En el món actual, on les grans i petites empreses es veuen afectades en gran mesura per atacs cibernètics i incompliments de dades, la despesa en ciberseguretat s’ha disparat. Les empreses gasten milions de dòlars per salvaguardar les seves defenses cibernètiques. I quan parlem de seguretat cibernètica i seguretat de la informació, Geòrgia Weidman és un dels pocs noms destacats de la indústria que ens ve al cap.
Geòrgia Weidman és una pirata pirata de prova ètica, directora general de Shevirah Inc / Bulb Security LLC i autora del llibre "Penetration Testing: A hands-on Introduction to Hacking".
Aquí teniu una entrevista exclusiva de Georgia Weidman amb el nostre equip d’Ivacy on vam fer algunes preguntes relacionades amb ella i amb la seguretat cibernètica en general:
P1: Hola Geòrgia, estem molt contents de poder comptar amb vosaltres i ens ha quedat totalment impressionat en saber quant heu aconseguit en un curt període de temps. Què us porta a aquesta indosec indústria? Com vas començar el teu viatge com a pirata informàtic?
Vaig anar a la universitat ben aviat, als 14 anys en lloc dels 18 habituals. Vaig obtenir una carrera de matemàtiques perquè no volia ser informàtic. La meva mare era una i quina adolescent vol ser com els seus pares?
Però aleshores no podia trobar una feina als 18 anys amb només una llicenciatura i sense experiència laboral, se’m va demanar fer un màster en informàtica i em van donar diners! Allò era millor que haver de viure amb els meus pares.
Així que vaig entrar al programa de màsters i la universitat tenia un club de defensa cibernètica. El capità del club de defensa cibernètica semblava realment interessant i volia aprendre més sobre ell. Així que, sense saber res sobre ciberseguretat, em vaig incorporar al club de defensa cibernètica i vam competir a la competició de defensa cibernètica mig atlàntica. Bé, vaig saber que la ciberseguretat era més interessant que el noi, però també vaig trobar el que volia fer amb la meva vida.
P2- Quina va ser la vostra inspiració i motivació per escriure el teu llibre "Prova de penetració"?
Volia escriure el llibre que desitjava tenir quan començava a infosec. Quan vaig començar per primera vegada i estava intentant aprendre molt del que estava disponible en forma de tutorials i vaig obtenir tants coneixements previs que estava fent l’equivalent tècnic de buscar totes les paraules del diccionari. Aleshores, aquestes paraules del diccionari infantil tenen, fins i tot, una idea de com funcionaven les coses molt menys per què funcionaven.
Quan vaig demanar ajuda, vaig rebre molt de "Baixeu-vos del n00b" o "Proveu més difícil!", Més que explicacions. Volia facilitar-ho als qui vingueren al meu darrere i omplir aquest buit amb el meu llibre.
P3- Per interessant que sigui el seu nom, expliqueu-nos sobre la vostra empresa Bulb Security i com va començar tot?
En realitat tinc dues empreses Shevirah Inc. i Bulb Security LLC. Vaig començar a Bulb quan vaig rebre una subvenció de DARPA Cyber Fast Track per crear Smartphone Pentest Framework i, posteriorment, es va tornar a reclamar per tenir l’audàcia de sol·licitar la subvenció de manera independent.
A més dels projectes de recerca, també vaig construir un negoci de consultoria de proves de penetració, formació, enginyeria inversa, fins i tot anàlisi de patents en aquest moment. En el meu cop lliure de temps, també sóc professor a la University of Maryland University College i a la Tulane University.
Vaig començar a crear Shevirah quan em vaig incorporar a l’accelerador d’inici de Mach37 per produir el meu treball en proves mòbils i la penetració d’Internet de les coses, la simulació de phishing i la validació del control preventiu per ampliar el meu abast d’ajudar altres investigadors a ajudar a les empreses a entendre millor el seu mòbil i Postura de seguretat IoT i com millorar-la.
P4- Bé, expliqueu-nos el moment més emocionant quan realment us sentiu orgullós del vostre treball com a provador de penetració.
Cada vegada que entro, sobretot d’una manera nova, té la mateixa pressa que la primera vegada. El que també em fa sentir orgullós és tenir clients repetits que no només van arreglar tot el que vam trobar per primera vegada, sinó que també han continuat augmentant la seva postura de seguretat a mesura que es van conèixer noves vulnerabilitats i atacs en el temps entre les proves.
El fet de veure a un client no només parcheu el que vaig fer servir, sinó que també creeu una postura de seguretat més madura per a l’empresa en general, significa que he aconseguit molt més impacte que només mostrar-los que puc obtenir administrador de dominis amb Intoxicació amb LLMNR o EternalBlue.
Q5- Per a aquells que vulguin iniciar el seu viatge en el camp de la prova ètnica de pirateria i penetració, quins suggeriments o consells professionals voldríeu oferir? Es pot tractar de suggeriments, certificats o titulacions de cursos en línia.
Recomanaria, per descomptat, el meu llibre, Penetration Testing: A hands-On Introduction to Hacking. També suggereixo participar en reunions o conferències locals de pirates informàtics, com ara un capítol local DEF CON group o Security BSides. Aquesta és una manera fantàstica de conèixer possibles mentors i connexions a la indústria. També suggereixo fer un projecte de recerca o classe.
Aquesta és la competència que em va posar a #infosec en primer lloc. Hi ha competicions a regions de tot el país i nacionals per als guanyadors regionals. Un bon lloc per posar els vostres dòlars de divulgació i hores de voluntariat. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28 de febrer de 2019
Tanta gent pensa que la investigació sobre seguretat és màgia fosca que requereix habilitats detallades sobre el funcionament intern del carregador d'arrencada, però, en la majoria dels casos, no és així. Encara que tot just comenceu, tothom té un conjunt d’habilitats que seria útil per a altres en el camp que poden compartir. Potser sou excel·lent en el format de Word o té anys d’experiència com a administrador del sistema Linux?
P6- Voleu suggerir algun programa de seguretat, complements, extensions, etc. al nostre públic preocupat per la seva privadesa i seguretat en línia? Hi ha mètodes aïllats contra la protecció en línia?
Atès que una part del meu negoci valida l'efectivitat de les solucions preventives, estic segur que entendreu que he de seguir sent venedor agnòstic en entrevistes. És important tenir en compte que no hi ha cap cosa que sigui la seguretat a prova d’engany. De fet, crec fermament que l'estratègia de màrqueting dels venedors de seguretat preventiva de: "Si instal·leu el nostre programari (o poseu la nostra caixa a la vostra xarxa), no haureu de preocupar-vos de seguretat", és la causa principal de moltes els incompliments d’alt perfil que veiem avui.
Les empreses, que han estat informades per aquests anomenats venedors experts, tiren molts diners al problema de seguretat, però passen per alt coses com la presa de consciència i la consciència del phishing, ja que els seus venedors van dir que ho tenien tot cobert. I, com veiem una i altra vegada, cap solució preventiva ho aturarà tot.
P7: Des del punt de vista d'un hacker, com és de difícil fer piratejar algú si tenen una VPN funcionant al seu dispositiu intel·ligent? Quina eficàcia tenen les VPN? En feu servir alguna?
Com la majoria d’atacs actuals, la majoria d’atacs mòbils comporten algun tipus d’enginyeria social, sovint com a part d’una cadena d’explotació més gran. Igual que en els productes preventius, una VPN certament pot ser útil contra alguns atacs i, certament, contra el despreniment, però, sempre que els usuaris mòbils descarreguen aplicacions malicioses, perfils de gestió, etc. i obrin enllaços maliciosos als seus dispositius intel·ligents, una VPN només pot anar tan lluny.
Voldria, naturalment, que els usuaris utilitzessin VPN, especialment en xarxes públiques, així com altres productes de seguretat. Voldria que els usuaris continuessin vigilants de la seva postura de seguretat en lloc de confiar únicament en aquests productes per protegir-los.
P8- Amb l’auge exponencial dels dispositius intel·ligents i el desenvolupament increïble en el camp de la IOT, quins creus que són les possibles amenaces de seguretat i vulnerabilitats?
Veig les amenaces contra el mòbil i IoT igual que els dispositius tradicionals amb més punts d’entrada i sortida. En un ordinador Windows, hi ha l’amenaça d’atacs d’execució de codi remota on l’usuari no necessita res perquè l’atac tingui èxit, els atacs del client on l’usuari necessita obrir un fitxer malintencionat ja sigui una pàgina web, un PDF, un executables, etc. També hi ha atacs d’enginyeria social i escalada de privilegis locals.
Falta els pedaços, les contrasenyes són fàcils d’endevinar, el programari de tercers no és segur, la llista continua. En dispositius mòbils i IoT ens plantegem amb els mateixos problemes, excepte en comptes de la connexió per cable o sense fils que ara tenim el mòdem mòbil, Zigbee, Bluetooth, Near Field Communication, només per citar alguns vectors d’atac potencials i vies per evitar qualsevol. prevenció de pèrdues de dades desplegades Si les dades confidencials s’ofereixen de la base de dades per part d’un dispositiu mòbil compromès i després s’envien a la xarxa cel·lular mitjançant SMS, tota la tecnologia preventiva del món al perímetre de la xarxa no l’atraparà. Així mateix, tenim més maneres que mai de que els usuaris puguin ser dissenyats socialment.
En lloc només de correu electrònic i una trucada telefònica, ara tenim SMS, xarxes socials com Whatsapp i Twitter, codis QR, la llista de diverses formes en què un usuari pot orientar-se per obrir o descarregar alguna cosa maliciosa continua.
P9- Hi ha alguna conferència de seguretat que desitgeu? Si és Sí, llavors què són?
També m’agrada veure llocs nous i conèixer gent nova. Així, sempre estic a punt per viatjar a terres estrangeres per fer conferències. Aquest any he estat convidat a la nota principal de RastacCon. a Jamaica. L’any passat vaig passar una estona meravellosa visitant Salvador, Brasil, fent una presentació d’una de les conferències Roadsec. A més, aquest any estic a l’altura de Carbon Black Connect, que és un lloc ideal per a mi, ja que estic treballant per fer-me tan conegut en el món empresarial com en el món infosec. Tot i trobar-se a Las Vegas molt calorós i concorregut, el camp d’estiu infosec (Blackhat, Defcon, BSidesLV, a més d’altres diferents esdeveniments alhora) és una manera fantàstica de posar-se al dia amb molta gent de la indústria i veure què han estat. a.
P10- Quins són els vostres plans de futur? Estareu escrivint un altre llibre? Fundar una altra empresa? Escalar l'existent? Què busca Geòrgia Weidman per aconseguir més lluny en la seva vida?
Actualment estic acabant la 2a edició de la prova de la penetració: una introducció pràctica sobre la pirateria. Sens dubte voldria escriure llibres tècnics addicionals per als principiants en el futur. Tot i que fins ara només he fet un parell d’inversions d’àngel, espero poder invertir i assessorar altres fundadors d’inici en el futur, sobretot fundadors tècnics com jo, i fer més coses per donar suport a dones i minories en infosec.
He après moltes coses fent una startup, però també sóc una de les rares que realment només vol fer recerca en seguretat. Després de l’inici, m’imagino que faig temps completament en recerca de seguretat. Completament no relacionat amb la tecnologia, però si em seguiu a les xarxes socials, és possible que hagueu notat que competeixo en esdeveniments eqüestres, així que aquest any el meu cavall Tempo i espero guanyar les finals de l'associació Virginia Horse Show Association. A llarg termini, voldria dedicar més temps i recursos a combinar cavalls de rescat amb propietaris que es mereixen i estalviar tortugues marines.
" No podeu solucionar la seguretat només amb productes preventius. La prova és una part necessària i sovint ignorada de la seguretat. Com s'atansarà un atacant real a la vostra organització? Seran capaços d’evitar la vostra solució preventiva? (Suggeriment: sí.) ”- Georgia Weidman
