V današnjem svetu, kjer velika in mala podjetja v veliki meri vplivajo na kibernetske napade in kršitve podatkov, se je poraba za kibernetsko varnost povečala. Podjetja porabijo milijone dolarjev za zaščito svoje kibernetske zaščite. In ko govorimo o kibernetski varnosti in varnosti informacij, je Georgia Weidman eno redkih vidnih imen v panogi, ki pride na misel.
Georgia Weidman je etični heker, preizkuševalec prodora, izvršni direktor Shevirah Inc / Bulb Security LLC in avtor knjige "Penetration Testing: Hands-on Introduction to Hacking."
Tu je ekskluzivni intervju Georgije Weidman z našo ekipo v Ivacyju, kjer smo zastavili nekaj vprašanj, povezanih z njo in kibernetsko varnostjo na splošno:
Q1 - Zdravo Georgia, zelo smo veseli, da smo vas imeli in bili smo popolnoma navdušeni, ko smo vedeli, koliko ste dosegli v kratkem času. Kaj vas prinaša v to industrijo infosec? Kako ste začeli svojo pot kot etični heker?
Na kolidž sem šel zgodaj, pri 14, namesto običajnih 18. In diplomiral sem iz matematike, ker nisem hotel biti računalničar. Moja mama je bila ena in kakšen najstnik želi biti kot njihovi starši?
Ampak potem pri 18 letih res nisem mogel najti službe s samo diplomo in brez delovnih izkušenj, prosili so me, da opravim magisterij iz računalništva, in namenili so mi denar! To je bilo bolje kot živeti s starši.
Tako sem vstopil v program Masters in univerza je imela klub za kibernetsko obrambo. Kapetan kluba za kibernetsko obrambo se mi je zdel res zanimiv in želel sem izvedeti več o njem. Torej, saj ne vem ničesar o kibernetski varnosti, sem se pridružil klubu kibernetske obrambe in smo tekmovali na tekmovanju Srednjeatlantske kibernetske obrambe. No, izvedel sem, da je kibernetska varnost bolj zanimiva od fanta, vendar sem tudi našla, kaj želim početi v življenju.
Q2 - Kakšen je bil vaš navdih in motivacija za pisanje knjige "Testiranje na penetracijo"?
Hotel sem napisati knjigo, ki sem si jo zaželel, ko sem štartal v infosec. Ko sem se prvič lotil in se skušal naučiti toliko tistega, kar je na voljo v vajah, in tako zbral toliko predhodnega znanja, da sem opravil tehnični ekvivalent iskanja vseh besed v slovarju. Potem te besede v otroškem slovarju, da bi sploh dobili predstavo o tem, kako so stvari delovale veliko manj, zakaj delujejo.
Ko sem prosil za pomoč, sem dobil veliko "Get off n00b" ali "Try Harder!" Namesto razlag. Želel sem si olajšati tiste, ki so prišli za menoj in zapolniti to vrzel s svojo knjigo.
V3 - Kot je zanimivo ime, povejte nam o svojem podjetju Bulb Security in kako se je vse začelo?
Pravzaprav imam dve podjetji Shevirah Inc. in Bulb Security LLC. Bulb sem zagnal, ko sem prejel donacijo DARPA Cyber Fast Track za izgradnjo okvira pametnega telefona za pametne telefone, zatem pa so mu prigovarjali, da je imel drznost samostojno zaprositi za donacijo.
Poleg raziskovalnih projektov sem na tem mestu zgradil tudi svetovalno podjetje na penetracijskem testiranju, usposabljanju, obratnem inženiringu, celo patentni analizi. V prostem času sem tudi profesor na univerzi Maryland University College in Univerzi Tulane.
Začel sem s Shevirah, ko sem se pridružil zagonskemu pospeševalniku Mach37, da sem produciziral svoje delo na mobilnem testiranju in testiranju penetracije interneta stvari, simulaciji lažnega predstavljanja in preverjanju preventivnega nadzora, da bi razširil svoj domet, da bi drugim raziskovalcem pomagal, da bodo podjetja bolje razumela svoje mobilne in IoT varnostna drža in kako jo izboljšati.
Q4 - No, povejte nam o najbolj vznemirljivem času, ko ste se resnično počutili ponosno na svoje delo kot preizkuševalec penetracije.
Vsakič, ko pridem noter, še posebej na nov način, imam enako hitenje kot prvič. Ponosna sem tudi na to, da imam ponavljajoče se kupce, ki niso le popravili vsega, kar smo prvič našli, ampak so še naprej dvigovali svojo varnostno držo, saj so v času med testiranji postale znane nove ranljivosti in napadi.
Če vidim, da stranka ne samo popravi tistega, s čimer sem vstopila, ampak tudi ustvari bolj zrelo varnostno držo za podjetje kot celoto, pomeni, da sem naredila veliko večji učinek, kot samo to, da jim pokažem, da lahko pridobim skrbnika domene Zastrupitev z LLMNR ali EternalBlue.
Vprašanje - Za tiste, ki želite začeti potovanje na področju testiranja etičnega hekerstva in penetracije, kakšne predloge ali karierne nasvete želite podati? V tej zadevi so lahko kateri koli predlogi spletnega tečaja, potrdila ali izobrazbe.
Priporočam svojo knjigo, preizkušanje prodiranja: Hands-on Introduction to Hacking seveda. Prav tako bi predlagal, da se vključite v lokalne hekerske sestanke ali konference, na primer poglavje lokalne skupine DEF CON ali Varnostne strani. To je odličen način za srečanje s potencialnimi mentorji in povezavami v panogi. Predlagal bi tudi raziskovalni projekt ali pouk.
To je tekmovanje, ki me je najprej spravilo v #infosec. V regijah po vsej državi potekajo tekmovanja in državljani za regijske zmagovalce. Dober kraj za vložitev svojih dolarjev in prostovoljnih ur. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28. februarja 2019
Tako mnogi mislijo, da je varnostno raziskovanje temna magija, ki zahteva skrivne veščine notranjega delovanja nakladalnika, vendar v večini primerov ni tako. Tudi če šele začenjate, ima vsak nabor spretnosti, ki bi bil v pomoč drugim na tem področju, ki ga lahko delijo. Mogoče ste odlični pri oblikovanju Worda ali imate dolgoletne izkušnje kot skrbnik sistema Linux?
Q6 - Ali želite predlagati nekaj varnostne programske opreme, dodatkov, razširitev itd. Za naše občinstvo, ki jih skrbi njihova spletna zasebnost in varnost? Ali obstajajo kakšne varne metode za največjo spletno zaščito?
Glede na to, da del mojega podjetja potrjuje učinkovitost preventivnih rešitev, sem prepričan, da boste razumeli, da moram v razgovorih ostati agnostist prodajalca. Pomembno je opozoriti, da varnost ne obstaja. Pravzaprav močno verjamem, da je marketinška strategija preventivnih prodajalcev varnosti: "Če namestite našo programsko opremo (ali postavite naš okvir v vaše omrežje), vam ne bo treba več skrbeti za varnost, " je glavni vzrok mnogih odmevne kršitve, ki jih vidimo danes.
Podjetja, ki so jih obveščali ti tako imenovani strokovni prodajalci, mečejo veliko denarja za varnostni problem, vendar spregledajo stvari, kot sta zakrpanje in lažno predstavljanje, ker so njihovi prodajalci rekli, da imajo vse to zajeto. In kot vedno znova vidimo, nobena preventivna rešitev ne bo ustavila vsega.
Vprašanje - Kako je težko vdreti nekoga, če ima na pametni napravi nameščen VPN? Kako učinkoviti so VPN-ji? Ali jih uporabljate?
Kot večina napadov v današnjem času, tudi večina mobilnih napadov vključuje nekakšen socialni inženiring, pogosto kot del večje verige izkoriščanja. Tako kot pri preventivnih izdelkih je tudi VPN lahko koristen proti nekaterim napadom in zagotovo proti prisluškovanju, vendar dokler mobilni uporabniki na svoje pametne naprave nalagajo zlonamerne aplikacije, profile upravljanja itd. In odpirajo zlonamerne povezave pojdi tako daleč.
Uporabnike bi spodbudil k uporabi VPN, zlasti v javnih omrežjih, pa tudi drugih varnostnih izdelkov. Želel bi si le, da bi uporabniki še naprej pozorno spremljali svojo držo, namesto da bi se zaščitili samo na te izdelke.
V8 - Kakšen se vam zdi potencialni grožnji varnosti in ranljivosti z eksponentnim razcvetom pametnih naprav in neverjetnim razvojem na področju IOT?
Grožnje z mobilnimi napravami in IoT vidim enako kot tradicionalne naprave z več vstopnimi in izstopnimi točkami. Na računalniku z operacijskim sistemom Windows obstaja nevarnost napadov izvajanja oddaljene kode, pri katerih uporabniku ni treba storiti ničesar, da bi bil napad uspešen, napadi na strani odjemalca, kjer mora uporabnik odpreti zlonamerno datoteko, naj bo to spletna stran, PDF, izvedljivi itd. Obstajajo tudi napadi socialnega inženiringa in povečanje lokalnih privilegijev.
Obliži manjkajo, gesla je enostavno uganiti, programska oprema tretjih oseb je negotova, seznam se nadaljuje. Pri mobilnih napravah in IoT-ju imamo opravka z enakimi težavami, razen namesto žične ali brezžične povezave imamo zdaj mobilni modem, Zigbee, Bluetooth, komunikacijo v bližini, le če bi našteli nekaj potencialnih vektorjev napadov in poti, da bi zaobšli kateri koli uvedba preprečevanja izgube podatkov. Če z ogroženo mobilno napravo iz zbirke podatkov zasedejo zaupne podatke in jih nato pošljejo v mobilno omrežje prek SMS-a, vsa preventivna tehnologija na svetu na omrežnem obodu ne bo zajela. Prav tako imamo na voljo več načinov, kako lahko uporabnike družbeno inženirimo.
Namesto samo e-pošte in telefonskega klica imamo zdaj SMS, družbene medije, kot so Whatsapp in Twitter, QR kode, seznam neštetih načinov, kako lahko uporabnik cilja, da odpre ali prenese nekaj zlonamernega, se nadaljuje.
V9 - Ali se veselite kakšnih varnostnih konferenc? Če je odgovor da, kaj so potem ti?
Rada vidim tudi nove kraje in spoznavam nove ljudi. Tako sem vedno pripravljen za potovanja v tuje dežele, da bi delal konference. Letos sem bil povabljen k glavni podpori RastacCon! na Jamajki Lani sem se čudovito mudil na obisku Salvadorja v Braziliji, kjer je bil eden od konferenc Roadsec. Tudi letos podpiram Carbon Black Connect, ki je zame dobro prizorišče, ko delam, da postajam tako znan v poslovnem svetu, kot sem v svetu infosec. Kljub temu, da je v vroči in gneči v Las Vegasu, je infosec poletni tabor (Blackhat, Defcon, BSidesLV, poleg tega pa tudi veliko drugih dogodkov hkrati) odličen način, da dohitete veliko ljudi iz panoge in vidite, kaj so se lotili do.
Q10 - Kakšni so vaši prihodnji načrti? Boste napisali še eno knjigo? Ustanavljate drugo podjetje? Spreminjanje obsega obstoječega? Kaj želi Georgia Weidman doseči v svojem življenju še naprej?
Trenutno končujem 2. izdajo preizkušanja penetracij: Hands-on Introduction to Hacking. Vsekakor bi rad v prihodnosti napisal dodatne tehnične knjige, ki so prijazne začetnikom. Čeprav sem doslej naredil le nekaj angelskih naložb, upam, da bom lahko v prihodnje vlagal in mentoril drugim ustanoviteljem zagona, zlasti tehničnim ustanoviteljem, kot sem jaz, in naredil več za podporo ženskam in manjšinam v infoseku.
Veliko sem se naučil pri zagonu, sem pa tudi ena redkih pasem, ki si resnično želi samo raziskati varnost. Po zagonu si predstavljam, da nekaj časa nekaj časa opravljam varnostne raziskave. Popolnoma ni povezano s tehnologijo, toda če me spremljate na družbenih medijih, ste morda opazili, da tekmam v konjeniških disciplinah, tako da bom letos konj Tempo in upam, da bom zmagal v finalu Virginia Horse Show Association. Dolgoročno bi rad namenil več časa in sredstev za uskladitev reševalnih konj z zaslužnimi lastniki in varčevanje z morskimi želvami.
" Varnosti ne morete določiti samo s preventivnimi izdelki. Testiranje je nujen in pogosto spregledan del varnosti. Kako bo pravi napadalec prodrl v vašo organizacijo? Ali bodo lahko zaobšli vašo preventivno rešitev? (Namig: da.) ”- Georgia Weidman
