Vídeo: Verizon Media Will Tap Disney+, Sports Betting, Says Group CEO (Novembro 2024)
Neste episódio do Fast Forward, dou as boas-vindas a Josh Schwartz, chefe da equipe vermelha interna da Verizon Media. Isso significa que ele passa os dias tentando invadir os sistemas mais valiosos e confiáveis de seu empregador, de preferência antes que alguém que não esteja na folha de pagamento faça a mesma coisa.
Dan Costa: Acho que as pessoas têm uma vaga idéia do que são as equipes vermelhas; eles os viram nos filmes. É tão divertido e emocionante quanto parece na TV?
Josh Schwartz: Eu só desejo, certo? É ter a responsabilidade de invadir, chegar a lugares. É claro que é muito emocionante, mas obviamente, nos filmes, você vê tudo acontecendo instantaneamente e, na realidade, isso não acontece. É preciso muito trabalho… não é apenas correr causando brincadeiras.
Na verdade, ele está tentando afetar as mudanças dentro de uma organização, tentando ajudar a informar sobre 'O que os bandidos realmente fazem?' Esse papel de fazer parte da equipe vermelha interna é, embora ainda seja emocionante, ainda tenho que ir às reuniões, ainda tenho que definir metas, coisas assim.
Dan Costa: Quem são os indivíduos dessa equipe? Imagino que haja muitos programadores, mas imagino que não se limita apenas aos programadores.
Josh Schwartz: A diversidade do conjunto de habilidades na equipe é algo que, se não temos, não temos essa capacidade. Há um equívoco com muita frequência por causa do que você vê nos filmes, é como, há um hacker e ele pode resolver qualquer problema tecnológico.
Dan Costa: E tem o cara do carro, o especialista em armas.
Josh Schwartz: Na realidade, construo uma equipe para que cada pessoa seja especialista em alguma coisa. Esse cara é o cara que sabe como fazer intrusões físicas e alguém é especialista em criptografia e alguém é especialista em engenharia social. Ter cada pessoa como especialista significa que podemos confiar um no outro para efetivamente… resolver qualquer tipo de problema de equipe.
Dan Costa: Então, como é um dia no escritório? Que tipos de coisas você está testando?
Josh Schwartz: Ser um hacker é apenas o tipo de pessoa que gosta de desmontar sistemas, certo? Essa é a razão pela qual não somos inerentemente criminosos apenas por sermos um hacker.
Assim, em um dia no escritório, estabelecemos metas com base em resultados, como os piores cenários que queremos ver. Quais são as etapas para não irmos do nada para alcançar esse objetivo que é realmente ruim para a empresa? A partir daí, podemos formar algo chamado "cadeia da morte". Um dia no escritório está descobrindo como fazer essa cadeia acontecer. Então pensamos nos diferentes lugares onde poderíamos quebrar essa cadeia. A partir daí, nos reunimos com as partes interessadas, informamos a eles como os atacantes o fazem e oferecemos uma pequena alteração que você pode fazer para ajudar a corrigir isso.
Dan Costa: Quais são os vetores com os quais você mais se preocupa? Sei que ainda estou recebendo e-mails da TI dizendo às pessoas para não clicarem nos links anexados nos e-mails ou nos anexos. Onde você vê as vulnerabilidades que ainda existem por aí?
Josh Schwartz: Se você está clicando em links e baixando anexos, executando-os no seu computador, apesar dos muitos avisos, isso é um problema. Mas evoluímos para uma nova era em que agora é acesso a informações que existem na nuvem e em diferentes lugares. Se você está autorizando o acesso a outra pessoa, isso também é um problema.
Isso acaba sendo mais problemático do que algo em execução no seu computador, porque já existem muitas proteções. Agora temos informações flutuando por toda parte e você tem agência para controlá-las. Você tem agência para conceder acesso a outras coisas, é como a internet funciona agora. Os invasores, inclusive nós, mudaram um pouco mais para coisas assim.
Dan Costa: É extraordinário, mesmo olhando para o meu próprio Google Drive e quantos arquivos eu tenho acesso que eu realmente não deveria. Imagino que seja muito pior em empresas que não são tecnologicamente sofisticadas como Ziff Davis e PCMag. Não são apenas os arquivos que executam malware, mas podem ser documentos corporativos ou financeiros que você realmente não deseja que seus concorrentes tenham ou usuários finais ou criminosos.
Josh Schwartz: Segurança, em geral, é esse sistema holístico. Não se trata de 'Existe um bug no sistema em que eu vou fazer alguma exploração e ele vai explodir' ou algo assim. Não funciona mais assim. São sistemas interconectados, pessoas, processos de negócios, a tecnologia que os suporta, como nos sentimos sobre isso, política - tudo junto… é segurança.
E segurança, geralmente, é exatamente como você se sente sobre isso. Como você se sente sobre os dados e as informações? Que medidas você pode tomar para protegê-lo? Se você se sente fortemente sobre isso e os esforços envidados são menores do que os esforços das forças ao seu redor que tentam obtê-lo, então você está inseguro. Mas se você sentir que está se esforçando o suficiente e nada de ruim acontecer, ficará seguro. Mas não há um botão liga / desliga para segurança.
Dan Costa: Vamos falar um pouco sobre a natureza dessas ameaças. Parece-me que há alguns baldes com os quais as pessoas se preocupam. Hacking costumava ser uma coisa divertida que as pessoas faziam para ter acesso ao seu computador ou travá-lo. Depois, os criminosos descobriram como ganhar dinheiro usando essas diferentes técnicas. Mas também existem atores estatais e até empresas privadas que possuem enormes quantidades de dados sobre pessoas. Onde você acha que as maiores ameaças invisíveis estão no espaço de segurança?
Josh Schwartz: Descobrir onde está a maior ameaça acaba sendo descobrir quem você é. A maior ameaça para você provavelmente não é a maior ameaça para mim, que não é a maior ameaça para alguma empresa em algum lugar. É uma espécie de modelagem de ameaças, certo? Você não escolhe apenas a maior ameaça e aponta para eles. Você pensa: "O que eu tenho? Quem pode querer? O que devo fazer sobre isso?" E tente executar ações para mitigar as coisas que você não deseja que aconteçam.
Apenas tentar apontar para esta nação é a maior ameaça ou esta empresa é a maior ameaça, é algo que nos leva a uma armadilha em que começamos a construir um modelo de ameaça. E enquanto estamos tão focados nessa pequena coisa, o mundo ao nosso redor muda e, então, somos surpreendidos em algum lugar abaixo da linha.
Dan Costa: Muitas empresas tiveram violações massivas de dados e a maioria delas se deve a uma segurança negligente ou apenas a maus hábitos. Equifax doxou milhões de americanos, mas realmente não houve consequências. Eles vão pagar uma multa, mas todos os executivos recebem bônus. Você acha que precisa haver algum tipo de mudança em termos de responsabilidade?
Josh Schwartz: Bem, eu sou um cara que invade computadores, não um formulador de políticas públicas, então eu realmente não sei. Talvez isso mudasse as coisas. Provavelmente, haveria mudanças, mas em seu nível fundamental, pensar que uma mudança em algum lugar muda tudo e que não há mais problemas, acho que é um pouco míope.
É sobre como tudo funciona juntos. É como nos preocupamos com isso como o público, é como as empresas se importam com isso. É uma parte, mas não é a solução toda, é claro. E acho que uma das grandes coisas que precisamos, como profissionais ou consumidores de tecnologia, é que a segurança não é tarefa de alguém em uma torre de marfim para acionar o interruptor certo e tornar tudo perfeito. As pequenas mudanças de comportamento que podemos adotar para ajudar a tornar tudo um pouco mais seguro… para todos.
Dan Costa: Como são seus hábitos de segurança pessoal? Você usa uma VPN? Você usa a detecção comercial de malware comercial?
Josh Schwartz: Volta ao modelo de ameaças, certo? Depende do que estou fazendo no momento. Uma VPN protege você de algumas coisas, mas a conexão com uma VPN não protege contra vírus. A conexão a uma VPN muda essencialmente onde você está no mundo e, às vezes, pode ser útil se você precisar.
Ele coloca seu tráfego dentro de um pequeno túnel e esse túnel o leva a outro lugar e o tráfego sai em outro lugar. Uma VPN é útil se você estiver um pouco inseguro ou se não quiser que alguém saiba onde está. A ideia de que estou conectado a uma VPN e agora estou seguro na Internet, não é tão verdade.
Para mim, pessoalmente, acho que a maior coisa são os gerenciadores de senhas. Elas são um pouco novas, mas se mais pessoas, elas estariam em um lugar muito melhor. Houve todas essas violações, certo? Você está familiarizado com eles. Então, como adversário ofensivo, esses não são privados. Tudo o que vazou está disponível na internet. Podemos organizar uma grande lista de tudo, procurar senhas e ver quais senhas você já usou antes.
Então, se estou tentando obter acesso a algo que você possui, se consigo encontrar a senha que você usou antes, sei um pouco sobre você e posso pegar essas informações e tentar reutilizá-las ou adivinhar qual é a sua senha. a próxima senha pode ser. Usar um gerenciador de senhas e tornar todas as senhas super exclusivas para todos os sites que você visita é na verdade algo bom e que tira uma carga do cérebro humano. Você realmente só precisa protegê-lo em um só lugar, o que torna a segurança muito mais simples.
Dan Costa: Somos grandes fãs de gerenciadores de senhas na PCMag, uso o LastPass há quase 10 anos. Depois de superar esse salto de não conhecer suas senhas, é um alívio. Também me lembra que esquecemos a violação do Yahoo, que vazou muitos nomes de usuário e senhas. Isso foi há anos e ninguém mais se importava com o Yahoo, mas o valor desse hack e o valor para os cibercriminosos é que muitas pessoas ainda usam as senhas usadas no Yahoo há 10 anos. E você pode procurar o que todas essas senhas são o que você está dizendo.
Josh Schwartz: Tudo se resume ao comportamento humano. Tudo se resume ao fato de você ter hábitos como humano e como atacante. Muitas vezes é isso que estou procurando explorar. Não é a tecnologia. A tecnologia continuará a melhorar e continuará a aumentar a segurança e a tornar-se mais segura, porque temos essa necessidade que impulsiona os negócios.
Mas o comportamento humano é algo que é da nossa responsabilidade mudar. E se não estamos mudando nossos hábitos e nos tornando mais seguros, não há tecnologia que possa nos proteger de qualquer coisa.
Dan Costa: Existem outros hábitos além de um gerenciador de senhas que você acha que os consumidores precisam adotar, especialmente quando estamos entrando na era da Internet das Coisas e tudo está muito mais conectado?
Josh Schwartz: Se você pensa sobre isso, não é mais apenas o seu computador. São dispositivos em todo o lugar e certos hábitos. Talvez você pense que seu telefone não é tão importante, mas a senha que você coloca no telefone é essencialmente a sua senha. O telefone tem acesso a muitas das mesmas coisas às quais seu computador pode ter acesso. Pensando em tudo o que você toca, interage com todos os dados que você deseja proteger e assegurando-se de tratá-los com a mesma sensibilidade do seu laptop ou desktop ou computador no trabalho.
Dan Costa: Eu tive algumas pessoas na RSA na semana passada e elas entrevistaram um funcionário da NSA, que disse: 'Independentemente da criptografia do telefone, eles podem acessar os telefones, porque a maioria das pessoas ainda não os bloqueia'. Muitas pessoas não bloqueiam seus telefones e não precisam de nenhuma criptografia para quebrar isso. Isso é apenas comportamento do usuário.
Josh Schwartz: Ou a senha é todos os zeros ou todos ou algo assim. Sempre existe a idéia de que, à medida que as tecnologias avançam e à medida que sua senha se torna mais como sua impressão digital, seu rosto ou algo assim, sempre haverá algum ataque e alguma maneira de contornar isso. Eu só preciso te encontrar e apontar seu telefone para o seu rosto ou eu preciso cortar seu dedo e colocá-lo no seu telefone.
Dan Costa: Também visto em muitos filmes.
Josh Schwartz: Sim, mas não estamos fazendo isso hoje em dia, o que é bom.
Dan Costa: Você fica sem membros da equipe muito rapidamente dessa maneira.
Josh Schwartz: E dedos, dificulta a digitação.
Dan Costa: Eles podem trabalhar em 10 projetos e, então, é o fim disso. Então, diga-me, em termos do que você faz, qual é o equilíbrio entre a engenharia social e o hacking técnico? E essa mistura está mudando com o tempo?
Josh Schwartz: A engenharia social sempre foi meu pão e manteiga. É o caminho de menor resistência com muita frequência. Eu diria que é uma mistura. Muito disso é recon, tentando descobrir o que realmente existe por aí, mas é interessante. O aspecto da engenharia social, não é apenas no mundo ofensivo. Se você pensa em como existe uma Equipe Vermelha interna dentro de uma empresa… fazemos parte do hacking técnico e usamos engenharia social, física e tudo combinado para tentar executar essa cadeia de assassinatos, cumprir a missão.
Mas depois, se você pensar sobre o que a segurança está tentando fazer, estamos tentando projetar socialmente todos em escala para ter melhores hábitos para o bem maior. Muitas vezes, é a narrativa da história do que fizemos e educamos as pessoas dentro da empresa… a empresa 'aqui está como funciona, e aqui está o que você pode fazer para melhorar'. Isso é engenharia social. Realmente, a maior parte do trabalho é a engenharia social, porque leva as pessoas a se preocuparem com a segurança da maneira certa, a fazer as escolhas certas e, com sorte, se preocupam com as coisas certas.
Dan Costa: Eu imagino que quando as pessoas recebem e-mails de você, elas não querem responder. Se você pedir algo, não imagino que a primeira resposta seja não.
Josh Schwartz: As equipes vermelhas passaram por uma metamorfose na última década. Você começa neste lugar onde é extremamente adversário, extremamente ofensivo, tentando bater o tambor e avisando a todos que a segurança é importante e, naqueles dias, as pessoas o vêem como adversário, porque bem, esse é o seu trabalho.
Eu tive experiências pessoais em que entro no elevador e as pessoas ficam tipo: "Ah, eu não quero ir pro meu andar, porque o Red Team está aqui" e eu fico tipo: "Eu não sou tão ruim assim cara." Isso mudou com o tempo, porque, no final, estamos todos trabalhando para o mesmo objetivo: proteger informações, proteger nossos consumidores. Então, enquanto trabalhamos juntos e compartilhamos informações sobre o que fizemos como adversários, esse tipo de fusível e eles nos vêem como aliados e amigos, mas levou algum tempo para chegar lá. Mas estou vendo uma tendência na direção certa, então isso é bom.
Dan Costa: Ótimo. Vou fazer algumas perguntas, pergunto a todos que participam do programa. Existe uma tendência tecnológica que lhe preocupa, algo que o mantém acordado à noite?
Josh Schwartz: Isso me mantém acordado à noite? Talvez a onipresença e o conforto que obtemos com toda a tecnologia que nos rodeia. Nem tanto… na verdade, a resposta real é que nada me mantém acordado à noite.
Dan Costa: Você dorme bem.
Josh Schwartz: Eu vejo as piores coisas e tudo se resume ao risco de aceitação, onde eu fico tipo: 'Ok, eu sei como é o mundo, eu sei o que é possível e eu vou ficar bem com isso'. Sei que a tecnologia entrará em minha vida em todos os lugares e vou fazer a escolha para ficar bem com ela, mas vou operar de uma maneira que entenda isso e durma como um bebê.
- Os melhores gerenciadores de senhas gratuitos de 2019 Os melhores gerenciadores de senhas gratuitos de 2019
- Como descobrir se sua senha foi roubada Como descobrir se sua senha foi roubada
- O Facebook armazenou até 600 milhões de senhas de usuários em texto sem formatação O Facebook armazenou até 600 milhões de senhas de usuários em texto sem formatação
Dan Costa: Tudo bem, existe tecnologia que você usa todos os dias, ferramenta ou serviço que inspira admiração?
Josh Schwartz: Bem, não é meu telefone celular, mas sinceramente há muitas coisas que estão surgindo e que eu imagino e me sinto impaciente. Eu gostaria que eles chegassem aqui mais rápido. Estou empolgado com o futuro da IA, o futuro do aprendizado de máquina e coisas que esperamos nos dar um mundo mais conectado. Principalmente, estou apenas esperando por isso. Mas nada realmente me surpreende muito, eu acho.
Dan Costa: Então, como as pessoas podem seguir o que você está fazendo, o que você pode contar publicamente para as pessoas, como elas podem encontrá-lo online?
Josh Schwartz: Eu uso o apelido FuzzyNop, para que as pessoas possam me encontrar lá em qualquer lugar.