W dzisiejszym świecie, gdzie duże i małe przedsiębiorstwa są w dużym stopniu dotknięte atakami cybernetycznymi i naruszeniami danych, wydatki na cyberbezpieczeństwo gwałtownie wzrosły. Przedsiębiorstwa wydają miliony dolarów na ochronę swoich cyberobron. A kiedy mówimy o cyberbezpieczeństwie i bezpieczeństwie informacji, Georgia Weidman jest jedną z niewielu znanych firm w branży, która przychodzi na myśl.
Georgia Weidman jest Ethical Hacker, Penetration Tester, CEO Shevirah Inc / Bulb Security LLC i autorem książki „Penetration Testing: Hands-on Wprowadzenie do hackingu”.
Oto ekskluzywny wywiad z Georgia Weidman z naszym zespołem w Ivacy, w którym zadaliśmy kilka pytań związanych z nią i Cyber Security w ogóle:
Q1 - Cześć Georgia, jesteśmy bardzo zadowoleni z tego, że jesteśmy pod wrażeniem, wiedząc, ile osiągnąłeś w krótkim czasie. Co sprowadza cię do tej branży infosec? Jak rozpocząłeś swoją podróż jako etyczny haker?
Wcześnie poszedłem do college'u, mając 14 lat zamiast zwykłego 18. I wziąłem dyplom z matematyki, ponieważ nie chciałem być informatykiem. Moja matka była jedna i która nastolatka chce być jak ich rodzice?
Ale wtedy nie mogłem znaleźć pracy w wieku 18 lat z tytułem licencjata i bez doświadczenia zawodowego, poproszono mnie o tytuł magistra informatyki i zamierzali dać mi pieniądze! To było lepsze niż życie z rodzicami.
Wstąpiłem więc na studia magisterskie, a uniwersytet miał klub cyberobrony. Kapitan klubu cyberobrony wydawał się naprawdę interesujący i chciałem dowiedzieć się o nim więcej. Nie wiedząc nic o cyberbezpieczeństwie, dołączyłem do klubu cyberobrony i rywalizowaliśmy w konkursie Cyberobronie Środkowoatlantyckiej. Cóż, dowiedziałem się, że cyberbezpieczeństwo jest bardziej interesujące niż facet, ale znalazłem także to, co chciałem zrobić ze swoim życiem.
P2 - Jaka była Twoja inspiracja i motywacja do napisania książki „Testy penetracyjne”?
Chciałem napisać książkę, którą chciałem mieć, kiedy zaczynałem w infosec. Kiedy po raz pierwszy zacząłem i starałem się nauczyć tak dużo tego, co było dostępne w samouczkach i zgromadziłem tak wiele wcześniejszej wiedzy, że robiłem techniczny odpowiednik wyszukiwania wszystkich słów w słowniku. Następnie te słowa w słowniku dla dzieci, aby nawet zrozumieć, jak rzeczy działały znacznie mniej, dlaczego działały.
Pytając o pomoc, dostałem dużo „Get off n00b” lub „Try Harder!” Zamiast wyjaśnień. Chciałem ułatwić tym, którzy przyszli po mnie i wypełnić tę lukę moją książką.
Q3 - Jak interesująca jest nazwa, powiedz nam o swojej firmie Bulb Security i jak to się wszystko zaczęło?
Mam dwie firmy Shevirah Inc. i Bulb Security LLC. Założyłem Bulb, gdy otrzymałem grant DARPA Cyber Fast Track na zbudowanie Smartphone Pentest Framework, a następnie zostałem upomniany za to, że miałem odwagę ubiegać się o grant niezależnie.
Oprócz projektów badawczych zbudowałem również firmę konsultingową w zakresie testów penetracyjnych, szkoleń, inżynierii odwrotnej, a nawet analizy patentów. W moim bogatym wolnym czasie jestem również profesorem na University of Maryland University College i Tulane University.
Zacząłem Shevirah, gdy dołączyłem do akceleratora startowego Mach37, aby produkować moją pracę w testach penetracyjnych w telefonii komórkowej i Internecie, symulację phishingu i walidację kontroli prewencyjnej, aby rozszerzyć swój zasięg, pomagając innym badaczom w pomaganiu przedsiębiorstwom w lepszym zrozumieniu ich urządzeń mobilnych i Postawa bezpieczeństwa IoT i jak ją poprawić.
P4- Opowiedz nam o najbardziej ekscytującym czasie, kiedy naprawdę czułeś się dumny ze swojej pracy jako Penetration Tester.
Za każdym razem, gdy wchodzę, szczególnie w nowy sposób, ma taki sam pośpiech jak za pierwszym razem. Jestem dumny z tego, że powtarzający się klienci, którzy nie tylko naprawili wszystko, co znaleźliśmy za pierwszym razem, ale także podnieśli swoje bezpieczeństwo, ponieważ nowe luki i ataki stały się znane w okresie między testami.
Aby zobaczyć klienta nie tylko po prostu załatać to, do czego przywykłem, ale także zbudować bardziej dojrzałą postawę bezpieczeństwa dla całego przedsiębiorstwa, co oznacza, że zrobiłem znacznie większy wpływ niż tylko pokazanie go. Zatrucie LLMNR lub EternalBlue.
P5- Dla tych, którzy chcą rozpocząć swoją podróż w dziedzinie Ethical Hacking & Penetration Testing, jakie sugestie lub porady zawodowe chciałbyś udzielić? Mogą to być dowolne sugestie kursów online, certyfikaty i wykształcenie.
Polecam oczywiście moją książkę „Penetration Testing: Hands-On Wprowadzenie do hakowania”. Proponuję również wziąć udział w lokalnych spotkaniach hakerów lub konferencjach, takich jak lokalny rozdział DEF CON group lub Security BSides. To świetny sposób na poznanie potencjalnych mentorów i kontaktów w branży. Proponuję również wykonanie projektu badawczego lub klasy.
To konkurencja, która w pierwszej kolejności doprowadziła mnie do #infosec. W regionach całego kraju organizowane są konkursy, a zwycięzcy regionalni - obywatele. Dobre miejsce, aby umieścić swoje dolary i godziny wolontariatu. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28 lutego 2019 r
Tak wielu ludzi uważa, że badania nad bezpieczeństwem to mroczna magia, która wymaga magicznych umiejętności w zakresie wewnętrznego działania bootloadera, ale w większości przypadków tak nie jest. Nawet jeśli dopiero zaczynasz, każdy ma zestaw umiejętności, który byłby pomocny dla innych w dziedzinie, którą mogą udostępnić. Może świetnie radzisz sobie z formatowaniem w Word lub masz wieloletnie doświadczenie jako administrator systemu Linux?
P6 - Czy chcesz zasugerować naszym programistom jakieś oprogramowanie zabezpieczające, dodatki, rozszerzenia itp., Które obawiają się o swoją prywatność i bezpieczeństwo w Internecie? Czy są jakieś niezawodne metody maksymalnej ochrony online?
Biorąc pod uwagę, że część mojej działalności potwierdza skuteczność rozwiązań zapobiegawczych, jestem pewien, że zrozumiesz, że w wywiadach muszę pozostać agnostykiem dostawcy. Ważne jest, aby pamiętać, że nie ma czegoś takiego jak niezawodne bezpieczeństwo. Jestem przekonany, że zapobieganie strategii marketingowej dostawców bezpieczeństwa „Jeśli instalujesz nasze oprogramowanie (lub umieszczasz nasze pudełko w swojej sieci), nie będziesz już musiał martwić się o bezpieczeństwo”, to główna przyczyna wielu Wyraźne naruszenia, które widzimy dzisiaj.
Przedsiębiorstwa, po otrzymaniu informacji od tych tak zwanych ekspertów, rzucają dużo pieniędzy na problem bezpieczeństwa, ale pomijają takie rzeczy, jak łatanie i świadomość phishingu, ponieważ ich dostawcy twierdzą, że wszystko to zostało pokryte. I, jak widzimy raz po raz, żadne rozwiązanie zapobiegawcze nie zatrzyma wszystkiego.
P7 - Z punktu widzenia hackera, jak trudno jest włamać się do kogoś, kto ma VPN działający na ich inteligentnym urządzeniu? Jak skuteczne są VPN? Czy używasz dowolnego?
Podobnie jak większość ataków w dzisiejszych czasach, większość mobilnych ataków wiąże się z pewnego rodzaju inżynierią społeczną, często jako część większego łańcucha wyzysku. Podobnie jak w przypadku produktów zapobiegawczych, VPN może być z pewnością pomocna w przypadku niektórych ataków, a na pewno przeciwko podsłuchiwaniu, ale tak długo, jak użytkownicy mobilni pobierają złośliwe aplikacje, profile zarządzania itp. I otwierają złośliwe łącza na swoich inteligentnych urządzeniach, VPN może tylko idź tak daleko.
Zachęcam użytkowników do korzystania z VPN, szczególnie w sieciach publicznych, a także innych produktach bezpieczeństwa. Chciałbym po prostu, aby użytkownicy zachowali czujność na temat swojej postawy w zakresie bezpieczeństwa, zamiast polegać wyłącznie na tych produktach, aby je chronić.
P8- Wraz z gwałtownym boomem inteligentnych urządzeń i niesamowitym rozwojem w dziedzinie IOT, jakie są według ciebie potencjalne zagrożenia bezpieczeństwa i luki, które najprawdopodobniej będą się wiązały?
Widzę zagrożenia wobec urządzeń mobilnych i IoT jako takie same jak tradycyjne urządzenia z większą liczbą punktów wejścia i wyjścia. Na komputerze z systemem Windows istnieje zagrożenie zdalnymi atakami polegającymi na wykonaniu kodu, gdy użytkownik nie musi nic robić, aby atak zakończył się sukcesem, ataki po stronie klienta, w których użytkownik musi otworzyć złośliwy plik, czy to strona internetowa, plik PDF, wykonywalny itp. Istnieją również ataki socjotechniczne i eskalacja przywilejów lokalnych.
Brakuje poprawek, hasła są łatwe do odgadnięcia, oprogramowanie innych firm jest niepewne, lista trwa. W urządzeniach mobilnych i IoT mamy do czynienia z tymi samymi problemami, z wyjątkiem zamiast połączenia przewodowego lub bezprzewodowego, mamy teraz modem mobilny, Zigbee, Bluetooth, Near Field Communication, żeby wymienić tylko kilka potencjalnych wektorów ataku, a także sposoby na ominięcie dowolnego wdrożone zapobieganie utracie danych. Jeśli poufne dane są przesyłane z bazy danych przez zainfekowane urządzenie mobilne, a następnie wysyłane do sieci komórkowej za pośrednictwem wiadomości SMS, cała technologia prewencyjna na świecie w obwodzie sieci go nie złapie. Podobnie, mamy więcej sposobów niż kiedykolwiek, aby użytkownicy mogli być konstruowani społecznie.
Zamiast wiadomości e-mail i rozmowy telefonicznej mamy teraz SMS-y, media społecznościowe, takie jak Whatsapp i Twitter, kody QR, listę niezliczonych sposobów, w jakie użytkownik może być ukierunkowany na otwieranie lub pobieranie czegoś złośliwego.
P9- Czy są jakieś konferencje bezpieczeństwa, na które czekacie? Jeśli tak, to jakie to są?
Lubię też widzieć nowe miejsca i poznawać nowych ludzi. Zawsze więc jestem gotów podróżować na zagraniczne ziemie, aby organizować konferencje. W tym roku zostałem zaproszony do keynote RastacCon! na Jamajce. W zeszłym roku świetnie się bawiłem odwiedzając Salvador w Brazylii, przemawiając na jednej z konferencji Roadsec. Również w tym roku zajmuję się Carbon Black Connect, który jest dla mnie dobrym miejscem, ponieważ pracuję nad tym, aby stać się tak dobrze znanym w świecie biznesu, jak w świecie infosec. Pomimo tego, że obóz infosec (Blackhat, Defcon, BSidesLV, a także inne wydarzenia w tym samym czasie) jest w gorącym i zatłoczonym Las Vegas, jest to świetny sposób, aby dogonić wielu ludzi z branży i zobaczyć, co się stało do.
P10 - Jakie masz plany na przyszłość? Czy napiszesz kolejną książkę? Założenie innej firmy? Skalowanie istniejącego? Co chce osiągnąć Georgia Weidman w swoim życiu?
Obecnie kończę drugą edycję testów penetracyjnych: praktyczne wprowadzenie do hackingu. Zdecydowanie chciałbym w przyszłości napisać dodatkowe książki techniczne przyjazne dla początkujących. Chociaż do tej pory zrobiłem tylko kilka inwestycji aniołów, mam nadzieję, że będę w stanie zainwestować w innych założycieli startupów w przyszłości, w szczególności w takich, jak ja, założycieli technicznych, i zrobić więcej, aby wesprzeć kobiety i mniejszości w infosec.
Wiele nauczyłem się od startupu, ale jestem też jedną z tych rzadkich ras, które naprawdę chcą prowadzić badania bezpieczeństwa. Post-startup Wyobrażam sobie, że robię badania bezpieczeństwa na cały czas. Całkowicie nie związane z technologią, ale jeśli śledzisz mnie w mediach społecznościowych, możesz zauważyć, że rywalizuję w zawodach jeździeckich, więc w tym roku mój koń Tempo i mam nadzieję wygrać finały Stowarzyszenia Horse Horse. W dłuższej perspektywie chciałbym poświęcić więcej czasu i zasobów na dopasowanie koni ratunkowych do zasłużonych właścicieli i uratowanie żółwi morskich.
„ Nie można naprawić bezpieczeństwa za pomocą tylko produktów zapobiegawczych. Testowanie jest niezbędną i często pomijaną częścią bezpieczeństwa. Jak prawdziwy napastnik włamie się do twojej organizacji? Czy będą mogli ominąć Twoje rozwiązanie zapobiegawcze? (Podpowiedź: tak.) ”- Georgia Weidman
