A mai világban, ahol a nagy- és a kisvállalkozásokat nagyrészt kibernetikus támadások és adatsértések sújtják, a kiberbiztonsági kiadások élesen növekedtek. A vállalkozások millió dollárt költenek számítógépes védekezésük védelmére. És amikor a kiberbiztonságról és az információbiztonságról beszélünk, Georgia Weidman az ipar azon kevés kiemelkedő nevének egyike, amelyre gondolkodik.
Georgia Weidman etikai hackerek, behatolás-tesztelő, a Shevirah Inc. / Bulb Security LLC vezérigazgatója és a „Behatolás tesztelése: gyakorlati bevezetés a hackelésbe” című könyv szerzője.
Itt egy Georgia Weidman exkluzív interjúja az Ivacy csapatunkkal, ahol feltettünk néhány kérdést, amelyek vele és általában a kiberbiztonsággal kapcsolatosak:
1. negyedév - Szia Georgia, nagyon örülünk, hogy megismerkedhetünk Önnel, és teljesen lenyűgözött, hogy tudta, mennyit ért el rövid idő alatt. Mi hozza Önt ebbe az infosec iparba? Hogyan kezdte meg utazását Etikus Hackerként?
Korán jártam egyetemen, a szokásos 18 helyett 14-kor. És matematikai diplomát szereztem, mert nem akartam számítógépes tudós lenni. Az anyám egy volt, és milyen tinédzser akar lenni olyan, mint a szüleik?
De akkor 18 éves koromban nem tudtam igazán munkát találni, csak alapképzettséggel és nincs tapasztalata, felkértek számítástechnikai mesterképzésre, és pénzt fognak adni nekem! Ez jobb volt, mint ha a szüleimnél kellett volna élnem.
Így beléptem a Masters programba, és az egyetemnek kibervédelmi klubja volt. A kibervédelmi klub kapitánya nagyon érdekesnek tűnt, és többet akartam tudni róla. Tehát, semmit sem tudva a kiberbiztonságról, csatlakoztam a kibervédelmi klubhoz, és a Közép-atlanti Kibervédelmi Versenyen vettünk részt. Nos, megtanultam, hogy a kiberbiztonság érdekesebb, mint a srác, de azt is megtaláltam, amit szeretnék tenni az életemmel.
2. kérdés - Mi inspirálta és motiválta a „Penetration Testing” könyv elkészítését?
Meg akartam írni azt a könyvet, amelyet szerettem volna, amikor infózisban kezdtem. Amikor először elkezdtem és annyit próbáltam megtanulni, ami az oktatóprogramok útján elérhető volt, és annyi előzetes tudást gyűjtöttem, hogy műszaki megfelelőséget csináltam, hogy a szótár összes szavát megkeressem. Aztán ezek a szavak a gyermek szótárban, hogy még képet kapjanak arról is, hogy a dolgok miért kevésbé működtek, miért működtek.
Amikor segítséget kért, sok magyarázatot kaptam a „Szállj le az n00b-ről” vagy a „Próbálja ki jobban!” -Ért. Meg akartam könnyebbé tenni azokat, akik utánam jöttek, és kitölteni ezt a rést a könyvemmel.
3. kérdés - Bármilyen érdekes is a név, meséljen nekünk a cégéről, a Bulb Security-ről és hogyan kezdődött?
Két társaságom van a Shevirah Inc.-nél és a Bulb Security LLC-nél. A Bulb elkezdtem, amikor DARPA Cyber Fast Track támogatást kaptam a Smartphone Pentest keretrendszer felépítéséhez, és utána megismétteltem, hogy bátorságot jelent a támogatás független kérelmezésére.
A kutatási projektek mellett ezen a ponton felépítettem egy penetrációs tesztelés, képzés, fordított tervezés, sőt szabadalmi elemzés tanácsadói vállalkozását is. Bőséges szabadidejében professzorként dolgozom a Marylandi Egyetemi Egyetemen és a Tulane Egyetemen is.
A Shevirah-t akkor kezdtem el, amikor csatlakoztam a Mach37 indítógyorsítóhoz, hogy előállítsam munkámat a mobil és a tárgyak internetének penetrációs tesztelésével, az adathalász szimulációval és a megelőző ellenőrzési validálással, hogy kibővítsem hozzáférhetőségemet más kutatók segítésétől a vállalkozások mobilitásuk és jobb megértéséig. IoT biztonsági testtartás és hogyan lehetne javítani.
4. kérdés - Nos, mesélj nekünk az egyetlen legizgalmasabb időről, amikor igazán büszke voltál a Penetration Tester munkájára.
Minden alkalommal, amikor belépök, különösen új módon, ugyanolyan rohanásom van, mint az első alkalommal. Az is büszke arra, hogy ismétlődő ügyfelekkel nemcsak mindent rögzítettünk, amit először találtunk, hanem a biztonsági pozíciójukat is emeljük, mivel a tesztek közötti időben új sebezhetőségek és támadások váltak ismertté.
Ha azt látjuk, hogy az ügyfelek nemcsak javítják, amire bejuttam, hanem érett biztonsági pozíciót építenek a vállalkozás egészére nézve, azt jelenti, hogy sokkal több hatást gyakoroltam, mint pusztán megmutatom nekik, hogy domain-adminisztrátort tudok szerezni LLMNR mérgezés vagy EternalBlue.
5. kérdés - Azok számára, akik el akarják kezdeni az utazást az etikus hackelés és behatolás tesztelése területén, milyen javaslatokat vagy karrier-tanácsokat szeretnél adni? Ez lehet bármilyen online tanfolyam-javaslat, igazolás vagy oktatási fok.
Ajánlom természetesen a Penetration Testing: Penetration Testing című könyvet. Azt is javaslom, hogy vegyenek részt a helyi hacker-találkozókban vagy konferenciákban, például a helyi DEF CON csoport fejezetben vagy a Biztonsági oldalakban. Ez nagyszerű módja annak, hogy megismerjük az iparág potenciális mentorjait és kapcsolatát. Azt is javaslom, hogy végezzen kutatási projektet vagy osztályt.
Ez az a verseny, amely elsősorban a #infosec-be engem hozott. Vannak versenyek az ország régióiban, valamint a regionális nyertesek állampolgárai is vannak. Jó hely a bejutási dollár és az önkéntes órák elhelyezésére. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman), 2019. február 28
Olyan sokan gondolják, hogy a biztonsági kutatás sötét mágia, amely megköveteli a szokásos készségeket a betöltő belső működésében, de a legtöbb esetben nem ez a helyzet. Még akkor is, ha éppen indul, mindenki rendelkezik olyan készségekkel, amelyek hasznosak lehetnek mások számára azon a területen, amelyet megoszthatnak. Talán Ön nagyszerűen formázza a Word-et, vagy több éves tapasztalattal rendelkezik Linux rendszergazdaként?
6. kérdés - Szeretne néhány biztonsági szoftvert, kiegészítőket, bővítményeket stb. Javasolni azon közönségünk számára, akik az online adatvédelem és biztonság miatt aggódnak? Van-e bolondbiztos módszerek a maximális online védelem érdekében?
Tekintettel arra, hogy vállalkozásom egy része a megelőző megoldások hatékonyságát hitelesíti, biztos vagyok benne, hogy megérti, hogy az interjúk során szállítóm agnosztikusnak kell maradnom. Fontos megjegyezni, hogy nincs bolondbiztonság. Valójában határozottan meggyőződésem, hogy a megelőző biztonsági szolgáltatók marketingstratégiája, mely szerint „Ha telepíti szoftverünket (vagy a hálózatba helyezi a dobozt, akkor nem kell többé aggódnia a biztonság miatt”), számos a ma elkövetett magas szintű jogsértések.
A vállalkozások, amelyekről ezeket az úgynevezett szakértői szolgáltatókat tájékoztatták, sok pénzt dobnak a biztonsági problémára, de figyelmen kívül hagyják az olyan dolgokat, mint a javítás és az adathalász tudatosság, mert szállítóik szerint mindenki fedezi őket. És amint újra és újra látjuk, egyetlen megelőző megoldás sem állít meg mindent.
7. kérdés - Hacker szempontjából milyen nehéz lesz megtámadni valakit, ha VPN-je fut az okos eszközén? Mennyire hatékonyak a VPN-ek? Használ?
Mint a legtöbb támadás manapság, a legtöbb mobil támadás valamilyen társadalmi mérnököt is magában foglal, gyakran egy nagyobb kizsákmányolási lánc részeként. Mint a megelőző termékeknél, a VPN minden bizonnyal hasznos lehet bizonyos támadások és minden bizonnyal a hallgatás ellen, ám mindaddig, amíg a mobil felhasználók letöltnek rosszindulatú alkalmazásokat, kezelési profilokat stb., És rosszindulatú linkeket nyitnak intelligens eszközeiken, a VPN csak menj ilyen messzire.
Arra ösztönözném a felhasználókat, hogy használják a VPN-ket, különösen a nyilvános hálózatokban, és természetesen más biztonsági termékeket is. Csak azt szeretném, ha a felhasználók továbbra is éberséget jelentenek biztonsági pozíciójuk iránt, ahelyett, hogy kizárólag ezekre a termékekre támaszkodnának.
8. kérdés - Szerintetek mi az a potenciális biztonsági fenyegetés és sebezhetőség, amelyet az intelligens eszközök exponenciális fellendülése és az IOT területén rejlő hihetetlen fejlesztések mutatnak?
A mobil és az internet tárgyakkal szembeni fenyegetéseket ugyanolyannak látom, mint a hagyományos eszközöket, több be- és kilépési ponttal. A Windows számítógépeken fennáll a távoli kódfuttatás támadásainak veszélye, ahol a felhasználónak nem kell semmit tennie a támadás sikere érdekében, kliensoldali támadások esetén, amikor a felhasználónak rosszindulatú fájlt kell megnyitnia, legyen az egy weboldal, PDF, vagy végrehajtható stb. Vannak társadalmi mérnöki támadások és a helyi kiváltságok eszkalációja is.
Hiányoznak a javítások, a jelszavak könnyen kitalálhatók, a harmadik féltől származó szoftverek nem biztonságosak, a lista folytatódik. A mobil és az internet tárgyában ugyanazokkal a problémákkal foglalkozunk, kivéve a vezetékes vagy vezeték nélküli kapcsolat helyett, most már a mobil modemet, a Zigbee-t, a Bluetooth-ot, a közeli terepi kommunikációt, csupán néhányat említhetünk potenciális támadási vektorokként, valamint az esetleges megkerülési lehetőségeket. telepített adatvesztés-megelőzés. Ha a bizalmas adatokat az adatbázisból egy kompromittált mobil eszköz szippantja, majd SMS-ben elküldi a mobilhálózatra, akkor a világ minden megelõzõ technológiája a hálózati kerületen nem fogja elkapni. Hasonlóképpen, mint valaha, többféle módunk van arra, hogy a felhasználókat társadalmilag megtervezhessük.
Az e-mailek és a telefonhívások helyett SMS, szociális média, például a Whatsapp és Twitter, QR-kódok vannak, és felsoroljuk azokat a számtalan módszert, amellyel egy felhasználót megcélozhatunk valami rosszindulatú megnyitásához vagy letöltéséhez.
9. kérdés - Van-e olyan biztonsági konferencia, amelyre vágyakozik? Ha igen, akkor mik ezek?
Szeretek új helyeket is látni és új emberekkel találkozni. Tehát mindig szívesen utazok idegen országokba konferenciákat tartani. Idén meghívtak a RastacCon kulcstartójára! Jamaikában. Tavaly csodálatos időt töltöttem a brazil salvadori látogatáson, a Roadsec egyik konferenciájának kezdeményezésével. Ebben az évben a Carbon Black Connect-t is kulcsszerepet járok, amely jó helyszín számomra, mivel azon dolgozom, hogy az üzleti világban ugyanolyan ismertté váljak, mint az infosec világában. Annak ellenére, hogy forró és zsúfolt Las Vegasban tartózkodik, az infosec nyári tábor (Blackhat, Defcon, BSidesLV, valamint válogatott egyéb rendezvények egyidejűleg) kiváló módja annak, hogy felbukkanjon sok iparági emberrel, és megnézze, miben álltak. nak nek.
10. kérdés - Mik a jövőbeli tervei? Új könyvet fogsz írni? Alapít egy másik társaságot? A létező méretezése? Mit akar elérni Georgia Weidman az életében?
Jelenleg befejezem a Penetration Testing 2. kiadását: A gyakorlati bevezetés a hackelésbe. A jövőben határozottan szeretnék további kezdőbarát műszaki könyveket írni. Bár eddig csak néhány angyal beruházást hajtottam végre, remélem, hogy a jövőben más startup alapítókba is befektethetek és mentorálhatom őket, különösképpen a technikai alapítókat, mint én, és többet tehetek a nők és kisebbségek támogatása érdekében.
Sokat megtanultam az indítás során, de én is egy ritka fajta vagyok, amely valóban csak biztonsági kutatást akar végezni. Indítás után elképzeltem, hogy egy ideig teljes munkaidőben biztonsági kutatásokat végezek. Teljesen nem a technel kapcsolatos, de ha követ engem a közösségi médiában, akkor észrevette, hogy versenyezek lovas rendezvényeken, tehát ebben az évben a Tempo lovammal és remélem, hogy megnyeri a Virginia Horse Show Association döntőjét. Hosszabb távon több időt és erőforrást szeretnék fordítani a mentőlovak és az érdeklődő tulajdonosok összehangolására és a tengeri teknősök megmentésére.
„ A biztonságot kizárólag megelőző termékekkel nem lehet megjavítani. A tesztelés a biztonság szükséges és gyakran figyelmen kívül hagyott része. Hogyan fog behatolni egy igazi támadó a szervezetébe? Képesek lesznek megkerülni a megelőző megoldást? (Tipp: igen.) ”- Georgia Weidman
