בעולם של ימינו, בו עסקים גדולים וקטנים מושפעים במידה רבה מהתקפות סייבר והפרות נתונים, ההוצאות על אבטחת סייבר הרקיעו שחקים. חברות מוציאות מיליוני דולרים כדי להגן על הגנות הסייבר שלהן. וכשמדברים על אבטחת סייבר ואבטחת מידע, ג'ורג'יה ויידמן היא אחד השמות הבולטים הבודדים בענף שעולה בראש.
ג'ורג'יה ויידמן הוא האקר אתי, בודק חדירה, מנכ"ל חברת Shevirah Inc / Bulb Security LLC, ומחבר הספר "בדיקת חדירה: מבוא מעשי לפריצה."
להלן ראיון בלעדי של ג'ורג'יה ויידמן עם הצוות שלנו ב- Ivacy ושאלנו כמה שאלות הקשורות לה ולסייבר אבטחה בכלל:
Q1 - היי ג'ורג'יה, אנו שמחים על כך שהתרשמנו לגמרי מהידיעה כמה השגת בפרק זמן קצר. מה מביא אותך לתעשיית האינפוסקים הזו? איך התחלת את המסע שלך בהאקר אתי?
הלכתי למכללה מוקדם, בגיל 14 במקום 18 הרגילה. למדתי תואר במתמטיקה כי לא רציתי להיות מדען מחשבים. אמי הייתה אחת ואיזה נער מתבגר רוצה להיות כמו ההורים שלהם?
אבל אז לא ממש מצאתי עבודה בגיל 18 עם רק תואר ראשון ושום ניסיון בעבודה, התבקשתי לעשות תואר שני במדעי המחשב, והם התכוונו לתת לי כסף! זה היה טוב יותר מאשר צורך לגור עם ההורים שלי.
אז נכנסתי לתכנית המאסטרס ולאוניברסיטה היה מועדון הגנה ברשת. קפטן מועדון ההגנה הסייבר נראה ממש מעניין ורציתי ללמוד עליו יותר. אז כשאני יודע דבר על אבטחת הסייבר, הצטרפתי למועדון ההגנה ברשת, והתמודדנו בתחרות ההגנה הסייברית באמצע אטלנטיקה. ובכן, למדתי כי אבטחת סייבר מעניינת יותר מהבחור, אבל מצאתי גם את מה שאני רוצה לעשות עם חיי.
שאלה 2 - מה הייתה ההשראה והמוטיבציה שלך מאחורי כתיבת ספרך "בדיקת חדירה"?
רציתי לכתוב את הספר שביקשתי שיהיה לי כשהתחלתי לצאת לאינפוזיציה. כשרק התחלתי וניסיתי ללמוד כל כך הרבה ממה שהיה זמין בדרך של הדרכות וצברתי כל כך הרבה ידע קודם שהייתי עושה את המקבילה הטכנית לחפש את כל המילים במילון. ואז המילים האלה במילון הילדים כדי אפילו לקבל מושג איך הדברים עבדו הרבה פחות למה הם עבדו.
כשאני מבקש עזרה קיבלתי הרבה "צא מ- n00b" או "נסה יותר!" ולא הסברים. רציתי להקל על מי שבא אחרי ומלא את הפער הזה בספרי.
Q3- כמה שמעניין השם, ספר לנו על אבטחת הנורה של החברה שלך וכיצד הכל התחיל?
יש לי למעשה שתי חברות שבירה בע"מ ו- Bulb Security LLC. התחלתי את הנורה כשקיבלתי מענק DARPA Cyber Fast Track לבניית מסגרת הסמארטפון החכם ואז לאחר מכן ננזפתי בכך שיש לי את החוצפה לבקש את המענק באופן עצמאי.
בנוסף לפרויקטים המחקריים, בניתי עסק ייעוץ של בדיקות חדירה, הדרכה, הנדסת רוורס, ואפילו ניתוח פטנטים בנקודה זו. בשעות הפנאי הרבות שלי, אני גם פרופסור באוניברסיטת מרילנד באוניברסיטת מרילנד ואוניברסיטת טוליין.
התחלתי את שבירה כשהצטרפתי למאיץ ההפעלה של Mach37 כדי לייצר את עבודתי במובייל ובבדיקת חדירה לאינטרנט של דברים, סימולציה של פישינג ואימות בקרה מונעת, כדי להרחיב את טווח ההגעה שלי מסייע לחוקרים אחרים לעזור לארגונים לקבל הבנה טובה יותר של הנייד שלהם תנוחת אבטחה של IoT וכיצד לשפר אותה.
Q4- ובכן, ספר לנו על התקופה המרגשת ביותר שבה באמת הרגשת גאה בתפקידך כבוחן חדירה.
בכל פעם שאני נכנסת, במיוחד בדרך חדשה, יש אותה העומס כמו בפעם הראשונה. מה שגורם לי גם להיות גאה בכך שיש לקוחות חוזרים שלא רק תיקנו את כל מה שמצאנו בפעם הראשונה, אלא גם המשיכו להעלות את תנוחת האבטחה שלהם ככל שנקראו נקודות תורפה והתקפות בתקופה שבין הבדיקות.
לראות לקוח לא רק מתקן את מה שהתחלתי להכנס אליו, אלא גם בונה תנוחת אבטחה בוגרת יותר עבור הארגון בכללותו, פירושו שהפעלתי הרבה יותר מאשר רק להראות להם שאני יכול להשיג מנהל דומיין עם הרעלת LLMNR או EternalBlue.
ש 5 - למי שרוצה להתחיל את המסע שלו בתחום בדיקת פריצות אתיות וחדירה, אילו הצעות או ייעוץ בקריירה הייתם רוצים לתת? זה יכול להיות כל הצעת קורס מקוונת, תעודות או תואר חינוכי לצורך העניין.
הייתי ממליץ על הספר שלי, בדיקת חדירה: מבוא דיבור על פריצה כמובן. הייתי מציע גם להסתבך בפגישות או בכנסים מקומיים של האקרים כמו פרק מקומי של DEF CON או BSides Security. זו דרך נהדרת לפגוש מנטורים וקשרים פוטנציאליים בענף. הייתי מציע גם לעשות פרויקט מחקר או שיעור.
זו התחרות שהכניסה אותי ל- # infosec מלכתחילה. ישנן תחרויות באזורים בכל רחבי הארץ וכן אזרחות עבור הזוכים האזוריים. מקום טוב להכניס דולרים היקפיים ושעות התנדבות. https://t.co/TcNLC7r8tV
- ג'ורג'יה ויידמן (@georgiaweidman) 28 בפברואר 2019
כל כך הרבה אנשים חושבים שמחקרי אבטחה הם קסם אפל הדורש מיומנויות ארקניות לגבי פעולתו הפנימית של מטען האתחול, אך ברוב המקרים זה לא המקרה. גם אם אתה רק מתחיל לדרך, לכולם יש מערך מיומנות שיעזור לאחרים בתחום שהם יכולים לחלוק. אולי אתה מעולה בעיצוב ב- Word או שיש לך ניסיון של שנים כמנהל מערכת לינוקס?
ש 6 - האם ברצונך להציע תוכנות אבטחה, תוספות, הרחבות וכו 'לקהל שלנו שחוששים מהפרטיות והביטחון המקוונים שלהם? האם ישנן שיטות חסינות תקלות להגנה מקסימאלית ברשת?
בהתחשב בכך שחלק מהעסק שלי מאמת את האפקטיביות של פתרונות מניעה, אני בטוח שתבינו שעלי להישאר אגנוסטיקן ספקים בראיונות. חשוב לציין כי אין דבר כזה אבטחה חסינת טויות. למעשה, אני מאמין מאוד שאסטרטגיית השיווק של ספקי האבטחה המונעת של "אם תתקין את התוכנה שלנו (או תשים את התיבה שלנו ברשת שלך), לא תצטרך לדאוג יותר לאבטחה", היא הגורם העיקרי לרבים מ הפרות הפרופיל הגבוהות שאנו רואים היום.
מפיצים, שנודעו על ידי ספקים מומחים כביכול אלה, זורקים הרבה כסף על בעיית האבטחה אך מתעלמים מדברים כמו טלאי ומודעות מתחזות מכיוון שהספקים שלהם אמרו כי הכל מכוסה. וכפי שאנו רואים פעם אחר פעם, שום פתרון מניעה לא יעצור את הכל.
ש 7 - מבחינת האקר, עד כמה קשה לפרוץ מישהו אם יש להם VPN שרץ במכשיר החכם שלהם? כמה יעילים VPNs? האם אתה משתמש באף אחד?
כמו רוב ההתקפות בימינו, רוב ההתקפות הסלולריות כוללות הנדסה חברתית כלשהי, לרוב כחלק משרשרת ניצול גדולה יותר. בדומה למוצרי המניעה, VPN יכול בהחלט להועיל כנגד התקפות מסוימות ובוודאי מפני ציתות, אך כל עוד משתמשי מובייל מורידים אפליקציות זדוניות, פרופילי ניהול וכו 'ופותחים קישורים זדוניים במכשירים החכמים שלהם, VPN יכול רק ללכת רחוק כל כך.
הייתי ממליץ למשתמשים להשתמש ב- VPN, במיוחד ברשתות ציבוריות, כמו גם במוצרי אבטחה אחרים. אני רק רוצה שמשתמשים ימשיכו להיות ערניים ביחס לתנוחת האבטחה שלהם ולא להסתמך אך ורק על מוצרים אלה כדי להגן עליהם.
Q8 - עם הפריחה האקספוננציאלית של מכשירים חכמים והתפתחות מדהימה בתחום ה- IOT, מה לדעתכם הם איומי האבטחה והפגיעויות האפשריות שסביר להניח לתייג?
אני רואה את האיומים נגד מכשירים ניידים ו- IoT זהים למכשירים מסורתיים עם יותר נקודות כניסה ויציאה. במחשב Windows קיים האיום של התקפות של ביצוע קוד מרחוק בהן המשתמש אינו צריך לעשות דבר כדי שההתקפה תצליח, התקפות מצד הלקוח בהן המשתמש צריך לפתוח קובץ זדוני בין אם זה דף אינטרנט, PDF, קובץ PDF ניתן לבצע, וכו '. יש גם התקפות הנדסיות חברתיות והסלמה של הרשאות מקומיות.
תיקונים חסרים, קל לנחש סיסמאות, תוכנת צד ג 'אינה בטוחה, הרשימה עוד ארוכה. במובייל ו- IoT אנו מתמודדים עם אותן בעיות למעט במקום רק את החיבור החוטי או האלחוטי, יש לנו כעת את המודם הנייד, זיגבי, בלוטות ', תקשורת ליד שדה, רק כדי לכנות כמה וקטורי התקפה פוטנציאליים כמו גם אמצעים שיעקפו כל פריסת מניעת אובדן נתונים. אם נתונים חסויים מועברים ממסד הנתונים על ידי מכשיר נייד שנפגע ואז נשלחים לרשת הסלולרית באמצעות SMS, כל הטכנולוגיה המונעת בעולם בגודל הרשת לא תתפוס את זה. באופן דומה, יש לנו דרכים רבות מתמיד למשתמשים להנדס חברתית.
במקום לשלוח דוא"ל ושיחת טלפון עכשיו יש לנו SMS, מדיה חברתית כמו Whatsapp וטוויטר, קודי QR, רשימת הדרכים הרבות שהמשתמש יכול להיות ממוקד לפתוח או להוריד משהו זדוני ממשיך ונמשך.
ש 9 - האם יש ועידות אבטחה אליהן אתה מצפה? אם כן, אז מה הם?
אני גם אוהב לראות מקומות חדשים ולהכיר אנשים חדשים. אז אני תמיד מוכן לנסוע לארצות זרות לערוך ועידות. השנה הוזמנתי להקליד מפתח RastacCon! בג'מייקה. בשנה שעברה נהניתי לבקר בסלבדור שבברזיל, ובחרתי בתור אחד מכינוסי Roadsec. השנה גם אני מציבה בקשה למימון Carbon Black Connect, שהוא מקום טוב עבורי, כשאני פועל להיות מוכר בעולם העסקים כמו שאני נמצא בעולם האינפוס. למרות היותו בלס וגאס הלוהטת והצפופה, קייטנת קיץ infosec (בלאקהאט, דפקון, BSidesLV, ועוד מגוון אירועים אחרים בו זמנית) היא דרך נהדרת להדביק הרבה אנשים מהתעשייה ולראות מה הם קמו ל.
Q10- מהן התוכניות העתידיות שלך? האם תכתוב ספר אחר? הקים חברה אחרת? מדרג את הקיים? מה ג'ורג'יה ווידמן מבקשת להשיג עוד בחייה?
כרגע אני מסיים את המהדורה השנייה של בדיקת חדירה: מבוא מעשי לפרוץ לפריצה. אני בהחלט רוצה בעתיד לכתוב ספרים טכניים ידידותיים למתחילים. למרות שעד כה עשיתי רק כמה השקעות של מלאכים, אני מקווה שאוכל להשקיע בעתיד ומנחה מקימי הזנק אחרים, במיוחד מייסדים טכניים כמוני, ולעשות יותר כדי לתמוך בנשים ובמיעוטים באינסטגרם.
למדתי המון מביצוע סטארט-אפ, אבל אני גם אחד מאותם זן נדיר שבאמת רק רוצה לעשות מחקר ביטחוני. לאחר ההפעלה אני מדמיין את עצמי סתם עושה מחקר אבטחה במשרה מלאה למשך זמן מה. לגמרי לא קשור לטכנולוגיה, אבל אם אתה עוקב אחריי במדיה החברתית, אולי היית שם לב שאני מתחרה באירועי סוסים, אז השנה הסוס שלי טמפו ואני מקווה לזכות בגמר אגודת מופעי הסוסים של וירג'יניה. לטווח ארוך יותר, אני רוצה להקדיש יותר זמן ומשאבים להתאמת סוסי הצלה עם בעלים ראויים ולהצלת צבי ים.
" אינך יכול לתקן אבטחה עם מוצרים מונעים בלבד. בדיקה היא חלק הכרחי ולעיתים קרובות מתעלמים מהביטחון. איך תוקף אמיתי יפרוץ לארגון שלך? האם הם יוכלו לעקוף את הפתרון המונע שלך? (רמז: כן.) "- ג'ורג'יה ויידמן
