Šiandieniniame pasaulyje, kuriame dideles ir mažas įmones labiausiai paveikė kibernetinės atakos ir duomenų pažeidimai, išlaidos kibernetiniam saugumui padidėjo. Įmonės išleidžia milijonus dolerių savo kibernetinei gynybai apsaugoti. Ir kai mes kalbame apie kibernetinį saugumą ir informacijos saugumą, Georgia Weidman yra vienas iš nedaugelio garsių vardų pramonėje, kuris ateina į galvą.
Georgia Weidman yra etinis įsilaužėlis, įsiskverbimo bandytojas, „Shevirah Inc“ / „Bulb Security LLC“ generalinis direktorius ir knygos „Penetration Testing: A hands-on Introduction to Hacking“ autorius.
Čia yra išskirtinis Georgo Weidmano interviu su mūsų komanda „Ivacy“, kur mes uždavėme keletą klausimų, susijusių su ja ir apskritai kibernetiniu saugumu:
Q1 - Sveika, Džordžija, mes labai džiaugiamės turėdami jus ir buvome sužavėti žinodami, kiek daug pasiekėte per trumpą laiką. Kas jus pritraukė į šią infosec industriją? Kaip pradėjote savo kelionę kaip etinis piratas?
Anksčiau išėjau į kolegiją, būdamas 14, o ne įprastas 18 metų. Ir aš įgijau matematikos laipsnį, nes nenorėjau būti informatikas. Mano mama buvo viena, o koks paauglys nori būti panašus į jų tėvus?
Tada aš tikrai negalėjau rasti darbo būdamas 18 metų, turėdamas tik bakalauro laipsnį ir neturėdamas darbo patirties, manęs paprašė atlikti informatikos magistro laipsnį, ir jie ketino man duoti pinigų! Tai buvo geriau, nei gyventi su tėvais.
Taigi įstojau į magistrantūros programą, o universitetas turėjo kibernetinės gynybos klubą. Kibernetinės gynybos klubo kapitonas atrodė išties įdomiai ir norėjau daugiau apie jį sužinoti. Taigi nieko nežinodama apie kibernetinį saugumą, įstojau į kibernetinės gynybos klubą ir varžėmės Vidurio Atlanto kibernetinės gynybos varžybose. Na, aš sužinojau, kad kibernetinis saugumas buvo įdomesnis nei vaikinas, bet taip pat radau tai, ką norėjau padaryti su savo gyvenimu.
2 klausimas. Kokia buvo jūsų įkvėpimas ir motyvacija rašant knygą „Penetration Testing“?
Aš norėjau parašyti knygą, kurią norėjau turėti, kai pradėjau nuo inosekcijos. Kai aš pirmą kartą pradėjau ir bandžiau išmokti tiek, kiek buvo galima mokomajame vadove, ir sukaupiau tiek išankstinių žinių, kad ieškojau visų žodžių žodyne techninio atitikmens. Tada tie žodžiai vaikų žodyne, kad net būtų suprantama, kaip viskas veikė daug mažiau, kodėl jie dirbo.
Paprašydamas pagalbos, aš gavau daug paaiškinimų, o ne „paaiškinimų“, „Nukrypk nuo n00b“ arba „Išbandyk sunkiau!“. Norėjau, kad būtų lengviau tiems, kurie man seka, ir užpildyčiau tą spragą savo knyga.
3 klausimas. Kaip įdomu yra pavadinimas, papasakokite apie savo įmonę „Bulb Security“ ir kaip viskas prasidėjo?
Aš iš tikrųjų turiu dvi bendroves „Shevirah Inc.“ ir „Bulb Security LLC“. „Bulb“ aš pradėjau, kai gavau „DARPA Cyber Fast Track“ stipendiją, skirtą sukurti „Smartphone Pentest Framework“, ir vėliau man buvo pareikštas papeikimas, kad ji drąsiai gali kreiptis dėl dotacijos savarankiškai.
Be mokslinių tyrimų projektų, aš taip pat sukūriau skverbties testavimo, mokymo, atvirkštinės inžinerijos ir net patentų analizės konsultavimo verslą. Laisvalaikiu taip pat esu Merilendo universiteto kolegijos ir Tulane universiteto profesorius.
Aš pradėjau „Shevirah“, kai prisijungiau prie „Mach37“ paleidimo greitintuvo, kad galėčiau produktyvinti savo darbą mobiliųjų įrenginių ir daiktų interneto skverbties testavime, sukčiavimo apsimetant modeliavimu ir prevenciniu kontrolės tikrinimu siekiant išplėsti savo galimybes nuo pagalbos kitiems tyrinėtojams iki padėti įmonėms geriau suprasti savo mobilųjį ir IP saugumo laikysena ir kaip ją patobulinti.
Q4 - Na, papasakok mums apie patį įdomiausią laiką, kai tu tikrai didžiuojiesi savo darbu kaip Penetration Tester.
Kiekvieną kartą, kai įeinu, ypač nauju būdu, skubu taip pat, kaip pirmą kartą. Taip pat didžiuojuosi, kad turime pakartotinių klientų, kurie ne tik sutvarkė viską, ką radome pirmą kartą, bet ir toliau kėlė savo saugumo poziciją, nes per laiką tarp testų tapo žinoma apie naujus pažeidžiamumus ir išpuolius.
Jei norite pamatyti klientą ne tik pataisydami tai, ką buvau įpratęs, bet ir sukonstravęs labiau subrendusias saugos pozacijas visai įmonei, reiškia, kad padariau daug daugiau įtakos, nei tik rodau jiems, kad galiu gauti domeno administratorių naudodamas Apsinuodijimas LLMNR arba „EternalBlue“.
Q5 - Kokius pasiūlymus ar karjeros patarimus norėtumėte duoti tiems, kurie nori pradėti savo kelionę etinio įsilaužimo ir įsiskverbimo testavimo srityje? Tai gali būti bet kokie internetinių kursų pasiūlymai, pažymėjimai ar išsilavinimo laipsnis.
Aš, žinoma, rekomenduočiau savo knygą „Penetration Testing: A Hands-On Introduction to Hacking“. Taip pat siūlyčiau įsitraukti į vietinius įsilaužėlių susitikimus ar konferencijas, tokias kaip vietinis DEF CON grupės skyrius arba „Security BSides“. Tai puikus būdas susitikti su potencialiais mentoriais ir ryšiais pramonėje. Taip pat siūlyčiau atlikti tiriamąjį projektą ar klasę.
Tai yra tas konkursas, kuris mane pirmiausia sužavėjo #infosec. Visuose šalies regionuose rengiamos varžybos, taip pat rengiami regionų nugalėtojų piliečiai. Gera vieta įnešti įmokų dolerių ir savanorių valandos. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman), 2019 m. Vasario 28 d
Taigi daugelis žmonių mano, kad saugumo tyrimai yra tamsi magija, reikalaujanti tam tikrų įgūdžių, susijusių su vidiniu įkroviklio darbu, tačiau dažniausiai taip nėra. Net jei jūs tik pradedate veiklą, visi turi įgūdžių rinkinį, kuris būtų naudingas kitiems toje srityje, kuriais jie galėtų dalintis. Galbūt jūs puikiai formuojate „Word“ ar turite ilgametę „Linux“ sistemos administratoriaus patirtį?
6 klausimas. Ar norėtumėte mūsų auditorijai, kuriai rūpi jų internetinis privatumas ir saugumas, pasiūlyti keletą saugos programinės įrangos, priedų, plėtinių ir kt.? Ar yra kokių nors nepriekaištingų būdų, kaip maksimaliai apsaugoti internetą?
Atsižvelgiant į tai, kad dalis mano verslo įteisina prevencinių sprendimų veiksmingumą, aš tikiu, kad jūs suprasite, kad turiu išlikti pardavėjas agnostikas pokalbiuose. Svarbu pažymėti, kad nėra tokio dalyko, kaip nepriekaištingas saugumas. Tiesą sakant, aš tvirtai tikiu, kad prevencinė saugumo tiekėjų rinkodaros strategija „Jei įdiegsite mūsų programinę įrangą (arba įdėsite dėžę į savo tinklą), jums nebereikės jaudintis dėl saugumo“ yra pagrindinė daugelio svarbių pažeidimų, kuriuos matome šiandien.
Įmonės, kurias informavo šie vadinamieji ekspertų pardavėjai, meta daug pinigų saugumo problemai, tačiau pamiršta tokius dalykus kaip pataisymas ir sukčiavimas, nes jų pardavėjai teigė, kad jiems visa tai buvo padengta. Ir, kaip vėl ir vėl matome, joks prevencinis sprendimas visko nesustabdys.
7 klausimas. Kaip „Hacker“ požiūriu sunku nulaužti žmogų, jei jo išmaniajame įrenginyje veikia VPN? Kiek veiksmingi yra VPT? Ar jūs naudojate bet kurį?
Kaip ir dauguma šių dienų išpuolių, dauguma mobiliųjų atakų yra susiję su tam tikra socialine inžinerija, dažnai kaip didesnės išnaudojimo grandinės dalimi. Kaip ir prevencinių produktų atveju, VPN tikrai gali būti naudingas kovojant su kai kuriomis išpuoliais ir, be abejo, nuo slapto slapto pasiklausymo, tačiau tol, kol mobiliųjų įrenginių vartotojai atsiųs kenkėjiškas programas, valdymo profilius ir pan., O savo išmaniuosiuose įrenginiuose atidarys kenksmingas nuorodas, VPT gali tik eiti taip toli.
Aš raginčiau vartotojus naudoti VPT, ypač viešuosiuose tinkluose, ir, žinoma, kitus saugos produktus. Aš tik norėčiau, kad vartotojai ir toliau budriai stebėtų savo laikyseną saugumoje, užuot pasikliavę vien šiais produktais.
8 klausimas - Kaip, jūsų manymu, kyla potencialios grėsmės saugumui ir pažeidžiamumai, kurie greičiausiai bus pažymėti, atsižvelgiant į eksponentinį intelektualiųjų įrenginių bumą ir neįtikėtiną plėtrą IOT srityje?
Aš vertinu grėsmes mobiliesiems ir internetą kaip tas pačias tradicines priemones, kuriose yra daugiau įėjimo ir išėjimo taškų. „Windows“ kompiuteryje kyla nuotolinio kodo vykdymo atakų, kai vartotojui nereikia nieko daryti, kad ataka būtų sėkminga, kliento pusės atakų, kai vartotojui reikia atidaryti kenkėjišką failą, ar tai būtų interneto puslapis, PDF, taip pat yra socialinės inžinerijos atakų ir vietinių privilegijų eskalavimo.
Trūksta pataisų, slaptažodžius nesunku atspėti, trečiųjų šalių programinė įranga yra nesaugi, sąrašas tęsiasi. Mobiliojo ryšio ir internetinėje erdvėje mes sprendžiame tas pačias problemas, išskyrus tai, kad dabar turime mobiliojo ryšio modemą „Zigbee“, „Bluetooth“, „Near Field Communication“, o tik laidinį ar belaidį ryšį, kad tik paminėtume kelis kaip potencialius išpuolių vektorius ir galimybes apeiti bet kurią problemą. įdiegta duomenų praradimo prevencija. Jei konfidencialūs duomenys yra pašalinami iš duomenų bazės, naudojant pažeistą mobilųjį įrenginį, o tada siunčiami į korinį tinklą SMS žinutėmis, visos pasaulyje esančios prevencinės technologijos, esančios tinklo perimetro zonoje, jų nesugadins. Taip pat turime daugiau būdų nei bet kada anksčiau, kad vartotojai galėtų būti socialiai inžineriniai.
Vietoj paprasto el. Pašto ir telefono skambučio dabar turime SMS, socialines žiniasklaidos priemones, tokias kaip „Whatsapp“ ir „Twitter“, QR kodus, sąrašą daugybės būdų, kuriais vartotojas gali būti nukreiptas atidaryti ar atsisiųsti ką nors kenksmingo.
9 klausimas - ar yra kokių saugumo konferencijų, kurių laukiate? Jei taip, tai kas tai yra?
Taip pat man patinka pamatyti naujas vietas ir sutikti naujų žmonių. Taigi aš visada laukiu kelionės į užsienio šalis konferencijų. Šiais metais mane pakvietė į „RastacCon“ pagrindinę programą! Jamaikoje. Praėjusiais metais puikiai praleidau laiką lankydamasis Salvadore, Brazilijoje, rengdamas vieną iš „Roadsec“ konferencijų. Šiais metais aš taip pat renkuosi „Carbon Black Connect“, kuri yra gera vieta man, nes aš dirbu, kad būčiau žinomas verslo pasaulyje kaip ir „infosec“ pasaulyje. Nepaisant buvimo karštame ir perpildytame Las Vegase, „infosec“ vasaros stovykla („Blackhat“, „Defcon“, „BSidesLV“ ir kiti renginiai kartu su tuo pačiu metu) yra puikus būdas susivienyti su daugybe pramonės atstovų ir pamatyti, kokie jie buvo. į.
10 klausimas - kokie yra jūsų ateities planai? Ar rašysite dar vieną knygą? Steigiate kitą įmonę? Skalbti esamą? Ką Džordžas Weidmanas nori nuveikti toliau savo gyvenime?
Šiuo metu baigiu 2-ąjį įsiskverbimo bandymo leidimą: Praktinis įvadas į įsilaužimą. Tikrai norėčiau ateityje parašyti papildomų pradedantiesiems pritaikytų techninių knygų. Nors iki šiol buvau padaręs tik keletą angelų investicijų, tikiuosi ateityje galėsiu investuoti į kitus startuolių įkūrėjus ir juos globoti, ypač tokius techninius įkūrėjus kaip aš, ir padaryti daugiau, kad palaikyčiau moteris ir mažumas.
Aš daug ko išmokau darydamas paleistį, bet taip pat esu viena iš tų retų veislių, kuri iš tikrųjų nori tik atlikti saugumo tyrimus. Įsijungęs po darbo, įsivaizduoju, kad kurį laiką atlieku saugumo tyrimus visą darbo dieną. Visiškai nesusiję su technologijomis, tačiau jei jūs sekate mane socialinėje žiniasklaidoje, galbūt pastebėjote, kad varžosi jojimo varžybose, todėl šiais metais mano arklys „Tempo“ ir tikiuosi laimėti Virdžinijos žirgų parodų asociacijos finalą. Ilgesniam laikotarpiui norėčiau skirti daugiau laiko ir išteklių gelbėjimo žirgams suderinti su nusipelniusiais šeimininkais ir išsaugoti jūros vėžlius.
„ Negalite nustatyti saugumo vien tik prevenciniais produktais. Testavimas yra būtina ir dažnai nepastebima saugumo dalis. Kaip tikras užpuolikas įsilaužs į jūsų organizaciją? Ar jie galės apeiti jūsų prevencinį sprendimą? (Užuomina: taip.) “- Georgia Weidman
