Nel mondo di oggi, dove le grandi e piccole imprese sono in gran parte colpite da attacchi informatici e violazioni dei dati, le spese per la sicurezza informatica sono salite alle stelle. Le aziende stanno spendendo milioni di dollari per salvaguardare le loro difese informatiche. E quando parliamo di Cyber Security e Information Security, Georgia Weidman è uno dei pochi nomi di spicco del settore che viene in mente.
Georgia Weidman è un hacker etico, Penetration Tester, CEO di Shevirah Inc / Bulb Security LLC e autore del libro "Penetration Testing: A Hands-on Introduction to Hacking".
Ecco un'intervista esclusiva di Georgia Weidman con il nostro team di Ivacy in cui abbiamo posto alcune domande relative a lei e alla sicurezza informatica in generale:
Q1 - Ciao Georgia, siamo molto contenti di averti e siamo rimasti totalmente colpiti dal sapere quanto hai realizzato in un breve lasso di tempo. Cosa ti porta in questo settore dell'infosec? Come hai iniziato il tuo viaggio come Ethical Hacker?
Sono andato al college presto, a 14 anni invece dei soliti 18. E ho preso una laurea in matematica perché non volevo diventare un informatico. Mia madre era una di loro e quale adolescente vuole essere come i loro genitori?
Ma poi non sono riuscito a trovare un lavoro a 18 anni con solo una laurea e nessuna esperienza lavorativa, mi è stato chiesto di fare un master in informatica e mi avrebbero dato dei soldi! Era meglio che dover vivere con i miei genitori.
Così ho aderito al programma di master e l'università aveva un club di difesa informatica. Il capitano del cyber defence club sembrava davvero interessante e volevo saperne di più su di lui. Quindi, non sapendo nulla della sicurezza informatica, mi sono unito al club della difesa informatica e abbiamo partecipato alla competizione di difesa informatica nel Medio Atlantico. Bene, ho imparato che la sicurezza informatica era più interessante del ragazzo, ma ho anche trovato quello che volevo fare della mia vita.
D2- Qual è stata la tua ispirazione e motivazione dietro la scrittura del tuo libro "Test di penetrazione"?
Volevo scrivere il libro che avrei voluto avere quando stavo iniziando in infosec. Quando ho iniziato e stavo cercando di imparare così tanto di ciò che era disponibile in termini di tutorial e accumulato così tante conoscenze precedenti che stavo facendo l'equivalente tecnico di cercare tutte le parole nel dizionario. Quindi quelle parole nel dizionario dei bambini hanno anche un'idea di come le cose funzionassero molto meno perché funzionassero.
Quando chiesi aiuto, ricevetti un sacco di "Scendi n00b" o "Prova più forte!" Piuttosto che delle spiegazioni. Volevo facilitare le persone che mi seguivano e colmare questa lacuna con il mio libro.
Q3- Interessante come il nome è, parlaci della tua Bulb Security e come è iniziato tutto?
In realtà ho due società Shevirah Inc. e Bulb Security LLC. Ho avviato Bulb quando ho ricevuto una sovvenzione DARPA Cyber Fast Track per creare il Smartphone Pentest Framework e successivamente sono stato rimproverato di avere l'audacia di richiedere la concessione in modo indipendente.
Oltre ai progetti di ricerca, a questo punto ho anche creato un'attività di consulenza di test di penetrazione, formazione, ingegneria inversa e persino analisi dei brevetti. Nel mio abbondante tempo libero, sono anche professore all'Università del Maryland University College e alla Tulane University.
Ho iniziato Shevirah quando mi sono unito all'acceleratore di avvio di Mach37 per produrre il mio lavoro nel mobile e nell'Internet of Things test di penetrazione, simulazione di phishing e convalida del controllo preventivo per espandere la mia portata dall'aiutare altri ricercatori ad aiutare le aziende a comprendere meglio il proprio dispositivo mobile e Posizione di sicurezza dell'IoT e come migliorarla.
D4- Beh, parlaci del singolo momento più emozionante in cui ti sei sentito davvero orgoglioso del tuo lavoro come tester di penetrazione.
Ogni volta che entro, soprattutto in un modo nuovo, ha la stessa corsa della prima volta. Ciò che mi rende orgoglioso è avere clienti abituali che non solo hanno risolto tutto ciò che abbiamo trovato la prima volta, ma hanno anche continuato ad aumentare la loro posizione di sicurezza quando nuove vulnerabilità e attacchi sono diventati noti nel tempo tra i test.
Vedere un cliente non solo correggere ciò in cui ero solito entrare, ma anche creare una posizione di sicurezza più matura per l'intera azienda, significa che ho avuto un impatto molto maggiore rispetto al solo mostrare loro che posso ottenere l'amministratore di dominio con Avvelenamento da LLMNR o EternalBlue.
Q5- Per coloro che vogliono iniziare il loro viaggio nel campo del Ethical Hacking & Penetration Testing, quali suggerimenti o consigli di carriera vorresti dare? Può essere qualsiasi suggerimento di corso online, certificati o titoli di studio per quella materia.
Consiglierei il mio libro, Test di penetrazione: un'introduzione pratica all'hacking, ovviamente. Suggerirei anche di essere coinvolto in riunioni o conferenze di hacker locali come un capitolo del gruppo DEF CON locale o Security BSides. È un ottimo modo per incontrare potenziali mentori e connessioni nel settore. Suggerirei anche di fare un progetto di ricerca o una lezione.
Questa è la competizione che mi ha portato in #infosec in primo luogo. Ci sono concorsi nelle regioni di tutto il paese e cittadini per i vincitori regionali. Un buon posto dove investire denaro e ore di volontariato. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28 febbraio 2019
Tante persone pensano che la ricerca sulla sicurezza sia una magia oscura che richiede abilità arcane sul funzionamento interno del bootloader, ma, nella maggior parte dei casi, non è così. Anche se hai appena iniziato, ognuno ha un set di abilità che sarebbe utile agli altri nel campo che possono condividere. Forse sei bravo a formattare in Word o hai anni di esperienza come amministratore di sistema Linux?
Q6- Vorresti suggerire alcuni software di sicurezza, componenti aggiuntivi, estensioni, ecc. Al nostro pubblico che sono preoccupati per la loro privacy e sicurezza online? Esistono metodi infallibili per la massima protezione online?
Dato che parte della mia attività sta convalidando l'efficacia delle soluzioni preventive, sono sicuro che capirai che devo rimanere agnostico dal fornitore nelle interviste. È importante notare che non esiste una sicurezza infallibile. In realtà, credo fermamente che la strategia di marketing dei fornitori di sicurezza preventiva di "Se installi il nostro software (o metti la nostra scatola sulla tua rete), non dovrai più preoccuparti della sicurezza" è la causa principale di molti dei le violazioni di alto profilo che vediamo oggi.
Le aziende, dopo essere state informate da questi cosiddetti venditori esperti, lanciano molti soldi per il problema della sicurezza ma trascurano cose come il patching e la consapevolezza del phishing perché i loro venditori hanno dichiarato di avere tutto coperto. E, come vediamo più volte, nessuna soluzione preventiva fermerà tutto.
Q7- Dal punto di vista di un hacker, quanto diventa difficile hackerare qualcuno se ha una VPN in esecuzione sul suo dispositivo intelligente? Quanto sono efficaci le VPN? Ne usi qualcuno?
Come la maggior parte degli attacchi in questi giorni, la maggior parte degli attacchi mobili coinvolge una sorta di ingegneria sociale, spesso come parte di una più ampia catena di sfruttamento. Come per i prodotti preventivi, una VPN può certamente essere utile contro alcuni attacchi e certamente contro le intercettazioni, ma, finché gli utenti mobili scaricano applicazioni dannose, profili di gestione, ecc. E aprono collegamenti dannosi sui loro dispositivi intelligenti, una VPN può solo andare così lontano.
Incoraggerei gli utenti a utilizzare le VPN, in particolare sulle reti pubbliche, nonché su altri prodotti di sicurezza, ovviamente. Vorrei solo che gli utenti continuassero a vigilare sulla loro posizione di sicurezza piuttosto che affidarsi esclusivamente a questi prodotti per proteggerli.
Q8- Con il boom esponenziale dei dispositivi intelligenti e l'incredibile sviluppo nel campo dello IOT, quali pensi siano le potenziali minacce alla sicurezza e le vulnerabilità che molto probabilmente andranno avanti?
Vedo le minacce contro i dispositivi mobili e l'IoT uguali ai dispositivi tradizionali con più punti di entrata e di uscita. Su un computer Windows, esiste la minaccia di attacchi di esecuzione di codice in modalità remota in cui l'utente non deve fare nulla affinché l'attacco abbia successo, attacchi lato client in cui l'utente deve aprire un file dannoso, sia esso una pagina Web, un PDF, un eseguibile, ecc. Ci sono anche attacchi di social engineering e escalation di privilegi locali.
Mancano le patch, le password sono facili da indovinare, il software di terze parti non è sicuro, l'elenco continua. Nel mobile e nell'IoT trattiamo gli stessi problemi tranne che al posto della sola connessione cablata o wireless ora abbiamo il modem mobile, Zigbee, Bluetooth, Near Field Communication, solo per citarne alcuni come potenziali vettori di attacco e viali per bypassare qualsiasi prevenzione della perdita di dati implementata. Se i dati riservati vengono sottratti dal database da un dispositivo mobile compromesso e quindi inviati alla rete cellulare tramite SMS, tutta la tecnologia preventiva al mondo sul perimetro della rete non li catturerà. Allo stesso modo, abbiamo più modi che mai che gli utenti possano essere socialmente ingegnerizzati.
Invece della semplice e-mail e di una telefonata ora abbiamo SMS, social media come Whatsapp e Twitter, codici QR, l'elenco delle miriadi di modi in cui un utente potrebbe essere scelto come target per aprire o scaricare qualcosa di dannoso.
Q9- Ci sono conferenze sulla sicurezza che non vedi l'ora di fare? Se sì, quali sono quelli?
Mi piace anche vedere posti nuovi e conoscere nuove persone. Quindi sono sempre pronto a viaggiare in terre straniere per fare conferenze. Quest'anno sono stato invitato al keynote di RastacCon! in Giamaica. L'anno scorso mi sono divertito moltissimo a visitare Salvador, in Brasile, durante una delle conferenze di Roadsec. Anche quest'anno prenderò il nome di Carbon Black Connect, che è una buona sede per me, poiché sto lavorando per diventare famoso nel mondo degli affari come lo sono nel mondo dell'infosec. Nonostante sia a Las Vegas caldo e affollato, il campo estivo infosec (Blackhat, Defcon, BSidesLV, oltre ad altri eventi assortiti allo stesso tempo) è un ottimo modo per stare al passo con un sacco di gente del settore e vedere cosa sono stati a.
Q10- Quali sono i tuoi piani futuri? Scriverai un altro libro? Fondare un'altra azienda? Ridimensionare quello esistente? Cosa sta cercando di realizzare Georgia Weidman nella sua vita?
Attualmente sto terminando la 2a edizione di Penetration Testing: A Hands-On Introduction to Hacking. Vorrei sicuramente scrivere ulteriori libri tecnici per principianti in futuro. Anche se finora ho fatto solo un paio di investimenti angelici, spero di poter investire e guidare in futuro altri fondatori di startup, in particolare fondatori tecnici come me, e fare di più per supportare donne e minoranze in infosec.
Ho imparato molto facendo una startup, ma sono anche una di quella razza rara che vuole davvero solo fare ricerche sulla sicurezza. Post-avvio Mi immagino di fare ricerche sulla sicurezza a tempo pieno per un po '. Completamente non legato alla tecnologia, ma se mi segui sui social media, potresti aver notato che gareggio in eventi equestri, quindi quest'anno il mio cavallo Tempo e spero di vincere le finali della Virginia Horse Show Association. A più lungo termine, vorrei dedicare più tempo e risorse all'abbinamento dei cavalli da salvataggio con i meritevoli proprietari e il salvataggio delle tartarughe marine.
“ Non è possibile correggere la sicurezza con i soli prodotti preventivi. I test sono una parte necessaria e spesso trascurata della sicurezza. Come farà un vero aggressore a entrare nella tua organizzazione? Saranno in grado di aggirare la tua soluzione preventiva? (Suggerimento: sì.) ”- Georgia Weidman
