Video: LIVE: Die Hamburger Weg Weihnachtswochen (November 2024)
In dieser Folge von Fast Forward begrüße ich Josh Schwartz, Leiter des internen Red Team von Verizon Media. Das heißt, er verbringt seine Tage damit, sich in die wertvollsten und vertrauenswürdigsten Systeme seines Arbeitgebers zu hacken, idealerweise bevor jemand, der nicht auf der Gehaltsliste steht, dasselbe tut.
Dan Costa: Ich denke, die Leute haben eine vage Vorstellung davon, was rote Teams sind. Sie haben sie in Filmen gesehen. Ist es so lustig und aufregend, wie es im Fernsehen aussieht?
Josh Schwartz: Ich wünschte nur, nicht wahr? Es liegt in der Verantwortung einzubrechen, an Orte zu gelangen. Natürlich ist es ziemlich aufregend, aber offensichtlich sieht man in den Filmen alles sofort und in der Realität nicht. Es kostet eine Menge Arbeit… es rennt nicht nur herum und verursacht Streiche.
Es geht darum, Veränderungen innerhalb einer Organisation zu beeinflussen und die Organisation darüber zu informieren, was die Bösen wirklich tun. Diese Rolle im internen roten Team ist zwar immer noch aufregend, aber ich muss immer noch zu Besprechungen gehen, immer noch Ziele setzen, solche Dinge.
Dan Costa: Wer sind die Personen in diesem Team? Ich stelle mir vor, es gibt viele Programmierer, aber ich stelle mir vor, es ist nicht nur auf Programmierer beschränkt.
Josh Schwartz: Die Vielfalt der Fähigkeiten im Team ist etwas, das wir nicht haben, wenn wir es nicht haben. Es gibt sehr häufig ein Missverständnis aufgrund dessen, was Sie in den Filmen sehen. Es gibt einen Hacker, der jedes technologische Problem lösen kann.
Dan Costa: Und da ist der Auto-Typ, der Waffenspezialist.
Josh Schwartz: In Wirklichkeit bilde ich ein Team, so dass jeder Experte in etwas ist. Dieser Typ ist der Typ, der weiß, wie man physische Eingriffe macht, und ein anderer ist Experte für Kryptographie und ein anderer Experte für Social Engineering. Wenn jede Person ein Experte ist, können wir uns aufeinander stützen, um… jede Art von Teamproblemen effektiv zu lösen.
Dan Costa: Wie sieht ein Tag im Büro aus? Welche Art von Dingen testen Sie?
Josh Schwartz: Ein Hacker zu sein, ist einfach jemand, der es mag, Systeme auseinander zu nehmen, oder? Das ist der Grund, warum wir nicht von Natur aus kriminell sind, nur weil wir ein Hacker sind.
An einem Tag im Büro setzen wir Ziele basierend auf den Ergebnissen, ähnlich den Worst-Case-Szenarien, die wir sehen möchten. Was sind die Schritte für uns, um dieses für das Unternehmen wirklich schlechte Ziel zu erreichen? Von dort aus können wir eine sogenannte "Kill Chain" bilden. An einem Tag im Büro wird herausgefunden, wie diese Kette zustande kommt. Dann denken wir über die verschiedenen Stellen nach, an denen wir diese Kette brechen könnten. Von dort aus treffen wir uns mit Stakeholdern, teilen ihnen mit, wie die Angreifer dies tun würden, und bieten eine kleine Änderung an, die Sie vornehmen können, um dies zu beheben.
Dan Costa: Um welche Vektoren geht es Ihnen am meisten? Ich weiß, dass ich immer noch E-Mails von IT-Mitarbeitern erhalte, in denen sie aufgefordert werden, nicht auf in E-Mails oder E-Mail-Anhängen angehängte Links zu klicken. Wo sehen Sie die Schwachstellen, die noch vorhanden sind?
Josh Schwartz: Wenn Sie auf Links klicken und Anhänge herunterladen und diese trotz der vielen Warnungen auf Ihrem Computer ausführen, ist das ein Problem. Aber wir haben uns zu einer neuen Ära entwickelt, in der es jetzt um den Zugriff auf Informationen geht, die in der Cloud und an verschiedenen Orten vorhanden sind. Wenn Sie den Zugriff auf eine andere Person autorisieren, ist dies ebenfalls ein Problem.
Das ist am Ende problematischer als etwas, das auf Ihrem Computer ausgeführt wird, da es bereits viele Schutzmechanismen gibt. Jetzt haben wir Informationen, die überall verfügbar sind, und Sie haben die Möglichkeit, sie zu kontrollieren. Sie haben die Möglichkeit, anderen Dingen Zugriff darauf zu gewähren. So funktioniert das Internet jetzt. Angreifer, wir eingeschlossen, haben sich ein bisschen mehr auf solche Dinge verlagert.
Dan Costa: Es ist schon ziemlich außergewöhnlich, wenn ich mir mein eigenes Google Drive ansehe und wie viele Dateien ich darauf zugreifen kann, sollte ich wirklich nicht. Ich stelle mir vor, es ist viel schlimmer in Unternehmen, die nicht so technologisch ausgereift sind wie Ziff Davis und PCMag. Es sind nicht nur Dateien, in denen Malware ausgeführt wird, sondern auch Unternehmensdokumente oder Finanzdokumente, die Ihre Konkurrenten nicht haben sollen oder Endbenutzer oder Kriminelle.
Josh Schwartz: Sicherheit im Allgemeinen ist dieses ganzheitliche System. Es geht nicht um "Gibt es einen Fehler im System, durch den ich Exploit-Effekte auslösen werde und der explodiert" oder ähnliches. So funktioniert das nicht mehr. Es sind miteinander verbundene Systeme, Menschen, Geschäftsprozesse, die Technologie, die sie unterstützt, wie wir darüber denken, Richtlinien - alles zusammen… ist Sicherheit.
Und Sicherheit ist oft nur eine Art, wie Sie sich dabei fühlen. Wie stehen Sie zu den Daten und Informationen? Welche Schritte können Sie unternehmen, um es zu schützen? Wenn Sie sich stark dafür fühlen und die Anstrengungen, die Sie unternehmen, geringer sind als die Anstrengungen der Kräfte um Sie herum, die versuchen, es zu erreichen, dann sind Sie unsicher. Aber wenn Sie das Gefühl haben, sich genug Mühe zu geben und nichts Schlimmes passiert, dann fühlen Sie sich sicher. Es gibt jedoch keinen Ein- / Ausschalter für die Sicherheit.
Dan Costa: Lassen Sie uns ein wenig über die Art dieser Bedrohungen sprechen. Mir scheint, es gibt ein paar Eimer, um die sich die Leute Sorgen machen. Hacken war früher eine spielerische Sache, die Menschen gemacht haben, um Zugriff auf Ihren Computer zu erhalten oder Ihren Computer zum Absturz zu bringen. Dann fanden die Kriminellen heraus, wie sie mit diesen verschiedenen Techniken Geld verdienen können. Es gibt aber auch staatliche Akteure und sogar Privatunternehmen, die über enorme Datenmengen zu Menschen verfügen. Wo sehen Sie die größten unsichtbaren Bedrohungen im Sicherheitsbereich?
Josh Schwartz: Herauszufinden, wo die größte Bedrohung am Ende liegt, ist herauszufinden, wer Sie sind. Die größte Bedrohung für Sie ist wahrscheinlich nicht die größte Bedrohung für mich, die nicht die größte Bedrohung für ein Unternehmen irgendwo ist. Es geht irgendwie nur um Bedrohungsmodellierung, oder? Sie wählen nicht nur die größte Bedrohung aus und weisen auf sie hin. Sie denken: "Was habe ich? Wer möchte es vielleicht? Was soll ich dagegen tun?" Versuchen Sie, Maßnahmen zu ergreifen, um die Dinge zu entschärfen, die nicht passieren sollen.
Nur zu versuchen, auf diese Nation hinzuweisen, ist die größte Bedrohung, oder dieses Unternehmen ist die größte Bedrohung, die uns in eine Art Falle treibt, in der wir anfangen, ein Bedrohungsmodell zu entwickeln. Und während wir uns so auf diese eine Kleinigkeit konzentrieren, verändert sich die Welt um uns herum und wir werden irgendwo auf der ganzen Linie blind.
Dan Costa: Viele Unternehmen hatten massive Datenverletzungen und die meisten von ihnen sind auf laxe Sicherheit oder schlechte Gewohnheiten zurückzuführen. Equifax hat Millionen Amerikaner getötet, aber es gab wirklich keine Konsequenzen. Sie werden eine Geldstrafe zahlen, aber alle ihre Führungskräfte erhielten Prämien. Denken Sie, dass es eine Art Änderung in Bezug auf die Rechenschaftspflicht geben muss?
Josh Schwartz: Nun, ich bin ein Typ, der in Computer einbricht, kein Politiker, also weiß ich es nicht wirklich. Vielleicht würde das die Dinge ändern. Wahrscheinlich würde es Änderungen geben, aber auf seiner fundamentalen Ebene, denke ich, dass eine Änderung irgendwo alles ändert und dass es keine Probleme mehr gibt, ist ein bisschen kurzsichtig.
Es geht darum, wie alles zusammenarbeitet. Es ist so, wie es uns als Öffentlichkeit am Herzen liegt, wie es Unternehmen am Herzen liegt. Es ist ein Teil davon, aber es ist natürlich nicht die ganze Lösung. Und ich denke, eines der großen Dinge, über die wir als Technologieträger oder -konsument nachdenken müssen, ist, dass Sicherheit in einem Elfenbeinturm keine Aufgabe ist, den richtigen Schalter zu betätigen und alles perfekt zu machen. Je mehr kleine Verhaltensänderungen wir vornehmen können, um alles ein bisschen sicherer zu machen… für alle.
Dan Costa: Wie sind Ihre persönlichen Sicherheitsgewohnheiten? Verwenden Sie ein VPN? Verwenden Sie die kommerzielle Malware-Erkennung von der Stange?
Josh Schwartz: Es kommt auf das Bedrohungsmodell zurück, oder? Es kommt darauf an, was ich gerade mache. Ein VPN schützt Sie vor einigen Dingen, eine Verbindung zu einem VPN schützt Sie jedoch nicht vor Viren. Die Verbindung zu einem VPN ändert sich im Wesentlichen, wo Sie sich auf der Welt befinden, und manchmal kann dies nützlich sein, wenn Sie es benötigen.
Es bringt deinen Verkehr in einen kleinen Tunnel und dieser Tunnel bringt dich woanders hin und der Verkehr kommt an einem anderen Ort heraus. Ein VPN ist nützlich, wenn Sie sich an einem unsicheren Ort befinden oder nicht möchten, dass jemand weiß, wo Sie sich befinden. Die Vorstellung, dass ich mit einem VPN verbunden bin und jetzt im Internet sicher bin, ist nicht so richtig.
Für mich persönlich denke ich, dass das Größte die Passwortverwaltung ist. Sie sind ein bisschen neu, aber wenn mehr Menschen, wären sie an einem viel besseren Ort. Es hat all diese Verstöße gegeben, oder? Sie sind ziemlich vertraut mit ihnen. Als offensiver Gegner sind diese also nicht privat. Alles, was durchgesickert ist, ist da draußen im Internet. Wir können eine große Liste von allem zusammenstellen, nach Passwörtern suchen und sehen, welche Passwörter Sie zuvor verwendet haben.
Wenn ich dann versuche, auf etwas zuzugreifen, das Sie haben, und wenn ich das zuvor verwendete Passwort finden kann, weiß ich ein bisschen über Sie Bescheid und kann diese Informationen nehmen und versuchen, sie wiederzuverwenden oder zu erraten, was Ihre sind Das nächste Passwort könnte sein. Die Verwendung eines Passwort-Managers und die Einzigartigkeit jedes Passworts für jede Website, die Sie besuchen, ist etwas Gutes und entlastet das menschliche Gehirn. Sie müssen es wirklich nur an einem Ort schützen, was die Sicherheit erheblich vereinfacht.
Dan Costa: Wir sind große Fans von Passwort-Managern bei PCMag. Ich benutze LastPass seit fast 10 Jahren. Sobald Sie den Sprung hinter sich haben, Ihre Passwörter nicht wirklich zu kennen, ist das eine große Erleichterung. Es erinnert mich auch daran, dass wir die Yahoo-Lücke irgendwie vergessen haben, durch die viele Benutzernamen und Passwörter verloren gingen. Es war vor Jahren und niemand kümmerte sich mehr wirklich um Yahoo, aber der Wert dieses Hacks und der Wert für Cyberkriminelle ist, dass viele Leute immer noch die Passwörter verwenden, die sie vor 10 Jahren bei Yahoo verwendet haben. Und Sie können nachschauen, was all diese Passwörter sind, was Sie sagen.
Josh Schwartz: Es kommt auf menschliches Verhalten an. Es kommt darauf an, dass man als Mensch und als Angreifer Gewohnheiten hat. Das ist oft das, was ich ausnutzen möchte. Es ist nicht die Technologie. Die Technologie wird weiter verbessert und die Sicherheit weiter erhöhen und sicherer werden, da wir dieses Bedürfnis haben, das das Geschäft vorantreibt.
Aber menschliches Verhalten ist etwas, für das wir verantwortlich sind. Und wenn wir unsere Gewohnheiten nicht ändern und uns selbst sicherer machen, gibt es keine Technologie, die uns vor irgendetwas schützen kann.
Dan Costa: Gibt es andere Gewohnheiten als einen Passwort-Manager, die Ihrer Meinung nach von den Verbrauchern übernommen werden müssen, zumal wir uns im Zeitalter des Internets der Dinge befinden und alles so viel enger miteinander verbunden ist?
Josh Schwartz: Wenn Sie darüber nachdenken, ist es nicht mehr nur Ihr Computer. Es sind Geräte überall und bestimmte Gewohnheiten. Vielleicht denken Sie, dass Ihr Telefon nicht so wichtig ist, aber das Passwort, das Sie auf dem Telefon eingegeben haben, ist im Wesentlichen Ihr Passwort. Das Telefon hat Zugriff auf viele der gleichen Dinge, auf die Ihr Computer möglicherweise Zugriff hat. Denken Sie an alles, was Sie berühren und mit allen Daten interagieren, die Sie schützen möchten, und achten Sie darauf, dass Sie diese genauso sensibel behandeln wie Ihren Laptop, Ihren Desktop oder den Computer bei der Arbeit.
Dan Costa: Ich hatte letzte Woche ein paar Leute bei RSA und sie interviewten einen NSA-Beamten, der sagte: "Unabhängig von der Verschlüsselung des Telefons können sie auf Telefone zugreifen, weil die meisten Leute ihre Telefone immer noch nicht sperren." Es gibt viele Leute, die ihre Telefone überhaupt nicht sperren und keine Verschlüsselung benötigen, um das zu knacken. Das ist nur reines Benutzerverhalten.
Josh Schwartz: Oder das Passwort ist alles Nullen oder alle Einsen oder so ähnlich. Es gibt immer die Idee, dass mit fortschreitender Technologie und zunehmenden Änderungen Ihres Passworts, wie z. B. Ihrem Fingerabdruck oder Ihrem Gesicht oder Ähnlichem, immer wieder Angriffe und Umgehungen auftreten. Ich muss dich nur finden und dein Handy auf dein Gesicht richten oder ich muss dir den Finger abschneiden und das auf dein Handy stecken.
Dan Costa: Auch in vielen Filmen zu sehen.
Josh Schwartz: Ja, aber das machen wir heutzutage nicht, was gut ist.
Dan Costa: Dir gehen so schnell die Teammitglieder aus.
Josh Schwartz: Und Finger machen es schwer zu tippen.
Dan Costa: Sie können an 10 Projekten arbeiten und dann ist Schluss damit. Sagen Sie mir also, was Sie tun, wie ist das Gleichgewicht zwischen Social Engineering und technischem Hacking? Und ändert sich dieser Mix im Laufe der Zeit?
Josh Schwartz: Social Engineering war schon immer mein Brot und Butter. Es ist der Weg des geringsten Widerstands sehr oft. Ich würde sagen, es ist eine Mischung. Vieles ist neu, um herauszufinden, was wirklich da draußen ist, aber es ist interessant. Der Social-Engineering-Aspekt betrifft nicht nur die offensive Welt. Wenn Sie darüber nachdenken, wie ein internes rotes Team in einem Unternehmen existiert… nehmen wir einen Teil des technischen Hackings vor und verwenden Social Engineering, Physik und alles, um zu versuchen, diese Kill Chain auszuführen und die Mission zu erfüllen.
Aber wenn Sie sich danach Gedanken darüber machen, was Sicherheit zu tun versucht, versuchen wir, jeden auf der Skala sozialtechnisch zu unterstützen, um bessere Gewohnheiten für das Wohl der Allgemeinheit zu entwickeln. Oft ist es das Erzählen der Geschichte von dem, was wir getan haben und das Aufklären der Mitarbeiter innerhalb des Unternehmens… "So funktioniert es, so kann man es besser machen." Das ist Social Engineering. Der größte Teil des Jobs ist Social Engineering, weil es Menschen dazu bringt, sich auf die richtige Art und Weise um Sicherheit zu kümmern, die richtigen Entscheidungen zu treffen und sich hoffentlich um die richtigen Dinge zu kümmern.
Dan Costa: Ich stelle mir vor, dass Leute, die E-Mails von Ihnen erhalten, nicht antworten möchten. Wenn Sie nach etwas fragen, kann ich mir nicht vorstellen, dass die erste Antwort Nein lautet.
Josh Schwartz: Rote Teams haben in den letzten zehn Jahren eine Metamorphose durchgemacht. Sie beginnen an einem Ort, an dem Sie extrem feindselig und extrem anstößig sind und versuchen, die Trommel zu schlagen und alle wissen zu lassen, dass Sicherheit wichtig ist. In diesen Tagen sehen die Leute Sie als Gegner, denn genau das ist Ihre Aufgabe.
Ich habe persönlich Erfahrungen gemacht, wo ich in den Fahrstuhl komme und die Leute sagen: "Oh, ich möchte nicht auf mein Stockwerk gehen, weil das Rote Team hier ist" und ich sage: "Ich bin nicht wirklich schlecht." Kerl." Das hat sich im Laufe der Zeit geändert, denn letztendlich arbeiten wir alle auf dasselbe Ziel hin: Schutz von Informationen, Schutz unserer Verbraucher. Während wir zusammenarbeiten und Informationen darüber austauschen, was wir als Gegner getan haben, verschmelzen diese und sie sehen uns als Verbündeten und Freund, aber es hat einige Zeit gedauert, bis wir dort angekommen sind. Aber ich sehe einen Trend in die richtige Richtung, also ist das gut.
Dan Costa: Großartig. Ich werde Ihnen ein paar Fragen stellen, die ich allen in der Serie stelle. Gibt es einen Technologietrend, der Sie beschäftigt und der Sie nachts wach hält?
Josh Schwartz: Das hält mich nachts wach? Vielleicht die Allgegenwart und den Komfort, den wir mit all der Technologie um uns herum bekommen. Nicht so sehr… eigentlich ist die wirkliche Antwort, dass mich nichts nachts wach hält.
Dan Costa: Du schläfst gut.
Josh Schwartz: Ich sehe das Schlimmste und es kommt auf die Akzeptanz an, wenn ich frage: "Okay, ich weiß, wie die Welt ist, ich weiß, was möglich ist, und ich werde damit einverstanden sein." Ich weiß, dass Technologie überall in mein Leben einfließen wird, und ich werde die Wahl treffen, damit einverstanden zu sein, aber ich werde so vorgehen, dass ich das verstehe und wie ein Baby schlafe.
- Die besten kostenlosen Passwortmanager für 2019 Die besten kostenlosen Passwortmanager für 2019
- So stellen Sie fest, ob Ihr Passwort gestohlen wurde: So stellen Sie fest, ob Ihr Passwort gestohlen wurde:
- Facebook speichert bis zu 600 Millionen Benutzerpasswörter im Klartext Facebook speichert bis zu 600 Millionen Benutzerpasswörter im Klartext
Dan Costa: Okay, gibt es eine Technologie, die Sie jeden Tag nutzen, oder ein Werkzeug oder eine Dienstleistung, die Sie zum Staunen bringt?
Josh Schwartz: Nun, es ist nicht mein Handy, aber ehrlich gesagt gibt es eine Menge Dinge, über die ich mich wundere und die ich größtenteils ungeduldig finde. Ich wünschte, sie wären schneller hier. Ich bin gespannt auf die Zukunft der KI, auf die Zukunft des maschinellen Lernens und auf Dinge, die uns hoffentlich eine vernetztere Welt ermöglichen. Meistens warte ich nur darauf. Aber nichts überrascht mich wirklich zu sehr, denke ich.
Dan Costa: Also, wie können die Leute verfolgen, was Sie tun, was Sie den Leuten öffentlich sagen dürfen, wie können sie Sie online finden?
Josh Schwartz: Ich benutze den Spitznamen FuzzyNop, damit die Leute mich überall finden können.
