Video: "White hat" hackers vs "black hat" hackers (Marraskuu 2024)
Voit kerätä lähteitä melkein mistä tahansa näistä päivistä, mukaan lukien turvallisuus.
Synackissa hän rakensi automaattisen uhkien havaitsemisjärjestelmän ja luonut satojen turvallisuustutkijoiden verkoston ympäri maailmaa siirtyäkseen läpäisytestille seuraavalle tasolle. Äskettäisessä San Franciscon keskustelussa puhuimme kyberturvallisuuden tilasta, valkoisten hattujen hakkereista ja hänen henkilökohtaisista toimenpiteistään turvallisuutensa turvaamiseksi verkossa. Lue tekstitys tai katso alla oleva video.
Kaikista nimikkeistäsi toimitusjohtaja ja yksi perustajista voivat olla erittäin vaikuttavia, mutta minua vakuuttava asia on työskentely puolustusministeriön punaisen joukkueen jäsenenä. Ymmärrän, että et ehkä pysty kertomaan meille kaikille
Minkä tahansa punaisen joukkueen jäsenenä osana mitä tahansa
Yhdistät sen työni kanssa NSA: lla, missä olin puolustuksen vuoksi hyökkäämisen sijaan
Minusta näyttää siltä, että olet valinnut saman lähestymistavan, tuonut sen yksityiselle sektorille, ja olet luultavasti käyttämässä hakkereita leggioumeja ja joukkoliikenteen tietoturvaa. Puhu meille vähän siitä, miten se toimii.
Käytäntömme on pikemminkin hakkereiden käyttämä lähestymistapa. Se, mitä teemme, on hyödyntää valkoisten hattujen turvallisuustutkijoiden maailmanlaajuista verkostoa yli 50 eri maassa ja maksamme heille tuloksellisesti paljastaaksesi yritysasiakkaidemme turvallisuusheikkouksia, ja teemme nyt paljon työtä hallituksen kanssa yhtä hyvin.
Koko tavoitteena on saada enemmän silmiä ongelmaan. Tarkoitan, että on yksi asia, jos yksi tai kaksi ihmistä tarkastelee järjestelmää, verkkoa, sovellusta ja yrittää poistaa kyseisen sovelluksen heikkouksista. Se on toinen sanoa ehkä 100, 200 ihmistä, kaikki
Kuka olisi tyypillinen asiakas? Olisiko se kuin Microsoft, joka sanoo "Olemme käynnistämässä uuden Azure-alustan, tule kokeilemaan ja pistämään reikiä järjestelmässämme?"
Se voi olla missä tahansa Microsoftin kaltaisesta suuresta teknologiayrityksestä suureen pankkiin, jossa he haluavat testata verkko- ja mobiilisovelluksiaan, pankkisovelluksiaan. Se voi olla myös liittohallitus; teemme yhteistyötä DoD: n ja Internal Revenue Service -palvelun kanssa lukitaksemme sinne, missä lähetät veronmaksajien tietoja, tai DoD: n näkökulmasta esimerkiksi palkkajärjestelmät ja muut järjestelmät, joissa on erittäin arkaluonteisia tietoja. On tärkeää, että nämä asiat eivät vaarannu, koska olemme kaikki aiemmin nähneet, että se voi olla erittäin, erittäin vahingollinen. He ottavat vihdoin edistyneemmän lähestymistavan ongelman ratkaisemiseen ja siirtyvät pois aiemmin nähtyistä hyödyllisemmistä ratkaisuista.
Kuinka löydät ihmisiä? Kuvittelen, että et vain postita sitä ilmoitustaululle ja sano "Hei, ohjaa energianne tätä kohti ja sitten jos löydät jotain, kerro meille ja me maksamme sinulle".
Aikaisin
Jos tarkastellaan joitain tilastoja, he sanovat, että vuoteen 2021 mennessä meillä on 3, 5 miljoonaa avointa kyberturvallisuustyötä. Tarjolla ja kysynnällä on valtava katkaisu ja haaste, jonka yritämme ratkaista. Joukkoliikenteen hyödyntäminen tämän ongelman ratkaisemiseksi on toiminut meille erittäin hyvin, koska meidän ei tarvitse palkata heitä. He ovat freelancereita ja todella vain saada enemmän huomioita tähän ongelmaan antaa parempia tuloksia.
of
Voivatko nämä hakkerit ansaita enemmän rahaa kanssasi kuin pystyisivät yksin pimeään verkkoon? Tarkoitan, onko kannattavaa olla valkoinen hattu tässä mallissa?
On yleinen väärinkäsitys, että toimit pimeässä verkossa ja sinusta tulee automaattisesti tämä rikas henkilö.
Saat myös repiä paljon.
Saatat ryöstää paljon, mutta todellisuus on, että työskentelemme ihmiset ovat erittäin ammattitaitoisia ja eettisiä. He työskentelevät erittäin suurissa yrityksissä tai muissa turvallisuuskonsultointitoimistoissa ja on ihmisiä, joilla on paljon etiikkaa, etteivät he halua tehdä asioita laittomasti. He haluavat toimia, he rakastavat hakkerointia, rakastavat asioiden rikkomista, mutta haluavat tehdä sen ympäristössä, jossa he tietävät, ettei heitä syytetä.
Se on mukava plus. Mitkä näet suurimpana uhkana
Se on todella mielenkiintoista. Jos olisit kysynyt minulta kysymyksen pari vuotta sitten, sanoisin, että kansallisvaltiot ovat kaikkein hyvin varusteltuja organisaatioita menestymään verkkohyökkäyksissä. Tarkoitan, että he istuvat nollapäivän hyväksikäyttövarastojen varastossa, heillä on paljon rahaa ja paljon resursseja.
Selitä ajatus istua nollan päivän varastossa. Koska tämä on jotain turvallisuustilan ulkopuolella, en usko, että tavallinen ihminen todella ymmärtää.
Joten nollapäiväinen hyödyntäminen on tehokkaasti ehkä suuren käyttöjärjestelmän haavoittuvuus, jota ehkä kukaan ei tiedä muusta kuin yhdestä organisaatiosta. He löysivät sen, he istuvat siinä ja käyttävät sitä hyväkseen. Kun otetaan huomioon, kuinka paljon rahaa he panostavat tutkimukseen ja kehitykseen ja kuinka paljon rahaa he maksavat resursseistaan, heillä on kyky löytää nämä asiat, joista kukaan muu ei löydä niitä. Se on iso syy siihen, miksi he ovat menestyneet tekemisillään.
Yleensä he tekevät tätä tiedustelutietojen saamiseksi ja auttaakseen päätöksentekijöitämme tekemään parempia poliittisia päätöksiä. Olemme nähneet muutoksen parin viime vuoden aikana, kun rikollissyndikaatit hyödyntävät joitain näistä vuotovälineistä hyväkseen. Jos katsot varjovälittäjien vuotoa erinomaisena esimerkkinä siitä, siellä on aika pelottavaa. Vaikka toimittajat oikaisevat järjestelmiään, siellä olevat yritykset eivät tosiasiassa hyödynnä niitä korjauksia, jotka jättävät ne alttiiksi hyökkäyksille ja antavat pahojen ihmisten mahdollisuuden murtautua organisaatioihinsa ja julkaista ransomware-ohjelmia esimerkiksi yrittämään saada rahaa heiltä.
WannaCry-tartunta vaikutti valtavaan määrään järjestelmiä, mutta ei Windows 10 -järjestelmiin. Se oli hyväksi käytetty paikka, jos ihmiset olivat ladanneet ja asentaneet, mutta miljoonat ihmiset eivät olleet, ja se avasi oven.
Se on aivan oikein. Patch-hallinta on todella vaikea asia edelleen valtaosalle organisaatioita. Heillä ei ole käsitystä siitä, mitkä versiot ovat käynnissä ja mitkä laatikot on korjattu ja mitkä eivät ole, ja se on yksi syy, että loimme koko liiketoimintamallimme - saada enemmän silmää tähän ongelmaan, olla aktiivinen paljastamaan järjestelmiä, joita ei ole korjattu, ja sanomalla asiakkaillemme: "Hei, korjaat nämä asiat paremmin tai aiot olla seuraava iso rikkomus tai hyökkäykset, kuten WannaCry, menestyvät organisaatioitasi vastaan." Ja asiakkaat käyttävät palveluitamme jatkuvasti, tämä on ollut meille todella menestyvä tapaus.
Myytkö palvelujasi lyhytaikaista testausta varten? Vai voisiko se olla käynnissä myös?
Perinteisesti levinneisyystestaus on ollut point-in-time -tyyppinen sitoutuminen, eikö niin? Sanot tulevasi viikossa, kahdessa viikossa, anna minulle raportti ja nähdään sitten vuotta myöhemmin, kun olemme valmiita seuraavaan tilintarkastukseen. Yritämme siirtää asiakkaita ajattelutapaan, että infrastruktuuri on erittäin dynaamista. Työskentelet koko ajan muutoksia sovellussi koodimuutoksiin, voit ottaa käyttöön uusia haavoittuvuuksia milloin tahansa. Miksi et katso näitä tavaroita turvallisuuden näkökulmasta jatkuvasti samalla tavalla kuin olet kehityksen elinkaaren ajan?
Ja ohjelmisto palveluna on hieno malli. Palvelu palveluna on myös loistava malli.
Oikein. Meillä on isoja ohjelmistokomponentteja, jotka istuvat koko tämän takana, joten meillä on koko alusta, joka helpottaa tutkijoiden ja asiakkaidemme vuorovaikutusta, ja rakennamme myös automaatiota sanomalla "Hei, jotta tutkijoidemme tehokkaampia ja tuloksellisempia työssään, automatisoimme asiat, joihin emme halua heidän viettävän aikaa. " Oikea? Kaikki matalat roikkuvat hedelmät antavat heille enemmän kontekstin ympäristöstä, johon he kävelevät, ja huomaat, että ihmisen ja koneen pariliitos toimii erittäin hyvin ja se on erittäin tehokas kyberturvallisuustilassa.
Sait juuri takaisin Black Hatista liian kauan sitten, missä näit paljon pelottavia juttuja, voisin kuvitella. Onko siellä jotain yllättävää?
Tiedätkö, että Defcon keskittyi suuresti äänestysjärjestelmiin, ja luulen, että olemme kaikki nähneet runsaasti lehdistöä tästä. Mielestäni on melko pelottavaa nähdä, kuinka nopeasti hakkerit pystyvät hallitsemaan yhtä näistä äänestysjärjestelmistä, jos heillä on fyysinen pääsy. Se saa sinut todella kyseenalaistamaan aiemmat vaalitulokset. Nähdessään, että ei ole kovin paljon järjestelmiä, joilla on paperireittejä, se on mielestäni melko pelottava ehdotus.
Mutta sen lisäksi keskityttiin paljon kriittiseen infrastruktuuriin. Oli yksi puhe, jossa keskityttiin lähinnä niiden säteilyjärjestelmien hakkerointiin, jotka havaitsevat säteilyn ydinvoimalaitoksissa ja kuinka helppoa on murtautua noihin järjestelmiin. Tarkoitan, että asiat ovat melko pelottavia, ja uskon vakaasti, että kriittinen infrastruktuurimme on melko huonossa paikassa. Mielestäni suurin osa siitä on nykyään vaarantunut, ja koko elintärkeällä infrastruktuurillamme on joukko implantteja, jotka vain odottavat voimansaantia siinä tapauksessa, että menemme sotaan toisen kansallisvaltion kanssa.
Joten kun sanot "Kriittinen infrastruktuurimme on tänään vaarannettu", tarkoitat sitä, että sähkötehtaissa, ydinvoimalaitoksissa, tuulimyllytiloissa istuu koodi, jonka ulkomaiset valtiot sijoittivat sinne ja jotka voitiin aktivoida milloin tahansa?
Joo. Se on aivan oikein. Minulla ei ole mitään välttämättä tukemaan sitä
Voimmeko lohduttaa sitä, että meillä on todennäköisesti samanlainen vaikutusvalta vastustajillamme ja että koodimme on myös heidän kriittisessä infrastruktuurissa, joten ainakin on olemassa mahdollisesti molemminpuolisesti varma tuho, johon voimme luottaa?
Oletan, että teemme asioita, jotka ovat hyvin samankaltaisia.
Okei. Oletan, että et voi sanoa kaikkea mitä osaat tietää, mutta suhtaudun lohduksi ainakin siihen, että sota käydään. Emme selvästikään halua, että tämän laajentunut millään tavalla muotoon, mutta ainakin taistelemme molemmin puolin ja meidän pitäisi todennäköisesti keskittyä enemmän puolustukseen.
Oikein. Tarkoitan, että meidän pitäisi ehdottomasti keskittyä enemmän puolustukseen, mutta hyökkäävät kykymme ovat yhtä tärkeitä. Tiedät, että pystyt ymmärtämään kuinka vastustajamme hyökkäävät meitä ja mitkä ovat heidän kykynsä
Joten halusin kysyä sinulta aiheesta, joka on ollut uutisissa
Joten, vaikea tietää oikein? Ja mielestäni ottaen huomioon tosiasian, että meidän on kyseenalaistettava siteet näihin järjestöihin, meidän on vain oltava varovaisia käyttöönoton, etenkin laajan käyttöönoton, suhteen. Jotakin niin yleistä kuin Kasperskyn kaltainen virustentorjuntaratkaisu kaikissa järjestelmissämme, hallitus on varovainen, ja ottaen huomioon, että meillä on ratkaisuja, kotitekoisia ratkaisuja, samalla tavoin kuin yritämme rakentaa ydinkärämme ja ohjuspuolustusjärjestelmäämme Yhdysvaltojen, meidän pitäisi hyödyntää ratkaisuja, joita rakennetaan Yhdysvalloissa osaksi kyberturvallisuuden näkökulmasta. Mielestäni he sitä viime kädessä yrittävät tehdä.
Mikä on mielestäsi numero yksi asia, jonka suurin osa kuluttajista tekee väärin turvallisuuden näkökulmasta?
Kuluttajatasolla se on vain hyvin perustiedot, eikö niin? Luulen, että useimmat ihmiset eivät harjoita turvallisuushygieniaa. Pyöräilysalasanat, eri salasanojen käyttö eri verkkosivustoilla, salasananhallintatyökalujen ja kaksitekijöiden todennukset. En voi kertoa teille, kuinka moni ihminen nykyään vain ei käytä sitä, ja on yllättävää, että kuluttajan käyttämät palvelut eivät vain pakota sitä heihin. Luulen, että jotkut pankit ovat alkaneet tehdä niin, mikä on hienoa nähdä, mutta silti sosiaalisen median tilien vaarantuminen, koska ihmisillä ei ole kaksi tekijää, on mielestäni vain hullu.
Joten, kunnes olemme ohittaneet turvallisuuden perushygienian, en usko, että voimme alkaa puhua joihinkin edistyneempiin tekniikoihin itsensä suojelemiseksi.
Joten kerro minulle vähän henkilökohtaisista turvallisuuskäytännöistäsi? Käytätkö salasanahallintaa?
Tietysti. Tietysti. käytän
VPN-palvelut voivat hidastaa yhteyttäsi hiukan, mutta niiden asentaminen on suhteellisen helppoa ja voit saada yhden parin dollarin kuukaudessa.
Niiden asennus on erittäin helppoa ja haluat käydä hyvämaineisen palveluntarjoajan kanssa, koska lähetät liikennettä
Samanaikaisesti teet vain yksinkertaisia asioita, kuten järjestelmän päivittämistä, milloin tahansa matkapuhelimessani on päivitys
Se ei ole niin hullua. Ei todellakaan ole niin vaikeaa pysyä turvassa kuluttajana. Sinun ei tarvitse käyttää erittäin edistyneitä tekniikoita tai ratkaisuja, jotka ovat olemassa. Ajattele vain järkeä.
Mielestäni kaksi tekijää on järjestelmä, joka sekoittaa paljon ihmisiä ja pelottelee paljon ihmisiä. He ajattelevat, että heidän on tarkistettava puhelimessaan joka kerta, kun kirjaudutaan sähköpostitiliinsä, ja niin ei ole. Sinun on vain tehtävä se kerran, valtuutat kyseisen kannettavan tietokoneen, ja tekemällä niin, että joku muu ei voi kirjautua tiliisi millään muulla kannettavalla tietokoneella, mikä on valtava suojaus.
Ehdottomasti. Joo, jostain syystä se pelottaa paljon ihmisiä. Jotkut niistä on perustettu sinne, missä sinun on ehkä tehtävä se noin 30 päivän välein, mutta
Et ole ollut tällä alalla niin kauan, mutta voitko kertoa kuinka olet nähnyt maiseman
Olen itse ollut kyberturvallisuudessa ja todella kiinnostunut siitä ehkä 15 vuotta. Siitä lähtien kun olin 13-vuotias ja johdin jaettua web-hosting-yritystä. Panostettiin paljon asiakkaidemme verkkosivustojen ja palvelinten hallinnan suojaamiseen ja näiden palvelimien lukituksen varmistamiseen. Tarkastellaan kuinka tieto on edennyt hyökkääjän puolelle. Mielestäni turvallisuus on itsessään syntyvä ala, se kehittyy jatkuvasti, ja siellä on aina runsaasti uusia innovatiivisia ratkaisuja ja tekniikkaa. Mielestäni on jännittävää nähdä nopea innovaatiovauhti tässä tilassa. On mielenkiintoista nähdä, että yritykset hyödyntävät enemmän asteittain kalliita ratkaisuja, siirtyvät pois defacto-nimistä, joista olemme kaikki kuulleet,
Aikaisemmin se koski lähinnä viruksia ja joudut päivittämään määritelmät, ja maksat yritykselle, joka hallitsee tietokantaa puolestasi, ja niin kauan kuin sinulla oli, että olet melko turvassa 90 prosentilla uhkista. Mutta uhat kehittyivät nykyään paljon nopeammin. Ja siihen on reaalimaailman komponentti, jossa ihmiset paljastavat itsensä, koska he saavat tietojenkalasteluhyökkäyksen, he vastaavat ja luovuttavat valtakirjansa. Näin heidän organisaationsa tunkeutuu ja se on melkein enemmän koulutusongelma kuin tekninen kysymys.
Mielestäni suurin osa onnistuneista hyökkäyksistä ei ole niin pitkälle edenneitä. Organisaation turvallisuuden vähiten yhteinen nimittäjä
Haluaisin mielelläni tutkia, kuinka monet uhat ovat vain sähköpostipohjaisia. Vain tuhannet ja tuhannet sähköpostit menevät ulos ja ihmiset napsauttavat asioita. Ihmiset luovat prosessin ja sarjan tapahtumia, jotka kiertyvät hallitsematta. Mutta se tulee sähköpostitse, koska sähköposti on niin helppoa ja yleistä ja ihmiset aliarvioivat sitä.
Alamme nähdä, että se siirtyy pelkästään sähköpostipohjaisista hyökkäyksistä sosiaalisiin tietojenkalastelu-, keihäs phishing-hyökkäyksiin. Pelottavaa on, että sosiaaliseen mediaan on leivottu luontainen luottamus. Jos näet linkin ystävältä
Annan kysyä sinulta mobiiliturvallisuutta. Aikaisin sanoimme ihmisille, että jos sinulla on iOS-laite, et todennäköisesti tarvitse virustorjuntaa, jos sinulla on Android-laite, haluat ehkä asentaa sen. Olemmeko edenneet pisteeseen, jossa tarvitsemme suojausohjelmistoja jokaisessa puhelimessa?
Mielestäni meidän on todella luotettava itse laitteisiin paistettuun turvallisuuteen. Ottaen huomioon, kuinka esimerkiksi Apple on suunnitellut heidän käyttöjärjestelmänsä, niin kaikki on aika hiekkalaatikko, eikö niin? Sovellus ei voi tehdä kovin paljon sovelluksen rajojen ulkopuolella. Android on suunniteltu hiukan eri tavalla, mutta meidän on ymmärrettävä, että kun annamme sovelluksille pääsyn esimerkiksi sijaintiimme, osoitekirjaan tai muuhun puhelimessa olevaan tietoon, se menee heti oven ulkopuolelle.. Ja sitä päivitetään jatkuvasti, joten muutettaessa sijaintisi lähetetään takaisin ylös pilveen kenelle tämän sovelluksen omistaa. Sinun on todella ajateltava "Luotanko näihin ihmisiin tietoihini? Luotanko tämän yrityksen turvallisuuteen?" Viime kädessä heillä on nyt pääsy siihen, jos he pitävät osoitteistoa ja arkaluontoisia tietoja, jos joku vaarantaa ne.
Ja se on ikuinen käyttöoikeus.
Oikein.
Sinun on ajateltava ruudun ulkopuolella. Vain siksi, että olet lataamassa uutta peliä, joka näyttää tyylikkäältä, jos he pyytävät sijaintitietojasi ja kalenteritietojasi ja täydellistä pääsyä puhelimeen, luotat heihin, että heillä on kaikki nämä käyttöoikeudet ikuisesti.
Se on aivan oikein. Mielestäni sinun on todella ajateltava "Miksi he sitä pyytävät? Tarvitsevatko he todella tätä?" Ja on oikein sanoa "kieltää" ja nähdä mitä tapahtuu. Ehkä se ei vaikuta mihinkään, ja sinun on todella ihmettelevä "No miksi he todella kysyivät sitä?"
On tuhansia sovelluksia, jotka on luotu vain keräämään henkilökohtaisia tietoja. Ne tarjoavat vain jonkin verran lisäarvoa saadaksesi sinut lataamaan niitä, mutta todellinen ainoa tarkoitus on kerätä tietoja sinusta ja valvoa puhelintasi.
Se on tosiasiassa yleinen ongelma, jossa näet näiden haitallisten kokonaisuuksien luoneen sovelluksia, jotka näyttävät muilta sovelluksilta. Ehkä he teeskentelevät olevanne online-pankkisi, kun he eivät ole. He itse asiassa vain kalastavat tietojasi, joten sinun on oltava varovainen.
Haluan kysyä teiltä kysymyksiä, jotka esitän kaikille, jotka tulevat tämän näyttelyn kohteeksi. Onko erityinen teknologinen suuntaus huolestuttava sinua eniten
Onko jotain sovellusta, palvelua tai gadgetia, jota käytät joka päivä ja joka vain inspiroi ihmettä ja joka tekee sinulle vaikutuksen?
Se on hyvä kysymys. Olen suuri fani Googlen työkalupaketista. He ovat todella vuorovaikutuksessa ja toimivat erittäin hyvin ja integroituvat hyvin yhteen, joten olen iso Google-sovellusten käyttäjä. eikä vain siksi, että Google on sijoittaja yritykseemme.
Siellä on vähän Googlea kaikkialla.
Siellä on pieni Google kaikkialla.
On jotain sanottavaa, että otat hetken ja antavat heille tunnustusta tekemästään. He todella halusivat tehdä maailman tiedoista etsittäviä ja ymmärrettäviä, ja he ovat tehneet siitä melko hyvää työtä.
Saimme juuri uuden toimistossa olevan taulun, digitaalisen taulun - Jamboardin - ja se on yksi tyylikkäimmistä laitteista, joita olen nähnyt pitkään aikaan. Vain kyky taululle jotain, tallentaa se pois ja tuoda se takaisin tai olla vuorovaikutuksessa ja olla yhteydessä toiseen päähän kuuluvaan tai mihin tahansa iPadiin. Tarkoitan, että se on vain uskomatonta, ja puhuminen yhteistyöstä etäyhteyden kautta tekee siitä vain paljon helpompaa.
On mielenkiintoista nähdä edistyminen tavalla, jolla voimme työskennellä yhdessä. Meillä ei tarvitse olla ihmisiä vain keskitetysti yhdessä toimistossa, voimme tuoda vanhoja huonoja ideoita ja mielestäni se on todella hienoa.
Se on erittäin, erittäin siisti tuote. Testasimme sitä laboratoriossa ja meillä oli joitain ongelmia joidenkin ohjelmistojen kanssa, mutta se on
Täysin samaa mieltä.
Se tarvitsee vain pari ohjelmistopäivitystä, jotta se olisi hiukan helpompaa.
Se on vähän buginen, mutta se on silti hämmästyttävä.
Kuinka ihmiset voivat tarttua sinuun, seurata sinua verkossa ja seurata tekemäsi toimintaa?
Joo, olen Twitterissä @JayKaplan. Blogiimme Synack.com/blog, joka on myös loistava paikka kuulla viimeisimmät tietoverkkoturvallisuuteen liittyvät uutiset ja mitä olemme tekemässä yrityksenä, ja minulla on siellä joitain viestejä joka kerta. Olen myös LinkedInissä, postitan siellä aina niin usein. Yritän pysyä niin aktiivisena sosiaalisessa mediassa kuin pystyn. En ole paras.
Se vie paljon aikaa.
Siinä, mutta yritän.
Sinulla on myös tehtävä tehtävä.
Tarkalleen.