Video: Alarmsysteem + Mistgenerator bij Media Markt (November 2024)
In deze aflevering van Fast Forward verwelkom ik Josh Schwartz, hoofd van het interne Red Team van Verizon Media. Dat betekent dat hij zijn dagen besteedt aan het hacken van de meest waardevolle en vertrouwde systemen van zijn werkgever, idealiter voordat iemand die niet op de loonlijst staat hetzelfde doet.
Dan Costa: Ik denk dat mensen een vaag idee hebben van wat rode teams zijn; ze hebben ze in films gezien. Is het net zo leuk en opwindend als het eruit ziet op tv?
Josh Schwartz: Ik wens alleen maar, toch? Het heeft de verantwoordelijkheid om in te breken, naar plaatsen te komen. Het is natuurlijk best spannend, maar het is duidelijk dat je in de films alles onmiddellijk ziet gebeuren en in werkelijkheid niet. Het kost veel werk… het loopt niet alleen rond en veroorzaakt grappen.
Het probeert in feite de verandering binnen een organisatie te beïnvloeden en probeert de organisatie te informeren over 'Wat doen de slechteriken echt?' Deze rol in het interne rode team is, hoewel het nog steeds opwindend is, ik nog steeds naar vergaderingen moet gaan, nog steeds doelen moet stellen, dat soort dingen.
Dan Costa: Wie zijn de individuen in dit team? Ik stel me voor dat er veel programmeurs zijn, maar ik veronderstel dat het niet alleen beperkt is tot programmeurs.
Josh Schwartz: De diversiteit van de vaardigheden in het team is iets dat als we dat niet hebben, we die mogelijkheid niet hebben. Er is heel vaak een misvatting vanwege wat je in films ziet, er is één hacker en hij kan elk technologisch probleem oplossen.
Dan Costa: En er is de automan, de wapenspecialist.
Josh Schwartz: In werkelijkheid bouw ik een team zodat elke persoon ergens een expert in is. Deze man is de man die weet hoe hij fysieke inbraak moet doen en iemand anders is een expert in cryptografie en iemand anders is een expert in sociale engineering. Door elke persoon een expert te laten zijn, kunnen we op elkaar leunen om elk probleemtype van het team effectief op te lossen.
Dan Costa: Hoe ziet een dag op kantoor eruit? Welke soorten dingen test je?
Josh Schwartz: Hacker zijn is gewoon iemand die graag systemen uit elkaar haalt, toch? Dat is de reden dat we niet inherent crimineel zijn door gewoon een hacker te zijn.
Dus op een dag op kantoor stellen we doelen op basis van resultaten, een beetje zoals worst-case scenario's die we willen zien. Wat zijn de stappen voor ons om van niets naar dit doel te gaan dat echt slecht is voor het bedrijf? Van daaruit kunnen we iets vormen dat een 'kill chain' wordt genoemd. Een dag op kantoor is erachter te komen hoe die ketting te laten gebeuren. Dan denken we na over de verschillende plaatsen waar we die keten kunnen doorbreken. Van daaruit ontmoeten we stakeholders, vertellen ze hoe de aanvallers het zouden doen en bieden we een kleine verandering die u kunt maken om dat te verhelpen.
Dan Costa: Over welke vectoren maak je je het meest zorgen? Ik weet dat ik nog steeds e-mails van IT ontvang waarin mensen worden verteld niet te klikken op links in e-mails of e-mailbijlagen. Waar zie je de kwetsbaarheden die er nog steeds zijn?
Josh Schwartz: Als je op links klikt en bijlagen downloadt en ze op je computer uitvoert, ondanks de vele waarschuwingen, is dat een probleem. Maar we zijn geëvolueerd naar een nieuw tijdperk waar het nu toegang is tot informatie die in de cloud en op verschillende plaatsen bestaat. Als u toegang tot iemand anders machtigt, is dat ook een probleem.
Dat is uiteindelijk problematischer dan iets dat op je computer draait, want daar zijn al veel beveiligingen rond. Nu hebben we informatie die overal rondzweeft en je hebt agentschap om het te controleren. Je hebt een bureau om andere dingen toegang te geven, het is een soort van hoe het internet nu werkt. Aanvallers, inclusief wij, zijn een beetje meer op dat soort dingen verschoven.
Dan Costa: Het is best bijzonder om naar mijn eigen Google Drive te kijken en hoeveel bestanden ik daar toegang toe heb, dat zou ik eigenlijk niet moeten doen. Ik kan me voorstellen dat het veel erger is in bedrijven die niet zo technologisch geavanceerd zijn als Ziff Davis en PCMag. Het zijn niet alleen bestanden met malware, maar het kunnen ook bedrijfsdocumenten of financiële documenten zijn waarvan u gewoon niet wilt dat uw concurrenten die hebben of eindgebruikers of criminelen.
Josh Schwartz: Beveiliging is over het algemeen dit holistische systeem. Het gaat niet om 'Is er een bug in het systeem waar ik wat exploit naar toe ga gooien en het gaat ontploffen' of zoiets. Zo werkt het niet meer. Het zijn onderling verbonden systemen, mensen, bedrijfsprocessen, de technologie die hen ondersteunt, wat wij ervan vinden, beleid - alles samen… is veiligheid.
En beveiliging is vaak gewoon een soort van hoe u erover denkt. Wat vindt u van de gegevens en de informatie? Welke stappen kunt u nemen om het te beschermen? Als je er sterk over denkt en de inspanningen die je doet minder zijn dan de inspanningen van de krachten om je heen die het proberen te krijgen, dan ben je onzeker. Maar als je het gevoel hebt dat je genoeg moeite doet en er gebeurt niets ergs, dan voel je je veilig. Maar er is geen aan / uit-schakelaar voor beveiliging.
Dan Costa: Laten we het even hebben over de aard van die bedreigingen. Volgens mij zijn er een paar emmers waar mensen zich zorgen over maken. Hacken was vroeger een speels iets dat mensen deden om toegang te krijgen tot uw computer of uw computer te laten crashen. Toen bedachten criminelen hoe ze met deze verschillende technieken geld konden verdienen. Maar er zijn ook statelijke actoren en zelfs particuliere bedrijven die enorme hoeveelheden gegevens over mensen hebben. Waar zijn volgens u de grootste ongeziene bedreigingen in de beveiligingsruimte?
Josh Schwartz: Uitzoeken waar de grootste bedreiging is, wordt uiteindelijk uitzoeken wie je bent. De grootste bedreiging voor u is waarschijnlijk niet de grootste bedreiging voor mij, wat niet de grootste bedreiging is voor een bedrijf ergens. Het gaat eigenlijk allemaal over het modelleren van bedreigingen, toch? Je kiest niet alleen een grootste bedreiging en wijst ernaar. Je denkt: "Wat heb ik? Wie wil het? Wat moet ik eraan doen?" En probeer acties te ondernemen om de dingen te verzachten die u niet wilt laten gebeuren.
Alleen maar proberen te wijzen op dit land is de grootste bedreiging of dit bedrijf is de grootste bedreiging is iets dat ons een beetje in de val lokt waar we beginnen met het bouwen van een bedreigingsmodel waar het allemaal om draait. En terwijl we zo gefocust zijn op dit ene kleine ding, verandert de wereld om ons heen en dan worden we ergens langs de lijn blind.
Dan Costa: Veel bedrijven hebben enorme datalekken gehad en de meeste zijn te wijten aan lakse beveiliging of gewoon slechte gewoonten. Equifax heeft miljoenen Amerikanen bedwelmd, maar er waren echt geen gevolgen. Ze gaan een boete betalen, maar al hun leidinggevenden hebben bonussen. Denkt u dat er een vorm van verandering moet zijn in termen van verantwoording?
Josh Schwartz: Nou, ik ben iemand die in computers breekt, geen beleidsmaker, dus ik weet het niet echt. Misschien zou dat dingen veranderen. Waarschijnlijk zouden er veranderingen zijn, maar op het fundamentele niveau, denkend dat één verandering ergens alles verandert en dat er geen problemen meer zijn, denk ik dat het een beetje kortzichtig is.
Het gaat erom hoe alles samenwerkt. Het gaat erom hoe wij er als publiek om geven, het is hoe bedrijven om het geven. Het is er één stuk van, maar het is natuurlijk niet de hele oplossing. En ik denk dat een van de grote dingen die we als technologiebeoefenaars of consumenten van technologie moeten overwegen, is dat veiligheid niet iemands taak is in een ivoren toren om de juiste schakelaar om te zetten en alles perfect te maken. De meer kleine veranderingen in gedrag die we kunnen nemen om alles een beetje veiliger te maken… voor iedereen.
Dan Costa: Hoe zijn je persoonlijke beveiligingsgewoonten? Gebruik je een VPN? Gebruik je kant-en-klare commerciële malwaredetectie?
Josh Schwartz: Het komt terug op het dreigingsmodel, toch? Het hangt ervan af wat ik op dat moment aan het doen ben. Een VPN beschermt u tegen sommige dingen, maar verbinding maken met een VPN beschermt u niet tegen virussen. Verbinding maken met een VPN verandert in wezen waar u zich bevindt en soms kan dat handig zijn als u het nodig hebt.
Het plaatst je verkeer in een kleine tunnel en die tunnel brengt je ergens anders en het verkeer komt op een andere plaats. Een VPN is handig als je een beetje onveilig bent of als je niet wilt dat iemand weet waar je bent. Het idee dat ik verbonden ben met een VPN en nu veilig ben op internet, niet zo waar.
Persoonlijk vind ik het grootste ding wachtwoordbeheerders. Ze zijn een beetje nieuw, maar als er meer mensen zijn, zouden ze op een veel betere plek zijn. Er zijn al die inbreuken geweest, toch? Je bent er redelijk bekend mee. Dus, als een aanvallende tegenstander, zijn die niet privé. Alles wat is gelekt, staat op internet. We kunnen een grote lijst van alles samenstellen en zoeken naar wachtwoorden en zien welke wachtwoorden je eerder hebt gebruikt.
Als ik vervolgens toegang probeer te krijgen tot iets dat je hebt, als ik het wachtwoord kan vinden dat je eerder hebt gebruikt, weet ik een beetje over jou en kan ik die informatie gebruiken en proberen te hergebruiken of proberen te raden wat je volgende wachtwoord kan zijn. Het gebruik van een wachtwoordbeheerder en het uniek maken van elk wachtwoord voor elke site die u bezoekt, is eigenlijk iets dat goed is en het ontlast het menselijk brein. Je hoeft het echt maar op één plek te beschermen, wat de beveiliging een stuk eenvoudiger maakt.
Dan Costa: We zijn grote fans van wachtwoordbeheerders bij PCMag, ik gebruik LastPass al bijna 10 jaar. Als je eenmaal de sprong hebt gemaakt om je wachtwoorden niet echt te kennen, is het zo'n opluchting. Het herinnert me er ook aan dat we de Yahoo-inbreuk een beetje zijn vergeten, die veel gebruikersnamen en wachtwoorden lekte. Het was jaren geleden en niemand gaf echt meer om Yahoo, maar de waarde van die hack en de waarde voor cybercriminelen is dat veel mensen nog steeds die wachtwoorden gebruiken die ze 10 jaar geleden op Yahoo gebruikten. En u kunt opzoeken wat al die wachtwoorden zijn, wat u zegt.
Josh Schwartz: Het komt neer op menselijk gedrag. Het komt erop neer dat je gewoontes hebt als mens en als aanvaller. Dat is vaak wat ik wil benutten. Het is niet de technologie. De technologie zal steeds beter worden en zal de beveiliging blijven verhogen en veiliger worden, omdat we deze behoefte hebben die het bedrijf vooruit helpt.
Maar menselijk gedrag is iets dat onze verantwoordelijkheid is om te veranderen. En als we onze gewoonten niet veranderen en onszelf veiliger maken, is er geen technologie die ons tegen alles kan beschermen.
Dan Costa: Zijn er andere gewoonten dan een wachtwoordbeheerder waarvan je denkt dat consumenten die moeten gaan adopteren, vooral nu we het tijdperk van het internet der dingen ingaan en alles zoveel meer verbonden is?
Josh Schwartz: Als je erover nadenkt, is het niet langer alleen je computer. Het zijn overal apparaten en bepaalde gewoonten. Misschien denk je dat je telefoon niet zo belangrijk is, maar het wachtwoord dat je in de telefoon plaatst, is in wezen je wachtwoord daar. De telefoon heeft toegang tot veel van dezelfde dingen waartoe uw computer mogelijk toegang heeft. Nadenken over alles dat u aanraakt dat samenwerkt met alle gegevens die u wilt beschermen en ervoor zorgen dat u het net zo gevoelig behandelt als uw laptop of uw desktop of de computer op het werk.
Dan Costa: Ik had vorige week een paar mensen bij RSA en ze interviewden een NSA-functionaris, die zei: 'Ongeacht de codering van de telefoon hebben ze toegang tot telefoons, omdat de meeste mensen hun telefoons nog steeds niet vergrendelen.' Er zijn veel mensen die hun telefoons helemaal niet vergrendelen en ze hebben geen codering nodig om dat te kraken. Dat is gewoon puur gebruikersgedrag.
Josh Schwartz: Of het wachtwoord is allemaal nullen of allemaal enen of zoiets. Er is altijd het idee dat naarmate technologieën vorderen en naarmate je wachtwoord meer dingen wordt, zoals je vingerafdruk of je gezicht of iets dergelijks, er altijd een aanval zal zijn en er een manier omheen zal zijn. Ik moet je gewoon vinden en je telefoon op je gezicht richten of ik moet je vinger afsnijden en die op je telefoon zetten.
Dan Costa: Ook te zien in veel films.
Josh Schwartz: Ja, maar dat doen we tegenwoordig niet, wat goed is.
Dan Costa: Je raakt op die manier heel snel teamleden op.
Josh Schwartz: En vingers, maakt het moeilijk om te typen.
Dan Costa: Ze kunnen aan 10 projecten werken en dan is dat het einde. Dus, vertel me wat je doet, wat is de balans tussen social engineering en technisch hacken? En verandert die mix in de loop van de tijd?
Josh Schwartz: Social engineering is altijd mijn brood en boter geweest. Het is heel vaak het pad van de minste weerstand. Ik zou zeggen dat het een mix is. Veel ervan is recon, proberen erachter te komen wat er echt bestaat, maar het is interessant. Het aspect sociale engineering is niet alleen in de offensieve wereld. Als je nadenkt over hoe een intern Red Team bestaat binnen een bedrijf… doen we een deel van de technische hacking en gebruiken we sociale engineering, fysiek, en alles gecombineerd om die kill chain te proberen uit te voeren, de missie te volbrengen.
Maar daarna, als u nadenkt over wat beveiliging probeert te doen, proberen we iedereen op grote schaal te engineeren om betere gewoonten voor het grotere goed te hebben. Vaak is het het vertellen van het verhaal van wat we deden en het opleiden van mensen binnen… het bedrijf 'hier is hoe het werkt, hier is wat je kunt doen om beter te worden.' Dat is social engineering. Dus het grootste deel van het werk is social engineering, omdat het ervoor zorgt dat mensen op de juiste manieren om veiligheid geven, de juiste keuzes maken en hopelijk om de juiste dingen geven.
Dan Costa: Ik stel me voor dat wanneer mensen e-mails van je ontvangen, ze niet willen reageren. Als je om iets vraagt, denk ik niet dat het eerste antwoord nee is.
Josh Schwartz: Rode teams hebben het afgelopen decennium een beetje een metamorfose ondergaan. Je begint op deze plek waar je extreem vijandig bent, extreem aanstootgevend, probeert de trom te verslaan en iedereen te laten weten dat veiligheid belangrijk is en in die dagen zien mensen je als een tegenstander, want dat is jouw taak.
Ik heb persoonlijk ervaringen gehad waarbij ik in de lift stapte en mensen zeggen: "Oh, ik wil niet naar mijn verdieping gaan, omdat Red Team hier is", en ik heb zoiets van: "Ik ben niet echt slecht kerel." Dat is in de loop van de tijd veranderd, omdat we uiteindelijk allemaal hetzelfde doel nastreven: informatie beschermen, onze consumenten beschermen. Dus terwijl we samenwerken en informatie delen over wat we hebben gedaan als tegenstanders, dat soort lonten en ze ons zien als een bondgenoot en een vriend, maar het heeft even geduurd om daar te komen. Maar ik zie een trend in de goede richting, dus dat is goed.
Dan Costa: Geweldig. Ik ga je een paar vragen stellen die ik iedereen stel die in de show komt. Is er een technologische trend die je bezighoudt, iets dat je 's nachts wakker houdt?
Josh Schwartz: Dat houdt me 's nachts wakker? Misschien de alomtegenwoordigheid en het comfort die we krijgen met alle technologie om ons heen. Niet zo veel… eigenlijk is het echte antwoord dat niets me 's nachts wakker houdt.
Dan Costa: Je slaapt goed.
Josh Schwartz: Ik zie het ergste en het komt neer op risicoacceptatie waarbij ik denk: 'Oké, ik weet hoe de wereld is, ik weet wat mogelijk is en ik ga er goed mee omgaan.' Ik weet dat technologie overal in mijn leven zal worden ingebracht en ik ga de keuze maken om er goed mee te zijn, maar ik ga werken op een manier die ik begrijp en ik slaap als een baby.
- De beste gratis wachtwoordbeheerders voor 2019 De beste gratis wachtwoordbeheerders voor 2019
- Uitzoeken of uw wachtwoord is gestolen Uitzoeken of uw wachtwoord is gestolen
- Facebook opgeslagen tot 600 miljoen gebruikerswachtwoorden in platte tekst Facebook opgeslagen tot 600 miljoen gebruikerswachtwoorden in platte tekst
Dan Costa: Oké, is er technologie die je elke dag gebruikt of een tool of service die je verwondert?
Josh Schwartz: Nou, het is niet mijn mobiele telefoon, maar eerlijk gezegd zijn er een heleboel dingen die me afvragen en ik voel me meestal ongeduldig. Ik wou dat ze hier sneller zouden komen. Ik ben enthousiast over de toekomst van AI, de toekomst van machine learning en dingen die ons hopelijk een meer verbonden wereld zullen geven. Meestal wacht ik er gewoon op. Maar niets verbaast me echt te veel, denk ik.
Dan Costa: Dus, hoe kunnen mensen volgen wat je doet, wat je mensen publiekelijk mag vertellen, hoe kunnen ze je online vinden?
Josh Schwartz: Ik ga onder de naam FuzzyNop, zodat mensen me daar overal kunnen vinden.
