Video: Musical era from the founder AD Halid Droid - DISCO (September 2024)
I detta avsnitt av Fast Forward välkomnar jag Josh Schwartz, chef för Verizon Medias interna röda team. Det betyder att han tillbringar sina dagar på att försöka hacka sig till sin arbetsgivares mest värdefulla och pålitliga system, helst innan någon som inte är på lönen gör samma sak.
Dan Costa: Jag tror att folk har en vag uppfattning om vad röda lag är; de har sett dem i filmer. Är det lika roligt och spännande som det ser ut på TV?
Josh Schwartz: Jag önskar bara, eller hur? Det har ansvaret att bryta sig in, komma till platser. Naturligtvis är det ganska spännande, men tydligt ser du i filmer att allt händer omedelbart och i verkligheten inte. Det kräver mycket arbete… det är inte bara att springa runt och orsaka prankar.
Det är faktiskt att försöka påverka förändringar inom en organisation, försöka hjälpa till att informera organisationen om "Vad gör de onda egentligen?" Denna roll att vara i det interna röda teamet är, även om det fortfarande är spännande, jag måste fortfarande gå till möten, fortfarande måste sätta upp mål, sådant.
Dan Costa: Vem är individerna i det här laget? Jag föreställer mig att det finns många programmerare, men jag föreställer mig att det inte bara är begränsat till programmerare.
Josh Schwartz: Mångfalden i skillset i team är något som om vi inte har det, vi inte har den förmågan. Det finns en missuppfattning mycket ofta på grund av vad du ser i filmerna, är, det finns en hacker kille och han kan lösa alla tekniska problem.
Dan Costa: Och där är bilkillen, vapenspecialisten.
Josh Schwartz: I verkligheten bygger jag ett team så att varje person är expert på något. Den här killen är killen som vet hur man gör fysisk intrång och någon annan är en expert på kryptografi och någon annan är en expert på socialteknik. Att ha varje person som expert innebär att vi kan luta oss på varandra för att effektivt… lösa alla typer av problem.
Dan Costa: Så hur ser en dag på kontoret ut? Vilka typer av saker testar du?
Josh Schwartz: Att vara en hacker är bara en typ av att vara någon som gillar att ta isär system, eller hur? Det är anledningen till att vi inte i sig är kriminella bara genom att vara en hacker.
Så på en dag på kontoret sätter vi upp mål baserade på resultat, på samma sätt som i värsta fall som vi vill se. Vad är stegen för oss att gå från ingenting till att uppnå detta mål som verkligen är dåligt för företaget? Därifrån kan vi bilda något som kallas en "kill chain". En dag på kontoret räknar ut hur man får den kedjan att hända. Sedan tänker vi på de olika platserna där vi kunde bryta den kedjan. Därifrån träffas vi med intressenter, berättar för dem hur angriparna skulle göra det och erbjuder en liten förändring du kan göra för att hjälpa till att fixa det.
Dan Costa: Vad är de vektorer du är mest bekymrad över? Jag vet att jag fortfarande får e-postmeddelanden från IT som säger människor att inte klicka på länkar bifogade i e-postmeddelanden eller e-postbilagor. Var ser du de sårbarheter som fortfarande finns där ute?
Josh Schwartz: Om du klickar på länkar och laddar ner bilagor, kör dem på din dator trots många varningar, är det ett problem. Men vi har utvecklats till en ny era där det nu är tillgång till information som finns i molnet och på olika platser. Om du godkänner åtkomst till någon annan är det också ett problem.
Det slutar vara mer problematisk än något som körs på din dator, för det finns många skydd runt det redan. Nu har vi information som flyter ut där överallt och du har byrå för att kontrollera den. Du har byrå för att ge andra saker tillgång till det, det är typ av hur internet fungerar nu. Angripare, även oss, har skiftat mot sådana saker lite mer.
Dan Costa: Det är ganska extraordinärt även när jag tittar på min egen Google Drive och hur många filer jag har tillgång till som jag egentligen inte borde göra. Jag kan föreställa mig att det är mycket värre i företag som inte är så tekniskt sofistikerade som Ziff Davis och PCMag. Det är inte bara filer som kör skadlig programvara, utan det kan vara företagsdokument eller ekonomiska dokument som du egentligen inte vill att dina konkurrenter ska ha eller slutanvändare eller brottslingar.
Josh Schwartz: Säkerhet, i allmänhet, det är detta holistiska system. Det handlar inte om "Finns det ett fel i systemet där jag ska kasta lite utnyttjande på det och det kommer att explodera" eller något liknande. Det fungerar inte så längre. Det är sammankopplade system, människor, affärsprocesser, tekniken som stöder dem, hur vi känner för det, politik - allt tillsammans… är säkerhet.
Och säkerhet är ofta bara hur du känner för det. Hur tycker du om uppgifterna och informationen? Vilka åtgärder kan du vidta för att skydda det? Om du känner dig starkt till det och ansträngningarna som du gör är mindre än krafterna kring dig som försöker få det, är du osäker. Men om du känner att du anstränger dig tillräckligt och inget dåligt händer, känner du dig säker. Men det finns ingen strömbrytare för säkerhet.
Dan Costa: Låt oss prata lite om hoten. Det verkar för mig att det finns ett par hinkar som folk oroar sig för. Tidigare var hacking en lekfull sak som människor gjorde för att få tillgång till din dator eller krascha din dator. Sedan räknade brottslingar ut hur man skulle tjäna pengar med hjälp av dessa olika tekniker. Men det finns också statliga aktörer och till och med privata företag som har enorma mängder data om människor. Var tror du att de största osynliga hoten finns i säkerhetsutrymmet?
Josh Schwartz: Räkna ut var det största hotet hamnar i slutet med att räkna ut vem du är. Det största hotet mot dig är förmodligen inte det största hotet för mig, vilket inte är det största hotet för något företag någonstans. Det handlar liksom allt om hotmodellering, eller hur? Du väljer inte bara ett största hot och pekar på dem. Du tänker, "Vad är det jag har? Vem kanske vill ha det? Vad ska jag göra med det?" Och försök att vidta åtgärder för att mildra de saker du inte vill hända.
Att bara försöka peka på denna nation är det största hotet eller det här företaget är det största hotet är något som får oss till en liten fälla där vi börjar bygga en hotmodell allt om sak. Och medan vi är så fokuserade på den här lilla saken, så förändras världen runt oss och då blir vi bländiga någonstans längs linjen.
Dan Costa: Många företag har haft enorma dataöverträdelser och de flesta av dem beror på slapp säkerhet eller bara dåliga vanor. Equifax doxade miljoner amerikaner, men det fick verkligen inga konsekvenser. De kommer att betala böter, men alla deras chefer fick bonus. Tror du att det måste göras någon form av förändring när det gäller ansvar?
Josh Schwartz: Tja, jag är en kille som bryter in i datorer, inte en offentlig beslutsfattare, så jag vet inte riktigt. Kanske det skulle förändra saker. Det skulle troligtvis vara förändringar, men på dess grundläggande nivå, att tänka på att en förändring någonstans förändrar allt och att det inte längre finns några problem, tror jag att det är lite kortsiktigt.
Det handlar om hur allt fungerar tillsammans. Det är hur vi bryr oss om det som allmänheten, det är hur företag bryr sig om det. Det är en bit av det, men det är naturligtvis inte hela lösningen. Och jag tror att en av de stora sakerna som vi behöver som teknikutövare eller teknikkonsumenter måste tänka på är att säkerhet inte är någons jobb i ett elfenbenstorn för att vända rätt omkopplare och göra allt perfekt. De mer små förändringar i beteenden som vi kan göra för att göra allt lite säkrare… för alla.
Dan Costa: Hur är dina personliga säkerhetsvanor? Använder du ett VPN? Använder du upptäckt av kommersiell skadlig programvara som inte finns på hyllan?
Josh Schwartz: Det kommer tillbaka till hotmodellen, eller hur? Det beror på vad jag gör då. En VPN skyddar dig från vissa saker, men att ansluta till ett VPN skyddar dig inte mot virus. Att ansluta till ett VPN förändras väsentligen där du är i världen och ibland kan det vara användbart om du behöver det.
Det sätter din trafik in i en liten tunnel och den tunneln tar dig någon annanstans och trafiken kommer ut på någon annan plats. En VPN är användbar om du är lite osäker eller om du inte vill att någon ska veta var du befinner dig. Idén att jag är ansluten till ett VPN och nu är jag säker på internet, inte så sant.
För mig personligen tror jag att det största är lösenordshanterare. De är lite av en ny sak, men om fler människor skulle vara på ett mycket bättre ställe. Det har varit alla dessa överträdelser, eller hur? Du är ganska bekant med dem. Så som en stötande motståndare är de inte privata. Allt som har läckt finns ute på internet. Vi kan sammanställa en stor lista över allt och leta efter lösenord och se vilka lösenord du har använt tidigare.
Sedan, om jag försöker få tillgång till något du har, om jag kan hitta det lösenord du använde tidigare, vet jag lite om dig och jag kan ta den informationen och försöka återanvända den eller försöka gissa vad din nästa lösenord kan vara. Att använda en lösenordshanterare och göra alla lösenord super unika för varje webbplats som du besöker är faktiskt något som är bra och det tar en belastning av den mänskliga hjärnan. Du behöver verkligen bara skydda det på ett ställe, vilket gör säkerheten mycket enklare.
Dan Costa: Vi är stora fans av lösenordshanterare på PCMag, jag har använt LastPass i nästan tio år. När du väl har kommit över det här språnget av att inte veta dina lösenord, är det en sådan lättnad. Det påminner mig också om att vi liksom glömde bort Yahoo-brottet, som läckte massor av användarnamn och lösenord. Det var år sedan och ingen brydde sig verkligen om Yahoo längre, men värdet på det hacket och värdet för cyberbrottslingar är att många människor fortfarande använder de lösenord som de använde på Yahoo för 10 år sedan. Och du kan leta upp vad alla dessa lösenord är vad du säger.
Josh Schwartz: Det handlar om mänskligt beteende. Det beror på att du har vanor som människa och som angripare. Det är ofta vad jag vill utnyttja. Det är inte tekniken. Tekniken kommer att fortsätta att bli bättre och kommer att fortsätta öka säkerheten och bli säkrare, eftersom vi har detta behov av det som driver affärer framåt.
Men mänskligt beteende är något som är vårt ansvar att förändra. Och om vi inte ändrar våra vanor och gör oss själva mer säkra, finns det ingen teknik som kan skydda oss från någonting.
Dan Costa: Finns det andra vanor än en lösenordshanterare som du tror att konsumenterna kommer att behöva anta, särskilt när vi flyttar in på Internet of Things-åldern och allt är så mycket mer anslutet?
Josh Schwartz: Om du tänker på det är det inte längre bara din dator. Det är enheter överallt och vissa vanor. Du kanske tycker att din telefon inte är så viktig, men lösenordet som du sätter i telefonen är i huvudsak ditt lösenord där. Telefonen har tillgång till många av samma saker som din dator kan ha tillgång till. Tänk på allt du berör som interagerar med all data som du vill skydda och se till att du behandlar det lika känsligt som din bärbara dator, skrivbordet eller datorn på jobbet.
Dan Costa: Jag hade ett par personer på RSA förra veckan och de intervjuade en NSA-tjänsteman, som sa: "Oavsett vilken kod som helst för telefonen kan de få åtkomst till telefoner, eftersom de flesta fortfarande inte låser sina telefoner." Det finns många som inte låser sina telefoner alls och de behöver inte någon kryptering för att knäcka det. Det är bara rent användarbeteende.
Josh Schwartz: Eller lösenordet är alla nollor eller alla sådana eller något liknande. Det finns alltid den här idén att när teknologierna går framåt och när ditt lösenord blir fler saker som ditt fingeravtryck eller ditt ansikte eller något sådant, kommer det alltid att finnas en attack och på något sätt. Jag behöver bara hitta dig och peka din telefon mot ditt ansikte eller så måste jag klippa av fingret och sätta det på din telefon.
Dan Costa: Också sett i många filmer.
Josh Schwartz: Ja, men vi gör inte det i dag, vilket är bra.
Dan Costa: Du har slut på teammedlemmar verkligen snabbt på det sättet.
Josh Schwartz: Och fingrar, gör det svårt att skriva.
Dan Costa: De kan arbeta på 10 projekt och sedan är det slutet på det. Så berätta vad du gör, vad är balansen mellan socialteknik och teknisk hacking? Och förändras den blandningen med tiden?
Josh Schwartz: Socialteknik har alltid varit mitt bröd och smör. Det är vägen till minst motstånd mycket ofta. Jag skulle säga att det är en blandning. Mycket av det är rekonstruerat och försöker ta reda på vad som verkligen finns där, men det är intressant. Den sociala tekniska aspekten, det är inte bara i den stötande världen. Om du tänker på hur ett internt rött team finns i ett företag… gör vi en del av den tekniska hackningen och vi använder socialteknik, fysik och allt kombinerat för att försöka genomföra den dödande kedjan, utföra uppdraget.
Men sedan, efteråt, om du tänker på vad säkerhet försöker göra, försöker vi att sociala ingenjörer i stor skala för att få bättre vanor för det större. Många gånger är det berättelsen om vad vi gjorde och att utbilda människor inom… företaget "här är hur det fungerar, här är vad du kan göra för att bli bättre." Det är social teknik. Så verkligen är den stora delen av jobbet socialteknik, eftersom det får människor att bry sig om säkerhet på rätt sätt, göra rätt val, förhoppningsvis bry sig om rätt saker.
Dan Costa: Jag föreställer mig att när folk får e-post från dig att de inte vill svara. Om du ber om något kan jag inte föreställa mig att det första svaret är nej.
Josh Schwartz: Red Team har genomgått lite av en metamorfos under det senaste decenniet. Du börjar på den här platsen där du är extremt motståndare, extremt kränkande, försöker slå trumman och låta alla veta att säkerhet är viktigt och i dessa dagar ser folk dig som en motståndare, för det är ditt jobb.
Jag har haft erfarenheter personligen där jag kommer in i hissen och människor är som "Åh, jag vill inte gå på golvet, eftersom Red Team är här", och jag är som "Jag är inte riktigt dålig kille." Det har förändrats över tid, för i slutändan verkligen arbetar vi alla mot samma mål: skydda information, skydda våra konsumenter. Så när vi arbetar tillsammans och när vi delar information om vad vi har gjort som motståndare, den typen av säkringar och de ser oss som en allierad och en vän, men det tar lite tid att komma dit. Men jag ser en trend i rätt riktning, så det är bra.
Dan Costa: Fantastiskt. Jag kommer att ställa ett par frågor jag ställer alla som kommer på showen. Finns det en teknologetrend som berör dig, något som håller dig uppe på natten?
Josh Schwartz: Det håller mig uppe på natten? Kanske den allestädes närhet och komfort som vi får med all teknik runt oss. Inte så mycket… det verkliga svaret är ingenting som håller mig uppe på natten.
Dan Costa: Du sover bra.
Josh Schwartz: Jag ser de värsta sakerna och det kommer att riskera acceptans där jag är, "Okej, jag vet hur världen är, jag vet vad som är möjligt och jag kommer att vara okej med det." Jag vet att teknik kommer att tillföras mitt liv överallt och jag kommer att göra valet att vara okej med det, men jag kommer att fungera på ett sätt som jag förstår det och jag sover som en baby.
- De bästa gratis lösenordshanterarna för 2019 De bästa gratis lösenordshanterarna för 2019
- Hur ta reda på om ditt lösenord har blivit stulet Hur kan du ta reda på om ditt lösenord har blivit stulen
- Facebook lagrade upp till 600M användarlösenord i vanlig text Facebook lagrade upp till 600M användarlösenord i vanlig text
Dan Costa: Okej, finns det teknik som du använder varje dag eller verktyg eller tjänst som inspirerar undrar?
Josh Schwartz: Tja, det är inte min mobiltelefon, men ärligt talat finns det många saker som är på väg och som jag undrar över och jag känner mig mest otålig. Jag önskar att de skulle komma hit snabbare. Jag är upphetsad över AI: s framtid, maskinlärningens framtid och saker som förhoppningsvis ger oss en mer kopplad värld. Oftast väntar jag på det. Men ingenting överraskar mig verkligen för mycket, tror jag.
Dan Costa: Så, hur kan människor följa det du gör, vad du får berätta för folk offentligt, hur kan de hitta dig online?
Josh Schwartz: Jag går förbi moniker FuzzyNop, så folk kan hitta mig där var som helst.
