhodobého hľadiska by som rád venoval viac času a zdrojov spojeniu záchranných koní so zaslúženými majiteľmi a šetrením morských korytnačiek.
„ Zabezpečenie nemôžete opraviť iba preventívnymi produktmi. Testovanie je nevyhnutnou a často prehliadanou časťou bezpečnosti. Ako sa do vašej organizácie dostane skutočný útočník? Budú schopní obísť vaše preventívne riešenie? (Pomôcka: Áno.) “- Gruzínsko Weidman
