V dnešním světě, kde jsou velké a malé podniky do velké míry ovlivněny kybernetickými útoky a porušením dat, se výdaje na kybernetickou bezpečnost prudce zvýšily. Podniky utrácejí miliony dolarů na ochranu své kybernetické obrany. A když mluvíme o kybernetické bezpečnosti a informační bezpečnosti, je Gruzie Weidman jedním z mála prominentních jmen v tomto odvětví, které přichází na mysl.
Georgia Weidman je etický hacker, Penetration Tester, CEO společnosti Shevirah Inc / Bulb Security LLC a autor knihy „Penetration Testing: Praktický úvod do hackingu“.
Zde je exkluzivní rozhovor s Georgem Weidmanem s naším týmem v Ivacy, kde jsme položili několik otázek souvisejících s ní a Cyber Security obecně:
Q1 - Ahoj Gruzie, jsme velmi rádi, že vás máme, a byli jsme ohromeni tím, že jsme věděli, kolik toho jste dosáhli v krátkém časovém úseku. Co vás přivádí k tomuto infosec průmyslu? Jak jsi začal svou cestu jako etický hacker?
Šel jsem na vysokou školu brzy, ve 14, místo obvyklých 18 let. A získal jsem matematický titul, protože jsem nechtěl být počítačovým vědcem. Moje matka byla jedna a jaký teenager chce být jako jejich rodiče?
Ale pak jsem nemohl opravdu najít práci v 18 letech s pouhým bakalářským stupněm a bez pracovních zkušeností, byl jsem požádán o magisterský titul z informatiky a oni mi dali peníze! Bylo to lepší, než žít s rodiči.
Takže jsem vstoupil do programu Masters a univerzita měla kybernetický obranný klub. Kapitán klubu kybernetické obrany vypadal opravdu zajímavě a chtěl jsem se o něm dozvědět více. Takže, protože jsem nevěděl nic o kybernetické bezpečnosti, připojil jsem se k kybernetickému obrannému klubu a my jsme soutěžili v středoatlantické soutěži kybernetické obrany. Dozvěděl jsem se, že kybernetická bezpečnost je zajímavější než ten chlap, ale také jsem našel to, co jsem chtěl dělat se svým životem.
Q2 - Jaká byla vaše inspirace a motivace při psaní knihy „Penetration Testing“?
Chtěl jsem napsat knihu, kterou jsem si přál, abych měl, když jsem začínal v infosecu. Když jsem poprvé začal a snažil se naučit tolik toho, co bylo k dispozici ve formě výukových programů, a nashromáždil tolik předchozích znalostí, že jsem dělal technický ekvivalent vyhledávání všech slov ve slovníku. Pak ta slova ve dětském slovníku dokonce získají představu o tom, jak věci fungují mnohem méně, proč fungují.
Když jsem žádal o pomoc, dostal jsem spíše vysvětlení než „Vypadni n00b“ nebo „Vyzkoušejte tvrdší!“. Chtěl jsem usnadnit těm, kteří za mnou přišli a vyplnili tu mezeru svou knihou.
Q3 - Jak zajímavé je jméno, řekněte nám o vaší společnosti Bulb Security a jak to všechno začalo?
Vlastně mám dvě společnosti Shevirah Inc. a Bulb Security LLC. Začal jsem Bulb, když jsem obdržel DARPA Cyber Fast Track grant na vybudování Smartphone Pentest Framework a následně byl pokárán za to, že jsem měl drzost žádat o grant samostatně.
Kromě výzkumných projektů jsem v tomto bodě také vybudoval poradenskou firmu pro penetrační testování, školení, reverzní inženýrství a dokonce i patentovou analýzu. Ve svém volném čase jsem také profesorem na University of Maryland University College a Tulane University.
Začal jsem s Shevirah, když jsem se připojil k akcelerátoru spuštění Mach37, abych mohl produktizovat svou práci v mobilu a testování penetrace internetu věcí, simulaci phishingu a ověření preventivní kontroly, abych rozšířil svůj dosah od pomoci jiným vědcům, aby pomohl podnikům lépe porozumět jejich mobilním a Pozice zabezpečení IoT a jak ji vylepšit.
Q4 - No, řekněte nám o nejúžasnější době, kdy jste se opravdu cítili hrdí na svou práci jako Penetration Tester.
Pokaždé, když se dostanu dovnitř, zejména novým způsobem, má stejný spěch jako poprvé. Jsem také hrdý na to, že opakuji zákazníky, kteří nejen opravili vše, co jsme našli poprvé, ale i nadále zvyšovali svoji bezpečnost, jak se objevovaly nové zranitelnosti a útoky v době mezi testy.
To, že vidím zákazníka, nejen opravuje to, co jsem použil, ale také buduje vyspělejší bezpečnostní postoj pro celý podnik, znamená, že jsem udělal mnohem větší dopad, než jen abych jim ukázal, že můžu získat administrátora domény Otrava LLMNR nebo EternalBlue.
Q5 - Jaké návrhy nebo kariérové rady byste chtěli poskytnout těm, kteří chtějí zahájit svou Journey v oblasti etického hackingu a penetračního testování? Může se jednat o jakékoli návrhy kurzů online, certifikáty nebo o vzdělání.
Doporučil bych svou knihu Penetrační testování: Praktický úvod do hackování. Navrhoval bych také zapojení do místních hackerských schůzek nebo konferencí, jako je místní kapitola skupiny DEF CON nebo bezpečnostní BSides. To je skvělý způsob, jak potkat potenciální mentory a kontakty v oboru. Navrhoval bych také provedení výzkumného projektu nebo třídy.
Toto je soutěž, která mě v první řadě dostala do #infosec. Existují soutěže v regionech po celé zemi a také státní příslušníci regionálních vítězů. Dobré místo, kam můžete vložit své dolary a dobrovolnické hodiny. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28. února 2019
Tolik lidí si myslí, že bezpečnostní výzkum je temná magie, která vyžaduje tajemné dovednosti o vnitřním fungování bootloaderu, ale ve většině případů tomu tak není. I když právě začínáte, každý má sadu dovedností, která by byla užitečná pro ostatní v oblasti, kterou mohou sdílet. Možná jste skvělí ve formátování v aplikaci Word nebo máte dlouholeté zkušenosti jako administrátor systému Linux?
Q6- Chtěli byste navrhnout nějaký bezpečnostní software, doplňky, rozšíření atd. Pro naše publikum, které se obávají o jejich soukromí a zabezpečení online? Existují nějaké spolehlivé metody pro maximální ochranu online?
Vzhledem k tomu, že část mého podnikání ověřuje účinnost preventivních řešení, jsem si jist, že pochopíte, že v rozhovorech musím zůstat prodavačem prodejce. Je důležité si uvědomit, že neexistuje nic takového jako spolehlivá bezpečnost. Ve skutečnosti jsem pevně přesvědčen, že marketingová strategie prodejců preventivních zabezpečení: „Pokud nainstalujete náš software (nebo vložíte naši síť do sítě), nebudete se už muset starat o bezpečnost, “ je hlavní příčinou mnoha z porušení vysokého profilu, které dnes vidíme.
Podniky poté, co byli informováni těmito takzvanými odbornými prodejci, hodí na bezpečnostní problém spoustu peněz, ale přehlížejí věci, jako je oprava a phishing, protože jejich prodejci uvedli, že to vše zahrnuje. A jak vidíme znovu a znovu, žádné preventivní řešení nezastaví vše.
Q7 - Jak těžké je hackerovi napadnout někoho, kdo má na svém chytrém zařízení spuštěnou VPN? Jak efektivní jsou VPN? Používáte nějaké?
Stejně jako většina útoků v současnosti zahrnuje většina mobilních útoků určitý druh sociálního inženýrství, často jako součást většího řetězce vykořisťování. Stejně jako v případě preventivních produktů může být VPN určitě užitečná proti některým útokům a určitě proti odposlouchávání, ale pokud mobilní uživatelé stahují škodlivé aplikace, profily správy atd. A otevírají škodlivé odkazy na svých inteligentních zařízeních, může VPN pouze jdi tak daleko.
Doporučil bych uživatelům, aby používali VPN, zejména ve veřejných sítích, a samozřejmě i další bezpečnostní produkty. Chtěl bych pouze, aby uživatelé byli nadále ostražití ohledně své bezpečnostní pozice, spíše než aby se spoléhali pouze na tyto produkty, aby je chránili.
Q8 - Jaký je podle vás exponenciální rozmach inteligentních zařízení a neuvěřitelný vývoj v oblasti IOT, potenciální bezpečnostní hrozby a zranitelnosti, které s největší pravděpodobností označíte?
Hrozby pro mobilní zařízení a internet věcí vidím stejně jako tradiční zařízení s větším počtem vstupních a výstupních bodů. V počítači se systémem Windows existuje hrozba útoků na vzdálené spuštění kódu, kdy uživatel nemusí udělat nic pro to, aby byl útok úspěšný, útoky na straně klienta, kde uživatel potřebuje otevřít škodlivý soubor, ať už je to webová stránka, PDF, spustitelný atd. Existují také útoky na sociální inženýrství a eskalace místních privilegií.
Chybí záplaty, hesla lze snadno uhádnout, software třetích stran je nejistý, seznam pokračuje. V mobilních zařízeních a internetu věcí se zabýváme stejnými problémy, kromě toho, že místo kabelového nebo bezdrátového připojení máme mobilní modem, Zigbee, Bluetooth, Near Field Communication, abychom jmenovali alespoň některé potenciální vektory útoku a cesty k obejití všech nasazena prevence ztráty dat. Pokud jsou důvěrná data sifonována z databáze kompromitovaným mobilním zařízením a poté posílána do mobilní sítě prostřednictvím SMS, všechna preventivní technologie na světě v obvodu sítě je nezachytí. Stejně tak máme více způsobů, než kdy dříve, že uživatelé mohou být sociálně upraveni.
Místo pouhého e-mailu a telefonního hovoru nyní máme SMS, sociální média jako Whatsapp a Twitter, QR kódy, seznam nesčetných způsobů, na které by mohl být uživatel zaměřen, aby otevřel nebo stáhl něco škodlivého, co se děje dál a dál.
Q9 - Existují nějaké bezpečnostní konference, na které se těšíte? Pokud ano, jaké jsou?
Také ráda vidím nová místa a poznávám nové lidi. Takže jsem vždy na cestách do cizích zemí a pořádám konference. Letos jsem byl pozván na hlavní řeč RastacCon! na Jamajce. Minulý rok jsem měl báječný čas na návštěvě brazilského salvadorského města, klíčovým slovem jedné z konferencí Roadsec. Také v letošním roce jsem klíčovým slovem Carbon Black Connect, což je pro mě dobré místo, protože pracuji na tom, abych byl v obchodním světě stejně známý jako já v infosec světě. I přes to, že je v horkém a přeplněném Las Vegas, je infosec letní tábor (Blackhat, Defcon, BSidesLV a rozmanité další akce ve stejnou dobu) skvělým způsobem, jak dohnat mnoho lidí z oboru a zjistit, co se děje na.
Q10 - Jaké jsou vaše budoucí plány? Napíšete jinou knihu? Založení jiné společnosti? Měřítko stávající? Co chce Georgie Weidmanová dosáhnout ve svém životě dále?
V současné době dokončuji 2. vydání Penetračního testování: Praktický úvod do hackingu. Určitě bych chtěl v budoucnu napsat další technické knihy pro začátečníky. Přestože jsem doposud provedl jen pár andělských investic, doufám, že v budoucnu budu moci investovat do dalších zakladatelů zakládajících společností, zejména do technických zřizovatelů, jako jsem já, a udělat více pro podporu žen a menšin v infosecu.
Hodně jsem se naučil z uvádění do provozu, ale jsem také jedním z těch vzácných plemen, které si opravdu chtějí udělat bezpečnostní výzkum. Po spuštění si představuji, že na chvíli dělám bezpečnostní výzkum na plný úvazek. Zcela se to netýká techniky, ale pokud mě sledujete na sociálních médiích, možná jste si všimli, že soutěžit v jezdeckých událostech, takže letos můj kůň Tempo a já doufáme, že vyhrajeme finále asociace Virginie Horse Show Association. Dlouhodobě bych rád věnoval více času a zdrojů na sladění záchranářských koní se zasloužilými majiteli a záchranou mořských želv.
„ Zabezpečení nemůžete opravit pouze preventivními produkty. Testování je nezbytnou a často přehlíženou součástí zabezpečení. Jak se do vaší organizace dostane skutečný útočník? Budou schopni obejít vaše preventivní řešení? (Nápověda: ano.) “- Gruzie Weidman
