211service.com
Keren Elazari par hakeru nozīmi
Kā domāšana par izpalīdzīgiem hakeriem kā interneta imūnsistēmu var padarīt jūsu drošību spēcīgāku un labāk sagatavot un aizsargāt jūsu digitālo klātbūtni.
2019. gada 1. augusts
Kiberdrošības attīstība ir saistīta ar hakeru kopienas attīstību. Kerena Elazari, kiberdrošības analītiķe un Telavivas Universitātes Starpdisciplinārā kiberpētniecības centra vecākā pētniece, savā 2014. gada TED runā izglītoja pasauli par to, cik svarīgi ir attīstīt draudzīgus hakerus interneta aizsardzībā. Šodien viņa pēta aktuālākos kiberdrošības draudus un to, kā novērst šos pārkāpumus.
Šajā epizodē Elazari dalās savā stāstā par to, kā jaunā sieviete Izraēlā kļuva par hakeri, un stāsta par iespējām, ko viņa ieguva, kļūstot par nozīmīgu spēlētāju globālajā hakeru kopienā. Viņa paskaidro, kā uzņēmumi, organizācijas un valdības tagad sadarbojas ar izpalīdzīgiem hakeriem, veidojot kļūdu novēršanas programmas un citas iniciatīvas. Elazari skaidro padomus par to, kas uzņēmumiem būtu jāmeklē saistībā ar kiberdraudiem.
Biznesa laboratoriju vada Elizabete Bremsone-Bodro, MIT Technology Review izpilddirektore un izdevēja. Raidījumu veido Ketrīna Gormena ar Emīlijas Taunsendas un Mindijas Blodžetas redakcionālu palīdzību. Mūzikas autors Merlīns no Epidemic Sound.
Rādīt piezīmes un saites:
Telavivas kibernedēļa: https://cyberweek.tau.ac.il/2019/
Kerena vietne: https://www.k3r3n3.com
Kerenas Twitter: https://twitter.com/k3r3n3
Teds Talks: https://www.youtube.com/watch?time_continue=2&v=JpFFb1jEUf0
PILNS TRANSKRĪTS
No MIT Technology Review es esmu Elizabeth Bramson-Boudreau, un šī ir Business Lab, izrāde, kas palīdz uzņēmumu vadītājiem saprast jaunās tehnoloģijas, kas nāk no laboratorijas un nonāk tirgū.
Tik ilgi, kamēr mums ir datorsistēmas, ir bijuši tādi, kas cenšas izlauzties cauri aizsardzībai, taču šiem hakeriem var būt arī noderīga loma kiberdrošības nepilnību noteikšanā un nākotnes draudu noteikšanā.
Šī ir pēdējā sērija mūsu sērijā par kiberdrošību. Un šodien mēs runājam par uzlaušanu.
Kopš interneta pirmsākumiem ir bijuši draudzīgi kibereksperti, tostarp mūsu viesi, un šie hakeri ir bijuši ļoti svarīgi interneta imūnsistēmas veselībai. Kerena Elazari ir kiberdrošības analītiķe un vecākā pētniece Telavivas Universitātes Starpdisciplinārā kiberpētniecības centrā.
Elizabete Bremsone-Budro: Keren, laipni lūdzam Business Lab.
Forši Elazari: Sveiki. Es priecājos būt šeit. Priecājos izmantot šo iespēju, lai runātu par to, ko mēs varam mācīties no hakeriem un kā hakeriem patiesībā ir izšķiroša nozīme mūsdienu informācijas sabiedrībā.
Elizabete: Labi. Tātad tas ir lieliski. Sāksim, jo es patiešām vēlos runāt par hakera jēdzienu kā par kaut ko cildinošu. Es domāju, ka daudzi cilvēki ir uzskatījuši, ka hakeri draud, un jūs uz to raugāties no pavisam cita skatu punkta. Pirms mēs iedziļināmies tajā un runājam par jūsu skatījumu, vai varat pastāstīt mums mazliet par sevi un to, kā jūs esat kļuvis par šādu līderi un kaut kā noteicāties par šo tēmu?
Forši: Protams, Elizabete. Es sāku savu ceļu kiberpasaulē, digitālajā sfērā, ja vēlaties, ļoti jaunībā. Man bija apmēram 11 vai 12 gadi, kad mēs pirmo reizi ieguvām piekļuvi internetam Izraēlā, Telavivā, kur es uzaugu. Un es lūdzu saviem vecākiem savu datoru, ar kuru varētu izveidot savienojumu ar internetu. Tajos laikos jums tas bija jāizdomā pašam, kā panākt, lai modems darbotos, kā iezvanīt pareizos serverus, kā konfigurēt datoru.
Un tad, kad bijāt tiešsaistē, jums patiešām bija jāatrod savs ceļš. Un, par laimi, es atradu savu ceļu ar tērzētavām un tiešsaistes grupām cilvēkiem, kuri tāpat kā es aizraujas ar tehnoloģijām. Un es mācījos angļu valodu, rakstot un runājot ar šiem cilvēkiem tērzētavās, kuriem nebija ne jausmas, ka viņi runā ar 13 gadus vecu meiteni no Telavivas.
Viņiem es biju tikai vēl viens hakeris, tikai vēl viena tiešsaistes personība aiz segvārda. Un tieši šajās tiešsaistes telpās es iemācījos novērtēt, cik zinātkāri, cik radoši un inovatīvi var būt cilvēki, kas sevi dēvē par hakeriem. Un ap 1995. gadu mana dzīve patiešām mainījās, jo tad es redzēju filmu 'Hakeri' ar Andželīnu Džoliju, kas attēlo niknu vidusskolas hakeri. Un, kad es redzēju šo filmu, es patiešām sazinājos. Es uzreiz sasaucos ar stāstu, ko rādīja šī filma.
Un tas bija stāsts par šo vidusskolas hakeru grupu, kas visi ir mazliet dīvaini vai nepiederoši cilvēki. Bet kopā kā grupa viņi faktiski novērsa ekoloģisko katastrofu. Viņi atklāja korporatīvo korupciju. Viņi FIB parādīja, kur slēpjas īstais kibernoziedznieks.
Un tieši šī bērnu grupa izskatījās līdzīgi kā es un klausījās to pašu mūziku, ko es, un kuriem bija tāda pati ideoloģija, kāda bija man. Tā ir bērnu grupa, kas man parādīja, ka esmu hakeris, patiesībā var nozīmēt, ka jūs esat stāsta varonis. Par laimi, es varēju pieņemt šo hakera kā varoņa tēlu un šīs jaunās, varenās sievietes tēlu, ko attēlo Andželīna Džolija, un pārvērst to par savu realitāti. Es nolēmu, ka tas būs mans paraugs un ka es vēlētos būt draudzīgs hakeris, kas palīdz organizācijām un valstīm izprast drošības problēmas, lai mēs varētu izveidot labākas sistēmas un novērst katastrofālus iznākumus no tā. par kiberuzbrukumiem.
Visā manā karjerā, kopš tiem, jūs zināt, 90. gadu vidus, es vienmēr esmu ievērojis šādu viedokli. Tagad esmu strādājis ar dažāda veida organizācijām, ar valsts aģentūrām. Es dienēju Izraēlas armijā. Es strādāju ar vadošajiem Izraēlas tehnoloģiju uzņēmumiem. Un visās šajās vietās es atklāju hakeru viedokli un jo īpaši draudzīgo hakeru viedokli — kā mēs faktiski varam atrisināt šo problēmu? Kā mēs varam izveidot kaut ko labāku? Tā ir perspektīva, kas man ir bijusi pēdējo, šķiet, 25 gadu laikā, gandrīz savas karjeras laikā kiberdrošības pasaulē.
Elizabete : Es domāju, ka intuitīvi es saprotu, kāpēc hakeri ir sava veida nepiederoši cilvēki un, ziniet, citē bezcitātos 'dīvaiņi'. Bet kas šajā kopienā ir tas, kas padara to tik, bieži, tik ideoloģiski vadītu?
Forši: Mans viedoklis ir, ka hakeri mēdz būt nepiederoši. Jā. Taču mēs arī mēdzam būt ārkārtīgi aizrautīgi pret tehnoloģijām. Un tas dažkārt var novest pie apgrūtinošiem rezultātiem, ja hakeru grupa konstatē problēmu un mēs cenšamies to novērst, taču nesaņemam vajadzīgo uzmanību vai arī mūs nekavējoties apzīmē par noziedzniekiem vai vandāļiem. Un tas daudzkārt noved pie tāda rezultāta, kad cilvēki uzskata, ka mums ir potenciāli ļaunprātīgs skatījums. Daudziem hakeriem, kurus es pazīstu, varbūt nav viena un tā pati ideoloģija, taču visiem ir ļoti kaislīgi ideāli par tehnoloģiju lomu mūsu dzīvē, lomu saistībā ar piekļuvi informācijai par šo ideju, ka cilvēkiem ir jābūt piekļuvei zināšanām un informāciju, ka tehnoloģijām nevajadzētu piederēt tikai lieliem uzņēmumiem un ne tikai cilvēkiem ar lielu naudu vai privilēģijām, bet arī internetam un tehnoloģijām, kas būtu jādemokratizē. Un es domāju, ka šī ir ideoloģija, ko jūs atradīsit ar daudziem hakeriem.
No kurienes tas nāk? ir labs jautājums. Un nav tā, ka katram hakeram būs viens un tas pats viedoklis vai ideoloģija. Bet vēl 80. gados bija šis maģiskais dokuments, kas izplatīja BBS, ziņojumu dēļu sistēmas un vēlāk agrīnos tīmekļa žurnālus, un šo dokumentu sauca par “Hakeru manifestu”. Un 'Hakeru manifestā' persona, kas to uzrakstīja, runā par cilvēkiem, kuri interesējas par tehnoloģijām kā par hakeriem, par cilvēkiem, kuri vēlas izpētīt digitālo pasauli, lai iegūtu visu, kas tajā ir pieejams bez jebkādiem šķēršļiem, un ka tie ir cilvēki, kuri sauc sevi par hakeriem. Tātad šī ideoloģija radās. Protams, 90. gados bija arī diezgan daudz noziedzīgu elementu un jo īpaši organizētās noziedzības, kas izmantoja jauno potenciālu, ko viņiem var piedāvāt internets un tehnoloģiju pasaule. Un šos cilvēkus vajadzētu saukt par kibernoziedzniekiem. Viņi var izmantot uzlaušanas prasmes vai uzlaušanas iespējas, taču viņiem ne vienmēr ir tādas pašas ideoloģijas, kādas ir hakeriem, ar kuriem es uzaugu un kurus pārstāvu.
Elizabete: Parunāsim nedaudz vairāk par šo ideju par draudzīgo hakeru. Business Lab klausītāji vada uzņēmumus un ir ļoti nobažījušies par šī uzņēmuma drošību pret kiberdraudiem. Tas ir jūsu viedoklis, un es vēlētos uzzināt vairāk par to, ka hakeri var palīdzēt atrast tehniskas problēmas un var darboties kā imūnsistēma. Tātad, ko jūs teiktu cilvēkiem, kuri vada savus uzņēmumus?
Kā viņiem būtu jādomā par hakeru pasaulēm un par ko viņiem būtu jādomā, kad viņi ir nobažījušies par kiberdrošību un šāda veida lēmumiem, kas viņiem būtu jāpieņem par lielākas drošības uzturēšanu vai veicināšanu šajos uzņēmumos?
Forši: Pilnīgi noteikti. Tāpēc es uzskatu, ka hakeri var būt imūnsistēma mūsu jaunajai savienotajai realitātei. Tiem aplādes klausītājiem, kuri vēlas par to uzzināt vairāk, iesaku izlasīt manu TED 2014 runu, kuras nosaukums ir “Hakeri ir interneta imūnsistēma”.
Kopš 2014. gada esmu dalījies ar šo vēstījumu, ka hakeri var būt noderīgi sabiedrotie ar dažādām organizācijām un cilvēkiem. Un pārsteidzoši, ka pēdējos pāris gados arvien vairāk uzņēmumu ir atklājuši, ka ir vērtīgi strādāt ar draudzīgo hakeru ekosistēmu. Un viens lielisks veids, kā tas patiesībā notiek, ir parādība, kas pazīstama kā kļūdu novēršanas programmas. Tātad šīs kļūdu novēršanas programmas — ko dažkārt dēvē arī par ievainojamības atklāšanas programmām vai ievainojamības atlīdzības programmām — patiesībā ir sistēmas, kuras pārvalda ļoti lieli uzņēmumi, tādi uzņēmumi kā Google, Facebook, Yahoo, Microsoft, Samsung un pat uzņēmumi, kas nav tikai tehnoloģiju uzņēmumi, uzņēmumi. piemēram, United Airlines vai Western Union vai pat Starbucks, kafijas ķēde. Visiem šiem uzņēmumiem faktiski ir kļūdu novēršanas programma.
Un tas nozīmē, ka viņi aktīvi aicina draudzīgus hakerus apskatīt viņu produktu neatkarīgi no tā, vai tā ir viņu lietotne vai vietne. Tā varētu būt automašīna. Tesla gadījumā tai ir ilgstošas attiecības ar hakeriem. Un viņi būtībā saka hakeriem: Paskatieties uz mūsu produktu.
Ja atrodat ievainojamības, ja varat atklāt drošības trūkumus un ja varat mums pastāstīt par šīm problēmām, mēs jūs atlīdzināsim par jūsu pūlēm, un šīs atlīdzības, šīs balvas, tās var būt naudas veidā, kas samaksāta ar priekšapmaksas kredītkartēm vai piemēram, debetkartes, taču tās var būt arī nemonetārs atlīdzības veids, kam hakeru ekosistēmā faktiski ir liela simboliska vērtība. Tā, piemēram, tas varētu būt swags, t-krekli vai cepures vai unikāla pieredze.
Piemēram, es atceros kādu gadu, kad Microsoft izņēma vienu no lielākajiem klubiem Lasvegasā un rezervēja vienu no lielākajiem DJ un piekļuvi šai ballītei. Un tas klubs ar šo superzvaigzni Dīdžeju tika atļauts tikai tiem pētniekiem, tiem draudzīgajiem hakeriem, kuri atklāja ievainojamības un atklāja tās Microsoft programmai. Citā gadījumā…
Elizabete: Tātad tas kļuva par statusa lietu, sava veida goda zīmi, lai tiktu uzaicināts?
Forši: Noteikti ir statusa elements. Un patiesībā viens no iemesliem, kāpēc kļūdu novēršanas programmas ir tik veiksmīgas, ir tas, ka tās faktiski ir izveidojušas sociālos tīklus ar hakeriem, kas sacenšas līderu sarakstā. Var teikt, ka tas ir izspēlēts un hakeri sacenšas par pirmo vietu to hakeru pirmajā pieciniekā vai desmitniekā, kuri ir atraduši ievainojamības konkrētajā vietnē vai programmā. Dažos gadījumos ir vēl vairāk īpašu atlīdzību, kas tiek piešķirtas tikai labākajiem hakeriem konkrētajā programmā. Piemēram, Teslai ir izaicinājuma monēta, un tā ir gandrīz kā medaļa, un tās ir tikai 20 no šīm Tesla izaicinājuma monētām pasaulē, un tās tiek izsniegtas tikai tiem labākajiem hakeriem, kas palīdz Teslai. Patiesībā pagājušajā vasarā es redzēju Elonu Masku klātienē apmeklējam lielāko hakeru konvenciju pasaulē, pasākumu ar nosaukumu DEF CON, kas katru gadu notiek Lasvegasā. Un Elons Masks ieradās tur kopā ar savu komandu un Tesla un SpaceX inženieru vadītājiem, lai runātu ar tiem talantīgajiem hakeriem, kuri varēja atrast Tesla produkta ievainojamības. Protams, varbūt tas nav pārsteigums, ka tāds inovatīvs uzņēmums kā Tesla vai arī Silīcija ielejas milži, piemēram, Facebook un Microsoft, strādā ar hakeriem. Taču pēdējo pāris gadu laikā tādas organizācijas kā Pentagons un Amerikas Savienoto Valstu Aizsardzības departaments arī uzsāka savu programmu Hack the Pentagon. Un šī kļūdu novēršanas programma patiešām ir izrādījusi lielisku iniciatīvu, lieliskus rezultātus. Kopš tās pirmās palaišanas brīža līdz šim gadam Pentagona vietnēs ir bijis tik daudz ievainojamību, kas tika atklātas, izmantojot šo programmu. Tātad tas nozīmē, ka noziedznieki, spiegi, ļaundari, kas atrod ievainojamību, viņi jums nestāstīs par to, ko viņi atklāja. Un, veidojot šīs programmas, mēs efektīvi ļaujam šai imūnsistēmai. Mēs efektīvi sniedzam šiem draudzīgajiem hakeriem ceļu, likumīgu juridisku ceļu, lai ziņotu par saviem atklājumiem un palīdzētu mums kļūt drošākiem.
Un es esmu ļoti kaislīgs un cerīgs par šo kļūdu novēršanas programmu turpmāku ieviešanu. Un es domāju, ka katram uzņēmuma vadītājam ir sev jāuzdod jautājums, vai mums ir tāda iespēja draudzīgiem hakeriem ziņot mums par saviem atklājumiem?
Elizabete: Man ir pāris jautājumi. Vai ir īpaši kļūdu veidi, kuru meklēšanai ir vispiemērotākās šīs balvas programmas? Un, otrkārt, kā uzņēmumu vadītāji, kuri nepārvalda Tesla vai Facebook, ir ārkārtīgi lieli uzņēmumi ar labiem resursiem? Kā viņi ieguva piekļuvi šāda veida programmai?
Forši: Tā ka tie ir lieliski jautājumi. Es esmu ļoti priecīgs runāt par kļūdu kompensācijām tik ilgi, cik vēlaties, jo tas patiesībā ir bijis pētījuma pamatā, pētnieciskajā darbā, ko esmu veicis Telavivas Universitātes Kiberpētniecības centrā pēdējos pāris gados. . Un viena no lietām, ko atklājām, ir tas, ka šīm programmām ir liela vērtība, ja produkts, kas tiek testēts, vai platforma, kas tiek aplūkota, jau ir publiski pieejama. Tātad, ja jums ir vietne, piemēram, ja esat United Airlines un cilvēki pērk aviobiļetes jūsu vietnē, jums jau ir pieejams ļoti publiski pieejams produkts, kas darbojas tīmeklī. Un, ja jums ir šāds produkts, ir ļoti noderīgi, ja visi hakeri identificē ievainojamības. Starp citu, United Airlines gadījumā viņi naudu neizmaksā. Viņi maksā gaisa jūdzes. Un cilvēki ir nopelnījuši miljoniem jūdžu, atrodot ievainojamības United Airlines vietnē. Citā gadījumā, ja runa ir par lietotnēm vai tīmekļa sistēmām vai pat, kā jau minēju iepriekš, ar automašīnām, ar Tesla automašīnām iebūvētām sistēmām, ja ir patērētājam paredzēts produkts, kurā ir daudz tehnoloģiju vai kad šis produkts. ir tīmeklī vai tā ir mobilā lietotne, ir piemērots laiks, lai piesaistītu šo draudzīgo hakeru palīdzību, izmantojot kļūdu novēršanas programmu formātu. Tagad jūs jautājāt, kā mazās organizācijas var baudīt šo labumu? Ir dažādi veidi. Ir svarīgi saprast, ka šodien pastāv platformas, kas faktiski ir starpnieks šajās attiecībās ar šiem hakeriem. Es minēju, ka tas ir gandrīz kā sociālie tīkli ap to. Divas vadošās platformas sauc HackerOne un Bugcrowd.
Ir vairāki citi uzņēmumi, taču šīs ir divas lielākās platformas, un tās faktiski ir starpnieks daudzās kļūdu novēršanas programmās, un tām ir vairāk nekā 100 000 draudzīgu hakeru, kas reģistrē un izmanto šīs platformas. Tātad tā ir piekļuve daudziem hakeriem. Tātad tā būtu vieta numur viens, kuru ieteiktu apskatīt. Otrkārt, ir svarīgi saprast, ka pat neliela organizācija var kaut kādā veidā iesaistīties darbā ar draudzīgiem hakeriem.
Pirmkārt, ir starptautisks standarts koordinētai ievainojamības atklāšanai, un tas ir starptautiskais standarts CVD koordinētai ievainojamības atklāšanai. Un es varu uzmeklēt šī standarta numuru, lai varētu dalīties tajā ar jūsu klausītājiem.
Tagad, izņemot to, ir vēl viens projekts, ko sauc par security.txt. Un projektā security.txt būtībā teikts, ka, ja jums ir vietne vai patērētājiem paredzēta tehnoloģija, jums ir jāpārliecinās, vai kaut kur jūsu vietnē ir fails, ko sauc par security.txt un faktiski ir informācija par to, ar ko cilvēkiem vajadzētu sazināties, ja viņi jūsu vietnē atrod drošības ievainojamību. Jūs būtu pārsteigts, cik reizes vienkāršā lieta, tikai turot pareizo kontaktinformāciju, ļauj draudzīgam hakeram sazināties un pateikt: 'Es atklāju problēmu jūsu vietnē, es atklāju kļūdu jūsu vietnē. kodu. Jūs varētu vēlēties par to uzzināt.
Elizabete: Taisnība. Tam ir liela jēga. Tāpēc es vēlos mazliet pievērsties kiberdrošības apdraudējumiem, kas nav saistīti tikai ar datoriem vai tīkliem. Un es domāju, ka, ziniet, daudzi mūsu klausītāji apzinās, ka draudi tikai pieaug, līdz ar to un savienoto ierīču izplatību. Runājiet par to un to, ko hakeru kopiena dara un varētu darīt, lai sniegtu lielāku atbalstu un palīdzētu uzņēmumu vadītājiem.
Forši: Pilnīgi noteikti. Pirms to daru, es tikai vēlos pieminēt, ka starptautiskais standarts, par kuru es runāju iepriekš, ir ISO 29147. Tātad tas ir starptautiskais standarta numurs 29 147, kas patiesībā ir starptautisks standarts koordinētai ievainojamību atklāšanai, no kura jebkura organizācija var mācīties, pielāgot un piemērot. viņu biznesam. Tāpēc es tikai gribēju sniegt jums informāciju par to. Tagad, runājot par jautājumu, es domāju, ka jūs patiešām trāpījāt naglai uz galvas. Tiešām vairs nav runa par informācijas sistēmām vai, ziniet, mūsu tālruņiem vai datoriem.
Ir patiešām tik daudz jaunu savienotu tehnoloģiju, kurām mēs katru dienu uzticamies savām dzīvēm, neatkarīgi no tā, vai tās ir savienotas mājas slēdzenes un novērošanas sistēmas, piemēram, tīmekļa kameras, vai lietas, uz kurām mēs paļaujamies, lai savlaicīgi saņemtu savu automašīnu, navigācija. instrumenti, uz kuriem paļaujamies, lietas, uz kurām paļaujas lidmašīnas, medicīnas tehnoloģijas. Un tas ir lieliski, patiesībā tas ir iemesls, kāpēc mēs savā nozarē tagad runājam par kiberdrošību, nevis par informācijas drošību, jo tas vairs nav par noslēpumu vai mūsu paroļu vai kredītkaršu numuru aizsardzību. Tas patiešām ir par visu šo kiberfiziski savienoto sistēmu aizsardzību. Tagad, kad runa ir par šīm iot ierīcēm, lietu interneta ierīcēm. Šeit es domāju, ka daudzi cilvēki, neatkarīgi no tā, vai tie ir uzņēmumu vadītāji vai, ziniet, privātpersonas, mēs patiešām neapzināsim, ka mums ir jābūt galvenajam informācijas speciālistam savā mājā, jo mūsdienās katras ģimenes mājās patiesībā ir vairāk nekā ducis ierīču, parasti, varbūt pat vairāk. Un jums ir izklaides konsoles, jums ir DVD, jums ir tīmekļa kameras, jums ir sīkrīki un planšetdatori un personīgās ierīces, protams, tālruņi un datori. Un visām šīm ierīcēm tiešām nav neviena galvenā informācijas drošības speciālista vai galvenā informācijas speciālista, kas tās mūsu vietā uzturētu. Tāpēc kā privātpersonām, kā patērētājiem patiešām ir pienākums nodrošināt, lai šīm ierīcēm būtu atjaunināta operētājsistēmas vide, kurā jums nav noklusējuma lietotājvārda un paroles. Tās ir lietas, kas mums ir jādara, un neviens to nedara mūsu vietā.
Un tieši tur iezogas daudzi jauni draudu veidi, jo daudzi cilvēki jums teiks: 'Ei, nu, man vienalga, ja kāds uzlauž manu drošības kameru, kas atrodas manā pagalmā, jo es to nedaru. 'nav ko slēpt.' Taču cilvēki neapzinās, ka noziedznieki mācās izmantot visus šos digitālos līdzekļus kā bandiniekus savās digitālajās armijās. Un pēdējos gados mēs esam redzējuši milzīgus uzbrukumus, kuros noziedznieki faktiski ir pārņēmuši simtiem un tūkstošiem šāda veida savienotu ierīču, neatkarīgi no tā, vai tās ir tīmekļa kameras vai digitālie video ierakstītāji, dažreiz pat biroja kopēšanas iekārtas, piemēram, Xerox mašīna. Un visas šīs ierīces var izmantot noziedznieki, lai veiktu turpmākus kiberuzbrukumus. Tātad, runājot par šīm ierīcēm, atbildība ir jāuzņemas arī katram no mums. Pirmkārt, aizsargājiet šo ierīci, atjauninot operētājsistēmu vai aizstājot noklusējuma paroli. Starp citu, Kalifornijas štatā ir spēkā jauns likums, kas tiks piemērots 2020. gada janvārī. Ja jūs Kalifornijas štatā faktiski pārdodat vai tirgojat jebkuru lietu interneta ierīci, jums ir jāpārliecinās, tam nebūs noklusējuma lietotājvārda un paroles kombinācija. Tātad jūs nevarat izmantot ierīces, kurām ir viena, divi, trīs, četri vai kaut kas līdzīgs parolei, kā mēs esam redzējuši pēdējos pāris gados. Tātad tas ir kaut kas, kas mainās Kalifornijas štatā. Cerams, ka citi štati sekos šim piemēram. Taču tas atgriežas pie mūsu kā patērētāju personīgās atbildības. Un mums kā uzņēmumu īpašniekiem ir arī atbildība un, iespējams, sviras avots. Kad mēs pērkam tehnoloģiju, kad mēs iegādājamies tehnoloģiju no pakalpojumu sniedzēja, no pārdevēja, kas mums to pārdod, mēs faktiski varam teikt: Sveiki, kādi ir jūsu drošības protokoli? Kāda ir šīs ierīces operētājsistēmas vai programmaparatūras atjaunināšanas metode? Kā jūs varat pārbaudīt, vai tajā nav tikai vienas, divu, trīs, četru veidu paroles? Kā es varu nomainīt savas paroles? Un es uzskatu, ka, tā kā arvien vairāk cilvēku prasīs labāk no pārdevējiem, kuri rada šīs tehnoloģijas un pārdod šos produktus, mums faktiski būs drošāka ekosistēma.
Elizabete: Tāpēc es domāju, ka tās patiešām ir augšupējas pieejas. Tādējādi atbildība gulstas uz personu, kas iegādājas ierīci, šo pievienoto ierīci vai uzņēmuma drošības komandu. Jūs pieminējāt Kalifornijas štatu, bet vai kopumā tas ir kaut kas tāds, ko mums vajadzētu pieņemt, ka valdības atbalsts vai valdības noteikumi nepalīdzēs?
Forši: Patiesībā valdības dara daudz vairāk nekā agrāk. Īpaši ASV mēs redzēsim vairāk regulējošu pieeju, kas būs nedaudz agresīvākas no uzņēmumiem un uzņēmumu vadītājiem, lai viņi būtu vairāk informēti par kiberdrošību, lai būtu direktoru padomes loceklis organizācijā, kas ir kiberdrošības zināšanas un pieredze. Mēs jau esam redzējuši gadījumus, kad, piemēram, ierosinātajā lietā, manuprāt, FTC pret Uber. Kā jūs, iespējams, dzirdējāt, pēdējo pāris gadu laikā Uberam ir bijuši vairāki datu pārkāpumi. Tā kā šī lieta tika iesniegta Federālajai tirdzniecības komisijai, FTC ir patiešām rūpīgi izskatījusi Uber piemēroto drošības kontroles līmeni. Un viņi faktiski nodarbina sevi ar cilvēkiem, kuri ir zinoši, kuri strādā šajos patērētāju regulatoros, kuri uzdos patiešām detalizētus, tehniska līmeņa jautājumus, un viņi sagaida, ka uzņēmumiem būs saprātīga drošības kontrole. Ko nozīmē saprātīga drošības kontrole?
Tas nozīmē lietas, kas ir paraugprakse, lietas, kas tiek uzskatītas par kaut ko tādu, ko darītu jebkurš cits šāda lieluma uzņēmums vai šāda budžeta ietvaros. Un viens no saprātīgas kontroles veidiem, ko regulatori sāk meklēt, ir tas, vai uzņēmumam patiešām ir kādi saziņas līdzekļi ar tiem draudzīgajiem hakeriem, kas tur ir un mēģina ziņot par ievainojamībām? Tātad, vai uzņēmumam ir kļūdu novēršanas programma? Vai viņiem ir skaidra drošības vai ievainojamības atklāšanas politika? Vai viņi dara zināmu cilvēkiem, ka ir veids, kā viņiem ziņot par ievainojamībām? Un tas ir kaut kas, par ko mēs faktiski redzam, ka arvien vairāk regulatoru sāk runāt. Šajā ziņā man ir ļoti paveicies, jo man ir māsa, kura ir juriste un tagad specializējas kiberdrošības politikā Amerikas Savienotajās Valstīs. Un kopā ar viņu es esmu uzzinājis tik daudz par to, kā Amerikas regulatori faktiski sāk pieprasīt daudz vairāk, kad runa ir par drošības kontroli no Amerikas uzņēmumu puses.
Elizabete: Nu, tas ir lieliski. Tāpēc parunāsim mazliet vairāk par cita veida draudiem. Tātad, kā ar izspiedējvīrusu? Mēs esam runājuši šajā aplāde par izspiedējvīrusu. Vai jūs to redzat kā reālus un pieaugošus draudus?
Forši: Tāpēc ir svarīgi saprast par izpirkuma programmatūru, ka tā bija ļoti moderna 2017. un 2018. gadā. Taču noziedznieki vienmēr attīstās, un viņi nerīkosies tāpat. Tātad tas, kas pēdējos pāris gados bija ļoti vērtīgs un izdevīgs noziedzniekiem, vairs nav tik izdevīgi, jo arvien vairāk organizāciju ir gudrojušas un nemaksās izpirkuma maksu. Viņi atgriezīsies pie dublējuma vai arī atradīs alternatīvu veidu, kā apiet šo izspiedējvīrusu šifrēšanu. Ir noticis tas, ka patiesībā noziedznieki ir izdomājuši daudz ienesīgāku pieeju. Un tas ir kaut kas tāds, ko sauc par kriptovalūtu izspiešanu, ko dažreiz sauc arī par kriptorakstu ieguvi. Un tas, ko dara kriptogrāfijas domkrats, būtībā ir tad, kad noziedzniekam ir iespēja jūsu sistēmā palaist jebkāda veida ļaunprātīgu kodu, tas var būt jūsu personālais dators, jūsu tīmekļa serveri vai mākoņa serveri. Viņi gatavojas darīt tā, ka tā vietā, lai šifrētu datus un pieprasītu izpirkuma maksu, viņi faktiski palaidīs klusu programmu, kas iegūs kriptovalūtas. Ļoti populāra krāpniecība. Jūsu dators, kas izmanto jūs, tieši izmantojat savu datoru, izmantojot savu skaitļošanas jaudu. Piemēram, dažiem komunikāciju uzņēmumiem, kad tas notiek to mākoņserveros, ja tas notiek, piemēram, AWS infrastruktūrā, tas faktiski var radīt desmitiem tūkstošu dolāru skaitļošanas jaudas izmaksās. Un noziedznieki aiziet ar miljoniem dolāru kriptovalūtās. Un ļoti populāro kriptovalūtu, kas ir iegūta šādā veidā, sauc par Monero. Un patiesībā ir bijis tik daudz kampaņu, kas rada ļoti izvairīgu ļaunprātīgu programmatūru, kas tiks iegūta šim Monero. Faktiski pat Wi-Fi tīklos Starbucks filiālēs visā Argentīnā bija šī Monero kalnrūpniecības ļaunprogrammatūra. Tātad, kad cilvēki pieteicās Wi-Fi tīklā, viņi atvēra savu klēpjdatoru, lai pieteiktos Starbucks Wi-Fi.
Faktiski šī kalnrūpniecības programmatūra viņu datoros darbojās piecas vai 10 sekundes, radot noziedzniekiem lielus ieņēmumus kriptovalūtas veidā. Un tāpēc es saku, Elizabete, ir patiešām svarīgi mācīties no hakeru darbības. Ir patiešām svarīgi paskatīties uz to, ko dara noziedznieki, jo tie nepārtraukti attīstās. Un šeit es pavadu lielu daļu sava laika, pētot un aplūkojot šīs jaunās metodes, šīs jaunās tendences, veidu, kā noziedznieki uzlabo savu spēli, jo viņi patiešām izdomā ļoti jaunos biznesa modeļus, lai izmantotu mūsu digitālos līdzekļus un pārvērst tos naudā ļoti ātri. Un viņi visu laiku dara kaut ko jaunu.
Elizabete: Tātad, kā jūs zināt, vai jūsu tīkls ir tas, ko jūs meklējat, lai noteiktu, vai jūsu tīkls ir vai nav neaizsargāts pret šāda veida kriptovalūtu izspiešanu vai kriptorakstu ieguvi? Es domāju, tas izklausās tik šausmīgi.
Forši: Jā. Jā. Tas ir tas. Tas ir briesmīgi. Tas ir lielisks jautājums. Tātad viens veids, kā jūs pamanīsit, ka jūsu sistēmās ir kriptovalūtu izjaukšanas ļaunprātīga programmatūra, protams, ir tad, ja mēneša beigās jums ir ļoti augsts Amazon Web Services rēķins, kas ir daudz lielāks, nekā jūs gaidījāt, vai arī Pārskatot savu enerģijas patēriņu, jūs redzat, ka pēkšņi jūsu serveri darbojas ar daudz lielāku CPU ātrumu, jūsu procesori faktiski strādā daudz grūtāk. Varat arī pamanīt, ka jūsu iekārta uzsilst. Tas darbojas kļūst karstāks, jo CPU strādā vairāk. Un jūs to varat pamanīt pat kā indivīds, ja jums šķiet, ka jūsu savienojums ir ārkārtīgi lēns. Jūs atverat savu tīmekļa pārlūkprogrammu konkrētām vietnēm, un paiet ļoti ilgs laiks, lai tās ielādētu. Tas var nozīmēt, ka jūsu sistēmā, iespējams, ir šāda veida šifrēšanas vai šifrēšanas ļaunprātīgas programmatūras. Ir svarīgi atzīmēt, ka lielāko daļu laika šāda veida uzbrukumi tagad ir vērsti uz šiem mākoņa gadījumiem. Tāpēc viņi vairs nerūpējas par cilvēku individuālajiem datoriem tikai tāpēc, ka viņiem patiesībā nav nepieciešamās skaitļošanas jaudas. Tomēr spēlētāji, kuriem ir jaudīgi datori, parasti ar GPU, kā arī ar jaudīgām grafiskām apstrādes vienībām, var būt jutīgāki pret šāda veida kriptoraktu ieguves ļaunprātīgu programmatūru.
Elizabete: Vai AWS un citi mākoņa pakalpojumu sniedzēji to nemeklēs, nevis vienkārši pārsūtīs saviem klientiem lielu rēķinu? Es domāju, ka viņi darītu kaut ko tādu, ko jūs zināt, viņi noteikti varētu likt AI paskatīties uz jebkādiem lēcieniem vai neparastu uzvedību lietošanā, es domāju.
Forši: Tātad tas ir ļoti, tas ir ļoti...Es piekrītu jums, ka mums būtu intuitīvi gaidīt, ka mākoņa platformas nodrošinātāji darīs vairāk un pievērsīs uzmanību šiem draudiem. Taču realitāte ir tāda, ka daudzos gadījumos noziedznieki nokļūst cilvēku sistēmās tāpēc, ka viņiem ir viegli nenodrošināts, viegli pieejams, slikti konfigurēts mākoņa gadījums. Tāpēc daudzkārt mākoņdatošanas uzņēmums sacīs, ka tā ir jūsu problēma, jo esat atstājis durvis plaši atvērtas. Jūs neesat konfigurējis savus mākoņserverus, lai tie būtu droši. Jūs neesat ievietojis paroli vai izmantojat noklusējuma paroli, vai izmantojāt kādu ļoti labi zināmu paroli. Jūsu mākoņa serveros bija dažas ļoti labi zināmas ievainojamības. Tātad tā tiešām nav viņu problēma. Tas ir Jūsu. Un tas, manuprāt, mūs atgriež mājās pie lielas problēmas, kas daudziem cilvēkiem tagad ir saistībā ar tehnoloģiju patēriņu. Mēs īsti nesaprotam, cik liela atbildība joprojām gulstas uz patērētājiem. Un tehnoloģiju nodrošinātājam ir daudz cerību neatkarīgi no tā, vai tas ir mākoņpakalpojums, lietu interneta ierīce vai operētājsistēma. Mums ir daudz cerību, ka uzņēmums, kas mums pārdod produktu, patiesībā darīs daudz vairāk drošības jomā.
Taču realitāte ir tāda, ka viņu biznesa modelis daudzos gadījumos ir balstīts uz to, ka klients uzņemas lielāku atbildību uz saviem pleciem. Un mēs to ne vienmēr apzināmies. Tagad es nevēlos vienkārši nosaukt un kaunināt uzņēmumus. Noteikti ir mākoņpakalpojumu sniedzēji, kas dara vairāk. Es zinu, ka Amazon un AWS šobrīd ir liela komanda, kuras mērķis ir meklēt drošības draudus savā platformā. Viņi vienkārši ir vispopulārākie noziedznieku vidū, jo tā ir visspēcīgākā mākoņu platforma. Tāpēc mums tiešām ir jāturpina visu laiku. Un šī kaķa un peles spēle un brīdis, kad Amazones cilvēki atradīs veidu, kā apturēt šo kampaņu ļaunprogrammatūru, kas šifrē, izplatīsies jauna veida uzbrukumi.
Elizabete: Tā ir lieliska vieta, kur pievērsties manam nākamajam un pēdējam jautājumam, kas ir tālāk? Un es neesmu pārliecināts, kurš ir kaķis un kurš ir pele? Bet kur kaķis dosies tālāk? Un kur ar kiberdrošību saistītiem vadītājiem ir jādomā par draudu nākotni?
Forši: Patiešām nav skaidrs, kurš šeit ir kaķis un kurš ir pele. Tev ir pilnĪga taisnība. Bet, runājot par to, par ko es domāju, domājot par tālāko, es domāju par cilvēkiem un par cilvēka talantu. Es domāju par cilvēkiem, kas būs drošības profesionāļi, draudzīgie hakeri, nākotnes biznesa vadītāji. Un kā mēs varam panākt, lai šie cilvēki būtu tikpat zinoši, novatoriski un radoši kā daži no sliktiem cilvēkiem? Jo es domāju, ka tik ilgi, kamēr cilvēki rakstīs kodu, mums būs ievainojamības, ja vien cilvēki izmantos tehnoloģijas. Būs ļaunprātīgas personas un organizācijas, kas vēlēsies izmantot šo tehnoloģiju, lai gūtu labumu vai manipulētu. Un mums būs vajadzīgs vairāk cilvēku nekā jebkad agrāk. Tāpēc es uzskatu, ka draudzīgā hakeru kopiena var palīdzēt. Taču ir ļoti svarīgi arī ieguldīt kiberdrošībā, izglītībā un informētībā, tāpēc es skrēju. Papildus Telavivai tas ir Izraēlas lielākais hakeru kopienas un drošības pētniecības kopienas pasākums. Tāpēc Telavivas universitātē mēs rīkojam Telavivas kibernedēļu, kas katru vasaru sniedz zināšanas un informāciju vairāk nekā 8000 cilvēku. Tāpēc ikreiz, kad es ceļoju, kad man ir kāds brīvs laiks, es pavadu savu laiku, apmeklējot hakeru pasākumus un neatkarīgi no tā, vai tā ir kopienas tikšanās vai tehnoloģiju konference, jo mums patiešām ir jāpievērš uzmanība šobrīd notiekošajiem pētījumiem un zināšanām. ko radījuši draudzīgi hakeri, lai mēs faktiski varētu piesaistīt vairāk cilvēku, kas ir bruņoti ar informāciju un zināšanām. Viņiem ir jāveido labāka un drošāka nākotne mums visiem. Viena no jomām, par ko domā daudzi cilvēki, ir AI joma.
Un tas ir kaut kas ļoti svarīgi, lai saprastu, ka mēs patiesībā varētu būt bruņošanās sacensībā, kad runa ir par AI tehnoloģijām un jo īpaši AI kiberdrošības jomā gan uzbrukuma, gan aizsardzības jomā. Bet, lai gan bruņošanās sacensība faktiski kļūst par realitāti, tā ir sacensība, lai piesaistītu talantus, cilvēkus, kuri faktiski var izveidot šīs nākamās paaudzes sistēmu. Un tā ir joma, kurā, manuprāt, šobrīd Amerikas Savienotajām Valstīm ir priekšrocības. Un, ja vēlaties saglabāt šo priekšrocību, jums ir jāturpina ieguldīt šādās zinātībās un talantos, kā arī jāveido tie nepiederošie hakeri, kas patiesībā var būt nākotnes aizstāvji.
Elizabete: Tātad, Keren, kur cilvēki var iegūt vairāk informācijas, ja viņi vēlas uzzināt vairāk par dažām lietām, par kurām jūs šodien runājāt?
Forši: Tāpēc mani ir ļoti viegli atrast tiešsaistē. Mani sauc Kerena Elazari. Bet hakeru pasaulē mani pazīst kā Kerenu E. Visi E ir rakstīti ar trīs. Tātad jūs varat doties uz manu vietni K3R3N3.com. Jūs varat mani atrast LinkedIn. Varat noskatīties manu TED runu vietnē Ted.com: “Hakeri ir interneta imūnsistēma”. Ir daudz dažādu saturu, ko es ievietoju vietnē YouTube. Un jūs esat laipni aicināti apskatīt Telavivas kibernedēļu. Un BSides Tel Aviv, BSidestlv.com ir vietne, kuru vēlaties apmeklēt, ja vēlaties nākt un izjust hakeru kopienu, kas mums ir šeit skaistajā saulainā Telavivā.
Elizabete: Brīnišķīgi. Liels paldies, ka pievienojāties mums šeit, Business Lab.
Forši: Paldies, Elizabete.
Elizabete: Tas ir viss šajā Business Lab sērijā. Es esmu jūsu vadītāja Elizabete Bremsone-Budrē. Es esmu MIT Technology Review izpilddirektors un izdevējs. Mēs esam dibināti 1899. gadā Masačūsetsas Tehnoloģiju institūtā. Un jūs varat mūs atrast drukātā veidā tīmeklī, desmitiem tiešraides pasākumu katru gadu un tagad arī audio formātā. Lai iegūtu plašāku informāciju par mums un šovu, lūdzu, apmeklējiet mūsu vietni technologyreview.com. Šī pārraide ir pieejama visur, kur saņemat aplādes.
Ja jums patika šī sērija, mēs ceram, ka veltīsit laiku, lai novērtētu un atsauksmi mūs Apple Podcasts. Business Lab ir MIT Technology Review produkcija.
Mūsu vecākais redaktors ir Mindijs Blodžets. Šo sēriju producēja Collective Next ar Emīlijas Taunsendas redakcionālo palīdzību. Īpašs paldies mūsu viesim Kerenam Elazari.
Paldies par klausīšanos. Mēs drīz atgriezīsimies ar savu nākamo sēriju.