Vídeo: La història del Barça segons "Crackòvia": Figo i el cap de porc - Crackòvia - TV3 (De novembre 2024)
En aquest episodi de Fast Forward, dono la benvinguda a Josh Schwartz, cap de l'equip vermell intern de Verizon Media. Això vol dir que passa els dies intentant introduir-se en els sistemes més valuosos i de confiança del seu empleador, idealment abans que algú que no estigui a la nòmina faci el mateix.
Dan Costa: Crec que la gent té una idea vaga de què són els equips vermells; els han vist a les pel·lícules. És tan divertit i emocionant com sembla a la televisió?
Josh Schwartz: Només vull, no? És tenir la responsabilitat d’entrar, d’arribar a llocs. Per descomptat, és força emocionant, però òbviament, a les pel·lícules veus que tot passa instantàniament i, en realitat, no. Es necessita molta feina… no es tracta només de provocar bromes.
En realitat està intentant afectar el canvi dins d'una organització, intentant ajudar a informar l'organització sobre "Què fan realment els dolents?" Aquest paper de formar part de l’equip vermell intern és que, encara que sigui emocionant, encara he d’anar a les reunions, encara he d’establir objectius, coses així.
Dan Costa: Qui són els individus d’aquest equip? Imagino que hi ha molts programadors, però imagino que no només es limita als programadors.
Josh Schwartz: La diversitat de la competència en equip és una cosa que, si no la tenim, no tenim aquesta capacitat. Hi ha una idea errònia molt sovint a causa del que veieu a les pel·lícules, és com, hi ha un tipus de pirata informàtic i ell pot solucionar qualsevol problema tecnològic.
Dan Costa: i hi ha el cotxe, l'especialista en armes.
Josh Schwartz: En realitat, construeixo un equip perquè cada persona sigui experta en alguna cosa. Aquest tipus és el que sap fer intrusions físiques i algú altre és expert en criptografia i algú altre és expert en enginyeria social. El fet que cada persona sigui expert vol dir que ens podem recolzar els uns sobre els altres per solucionar amb eficàcia qualsevol problema d’equip.
Dan Costa: Aleshores, què sembla un dia a l'oficina? Quins tipus de coses estàs provant?
Josh Schwartz: Ser hacker és simplement ser algú a qui li agrada apartar els sistemes, oi? Aquesta és la raó per la qual no som inherentment delinqüents només per ser un pirata informàtic.
Així doncs, en un dia a l’oficina, ens establim objectius basats en resultats, com ara escenaris pitjors que volem veure. Quins són els passos per passar de res per assolir aquest objectiu realment dolent per a l’empresa? A partir d’aquí, podrem formar una cosa que s’anomena “cadena de matar”. Un dia a l'oficina s'està descobrint com fer que aquesta cadena passi. Després pensem en els diferents llocs on podríem trencar aquesta cadena. A partir d’aquí, ens reunim amb les parts interessades, els expliquem com ho farien els atacants i oferim un petit canvi que podeu fer per ajudar a solucionar-ho.
Dan Costa: Quins són els vectors que més et preocupen? Sé que segueixo rebent correus electrònics d’informàtica informant a la gent que no faci clic als enllaços adjunts als correus electrònics o als fitxers adjunts de correu electrònic. On veieu les vulnerabilitats que encara hi ha?
Josh Schwartz: Si feu clic als enllaços i descarregueu fitxers adjunts, els publiqueu a l’ordinador malgrat els molts avisos, aquest és un problema. Però hem evolucionat cap a una nova era on ara és l’accés a la informació que existeix al núvol i a diferents llocs. Si autoritzeu l’accés a algú altre, també és un problema.
Això acaba sent més problemàtic que alguna cosa que s’executa a l’ordinador, ja que hi ha moltes proteccions al voltant. Ara tenim informació que flota per tot arreu i teniu agència per controlar-la. Teniu agència per concedir-li accés a altres coses, és com funciona ara internet. Els atacants, nosaltres inclosos, ens hem orientat cap a coses així.
Dan Costa: És força extraordinari, fins i tot mirant el meu propi Google Drive i quants fitxers tinc accés als que realment no hauria de fer. Imagino que és molt pitjor en empreses no tan sofisticades tecnològicament com Ziff Davis i PCMag. No només es tracta d’arxius amb programari maliciós, sinó que es poden tractar de documents corporatius o documents financers que realment no volen que els vostres competidors tinguin o usuaris finals o delinqüents.
Josh Schwartz: La seguretat, en general, és aquest sistema holístic. No es tracta de "Hi ha un error en el sistema on vaig a llançar algunes explotacions i explotarà" o alguna cosa així. Ja no funciona així. Es tracta de sistemes interconnectats, persones, processos comercials, la tecnologia que els suporta, com ens sentim al respecte, política, tot junt… és seguretat.
I la seguretat, sovint, és només com us sentiu. Com et sents de les dades i de la informació? Quins passos podeu fer per protegir-lo? Si us sentiu fortament i els esforços que poseu són menys que els esforços de les forces que l’envolten intentant aconseguir-ho, aleshores esteu insegurs. Però si teniu ganes de fer un esforç suficient i no passa res dolent, us sentireu segurs. Però no hi ha cap interruptor encès / apagat per a seguretat.
Dan Costa: Parlem una mica de la naturalesa d’aquestes amenaces. Em sembla que hi ha un parell de galledes que es preocupen. La pirateria era una cosa lúdica que la gent feia per accedir al vostre ordinador o fer cagar-lo. A continuació, els delinqüents van esbrinar com guanyar diners mitjançant aquestes diferents tècniques. Però també hi ha actors estatals i fins i tot empreses privades que tenen una quantitat enorme de dades sobre persones. On creus que hi ha les amenaces més grans que no es veuen a l’espai de seguretat?
Josh Schwartz: esbrinar on es troba la major amenaça és esbrinar qui ets. La major amenaça per a vosaltres probablement no és la major amenaça per a mi, que no és la major amenaça per a alguna empresa en algun lloc. Es tracta d’una mena de models sobre amenaces, oi? No escolliu una amenaça més gran i apunteu-los. Penses: "Què és el que tinc? Qui ho pot voler? Què he de fer al respecte?" I intenta emprendre accions per mitigar les coses que no voldreu passar.
Simplement intentar assenyalar aquesta nació és l’amenaça més gran o aquesta companyia és la major amenaça és una cosa que ens converteix en una mica de trampa on comencem a construir un model d’amenaça sobre tot. I mentre estem tan concentrats en aquesta cosa petita, el món que ens envolta canvia i, a continuació, ens quedem cegats en algun lloc.
Dan Costa: Moltes empreses han tingut incompliments massius de dades i la majoria es deuen a la seguretat laxa o només a mals hàbits. Equifax va destrossar milions d’americans, però realment no hi va haver conseqüències. Van a pagar una multa, però tots els seus directius van obtenir bonificacions. Creus que hauria d’haver-hi algun canvi en termes de rendició de comptes?
Josh Schwartz: Bé, sóc un tipus que discuteix en ordinadors, no un responsable de polítiques públiques, així que no ho sé realment. Potser això canviaria les coses. Probablement, hi haguessin canvis, però en el seu nivell fonamental, pensant que un canvi en algun lloc canvia tot i que ja no hi ha cap problema, crec que és una mirada curta.
Es tracta de com funciona tot plegat. És com ens importa com a públic, és com els importen les empreses. És una peça, però no és tota la solució, per descomptat. I crec que una de les grans coses que necessitem com a professionals de la tecnologia o com a consumidors de tecnologia han de pensar és que la seguretat no és el treball d’algú en una torre d’ivori per colpejar el canvi correcte i fer-ho tot perfecte. Els canvis més petits de conducta que podem prendre per ajudar a fer que tot sigui una mica més segur… per a tothom.
Dan Costa: com són els vostres hàbits de seguretat personal? Feu servir una VPN? Feu servir la detecció de programari maliciós comercial fora de la plataforma?
Josh Schwartz: Torna al model d’amenaça, oi? Depèn del que faig en aquell moment. Una VPN us protegeix d’algunes coses, però la connexió a una VPN no us protegeix dels virus. La connexió a una VPN canvia fonamentalment allà on esteu al món i, de vegades, pot ser útil si ho necessiteu.
Posa el trànsit dins d’un petit túnel i aquest túnel et porta a un altre lloc i el trànsit surt en algun altre lloc. Una VPN és útil si la vostra ubicació és poc segur o no vol que algú sàpiga on esteu. La idea que estic connectat a una VPN i ara estic segur a Internet, no és tan certa.
Per a mi personalment, crec que el més important són els administradors de contrasenyes. Són una cosa nova, però si hi ha més gent, estarien en un lloc molt millor. Hi ha hagut tots aquests incompliments, oi? Els coneixes força. Per tant, com a adversari ofensiu, aquests no són privats. Tot el que s'ha filtrat es troba a Internet. Podem conservar una gran llista de tot i buscar contrasenyes i veure quines contrasenyes heu utilitzat abans.
Aleshores, si intento accedir a alguna cosa que tingueu, si puc anar a cercar la contrasenya que heu utilitzat abans, sé una mica de vosaltres i puc agafar aquesta informació i intentar reutilitzar-la o intentar endevinar quina és la vostra pot ser la següent contrasenya Utilitzar un gestor de contrasenyes i fer que totes les contrasenyes siguin uniques per a tots els llocs que visiteu és realment una cosa que és bo i es necessita una càrrega del cervell humà. Només heu de protegir-la en un sol lloc, la qual cosa fa que la seguretat sigui molt més senzilla.
Dan Costa: som grans fans dels gestors de contrasenyes de PCMag, porto gairebé 10 anys utilitzant LastPass. Una vegada que superes aquest salt de no conèixer les contrasenyes, és tan alleugeridor. També em recorda que ens hem oblidat de l’incompliment de Yahoo, que va filtrar nombres d’usuari i contrasenyes. Feia anys i a ningú ja no li importava gaire Yahoo, però el valor d’aquest hack i el valor dels ciberdelinqüents és que molta gent encara utilitza les contrasenyes que van fer servir a Yahoo fa 10 anys. I podeu buscar quines són aquestes contrasenyes és el que dius.
Josh Schwartz: Es tracta del comportament humà. Es redueix al fet que teniu hàbits com a humà i com a atacant. Això és sovint el que estic buscant explotar. No és la tecnologia. La tecnologia continuarà millorant i continuarà augmentant la seguretat i tornant a ser més segura, perquè tenim aquesta necessitat que impulsa el negoci cap endavant.
Però el comportament humà és una mena de la nostra responsabilitat de canviar. I si no canviem els nostres hàbits i ens fem més segurs, no hi ha cap tecnologia que ens pugui protegir de qualsevol cosa.
Dan Costa: Hi ha altres hàbits que no pas un gestor de contrasenyes que creieu que hauran d’adoptar els consumidors, sobretot a mesura que ens movem a l’edat d’Internet of Things i tot està molt més connectat?
Josh Schwartz: Si hi penses, ja no és només el teu ordinador. Es tracta d’aparells arreu i certs hàbits. Potser penseu que el vostre telèfon no és tan important, però la contrasenya que heu posat al telèfon és essencialment la vostra contrasenya. El telèfon té accés a moltes de les mateixes coses a les quals podria tenir accés l’ordinador. Pensant en tot allò que toqueu, que interaccioni amb totes les dades que voldríeu protegir i assegureu-vos que el tracteu de manera tan sensible com el vostre ordinador portàtil o l’escriptori o l’ordinador que funciona.
Dan Costa: La setmana passada vaig tenir un parell de persones a RSA i em van entrevistar amb un funcionari de la NSA, que va dir: "Independentment del xifrat del telèfon, poden accedir a telèfons, perquè la majoria de la gent encara no bloqueja els telèfons". Hi ha molta gent que no bloqueja els telèfons, i no necessita cap xifratge per aixecar-ho. Això només és un pur comportament dels usuaris.
Josh Schwartz: O tots els zero o la resta de la contrasenya o alguna cosa així. Sempre hi ha aquesta idea que a mesura que avancen les tecnologies i a mesura que la vostra contrasenya esdevingui més coses com ara l’empremta digital o la cara o alguna cosa així, sempre hi haurà algun atac i alguna manera d’envoltar-lo. Només necessito trobar-te i apuntar el telèfon a la cara o necessito tallar-te el dit i posar-ho al telèfon.
Dan Costa: també es veu en moltes pel·lícules.
Josh Schwartz: Sí, però no ho estem fent avui dia, cosa que va bé.
Dan Costa: Us heu quedat sense membres amb molta rapidesa d'aquesta manera.
Josh Schwartz: I els dits, fa que sigui difícil d'escriure.
Dan Costa: Poden treballar en 10 projectes i, tot seguit, ha acabat. Aleshores, digueu-me en termes de què feu, quin és l'equilibri entre l'enginyeria social i la pirateria tècnica? I aquesta barreja canvia amb el pas del temps?
Josh Schwartz: L’enginyeria social sempre ha estat el meu pa i mantega. És el camí de menys resistència molt sovint. Diria que és una barreja. Molta cosa és reconèixer-ho, intentant esbrinar què hi ha realment, però és interessant. L’aspecte d’enginyeria social, no es troba només en el món ofensiu. Si teniu pensat en com existeix un equip vermell intern a l’interior d’una empresa… fem alguna de les pirateries tècniques i utilitzem enginyeria social, física i tot el que es combina per intentar executar aquesta cadena de morts, complir la missió.
Però, després, si penses en què intenta la seguretat és intentar enginyar a tots els homes a escala per tenir millors hàbits per al bé. Moltes vegades, és explicar la història del que vam fer i educar la gent dins… la companyia "aquí funciona, funciona el que podeu fer per ser millors". Això és enginyeria social. Així, realment, la gran part del treball és l’enginyeria social, perquè s’està fent que la gent es preocupi per la seguretat de les maneres correctes, faci les eleccions correctes, espero que es preocupin per les coses correctes.
Dan Costa: M'imagino que quan la gent us envia correus electrònics que no vol respondre. Si em demanen alguna cosa, no m’imagino que la primera resposta és que no.
Josh Schwartz: Els equips vermells han passat per una mica de metamorfosi durant l'última dècada. Començes en aquest lloc on ets extremadament adversari, extremadament ofensiu, que intenta tocar el tambor i que tothom sàpiga que la seguretat és important i, en aquests dies, la gent et veu com un adversari, perquè bé, aquesta és la teva feina.
Personalment he tingut experiències on entro a l'ascensor i la gent és com "Oh, no vull anar al meu pis, perquè el Red Team és aquí", i jo com "no sóc el veritable mal paio." Això ha canviat amb el pas del temps, perquè al final, realment, estem treballant cap al mateix objectiu: protegir la informació, protegir els nostres consumidors. Així, mentre treballem junts i mentre compartim informació sobre el que hem fet com a adversaris, aquest tipus de fusibles i ens veuen com un aliat i un amic, però es triga un temps a arribar-hi. Però estic veient una tendència en la direcció correcta, així que és bo.
Dan Costa: Genial. Vaig a fer-vos dues preguntes que faig a tothom que vingui al programa. Hi ha alguna tendència tecnològica que et preocupa, alguna cosa que et mantingui al dia?
Josh Schwartz: Això em manté a la nit? Potser la ubiqüitat i la comoditat que obtenim amb tota la tecnologia que ens envolta. No tant… en realitat, la veritable resposta és que res no em manté al dia.
Dan Costa: dormes bé.
Josh Schwartz: Veig les coses pitjors i es redueix a l’acceptació de risc allà on estic com “està bé, sé com és el món, sé què és possible i vaig a estar bé”. Sé que la tecnologia s’infondrà a la meva vida a tot arreu i vaig a triar la decisió d’estar bé, però vaig a operar d’una manera que ho entengui i dormir com un nadó.
- Els millors gestors de contrasenyes gratuïtes per al 2019 Els millors gestors de contrasenyes gratuïtes per al 2019
- Com esbrinar si se us ha robat la vostra contrasenya Com esbrinar si us han robat la vostra contrasenya
- Facebook Emmagatzematge de contrasenyes d’usuari de fins a 600 milions en text normal Facebook Contrasenyes d’usuari de fins a 600 milions en text pla
Dan Costa: D’acord, hi ha tecnologia que utilitzeu cada dia o una eina o servei que inspira meravella?
Josh Schwartz: Bé, no és el meu telèfon mòbil, però sincerament hi ha moltes coses que estan pendents i que em pregunto i sobretot em sento impacient. Voldria que arribessin aquí més ràpidament. Estic emocionat pel futur de l’IA, el futur de l’aprenentatge automàtic i de coses que, amb sort, ens donaran un món més connectat. Majoritàriament, només l’espero. Però res realment em sorprèn, crec.
Dan Costa: Llavors, com pot seguir la gent que fa, el que se li permet dir a la gent públicament, com poden trobar-te en línia?
Josh Schwartz: Vaig pel moniker FuzzyNop, de manera que la gent em pot trobar a qualsevol lloc.