En el mundo actual, donde las grandes y pequeñas empresas se ven afectadas en gran medida por los ataques cibernéticos y las violaciones de datos, el gasto en ciberseguridad se ha disparado. Las empresas están gastando millones de dólares para salvaguardar sus ciberdefensas. Y cuando hablamos de Seguridad Cibernética y Seguridad de la Información, Georgia Weidman es uno de los pocos nombres destacados en la industria que viene a la mente.
Georgia Weidman es un hacker ético, probador de penetración, CEO de Shevirah Inc / Bulb Security LLC y autor del libro "Pruebas de penetración: una introducción práctica a la piratería".
Aquí hay una entrevista exclusiva de Georgia Weidman con nuestro equipo en Ivacy donde le hicimos algunas preguntas relacionadas con ella y la Seguridad Cibernética en general:
P1 - Hola Georgia, estamos muy contentos de tenerte y quedamos totalmente impresionados al saber cuánto has logrado en un corto período de tiempo. ¿Qué te trae a esta industria de infosec? ¿Cómo comenzaste tu viaje como hacker ético?
Fui temprano a la universidad, a los 14 años en lugar de los 18 habituales. Y tomé una licenciatura en matemáticas porque no quería ser un científico de la computación. Mi madre era una y ¿qué adolescente quiere ser como sus padres?
Pero luego no pude encontrar un trabajo a los 18 años con solo una licenciatura y sin experiencia laboral, me pidieron que hiciera una maestría en ciencias de la computación, ¡y me iban a dar dinero! Eso era mejor que tener que vivir con mis padres.
Así que ingresé al programa de Maestría y la universidad tenía un club de defensa cibernética. El capitán del club de defensa cibernética parecía realmente interesante y quería aprender más sobre él. Entonces, sin saber nada sobre seguridad cibernética, me uní al club de defensa cibernética y competimos en la competencia de defensa cibernética del Atlántico Medio. Bueno, aprendí que la ciberseguridad era más interesante que el chico, pero también encontré lo que quería hacer con mi vida.
P2- ¿Cuál fue su inspiración y motivación para escribir su libro "Pruebas de penetración"?
Quería escribir el libro que deseaba tener cuando comenzaba en infosec. Cuando comencé y estaba tratando de aprender mucho de lo que estaba disponible en forma de tutoriales y acumulé tantos conocimientos previos que estaba haciendo el equivalente técnico de buscar todas las palabras en el diccionario. Luego, esas palabras en el diccionario infantil para incluso tener una idea de cómo funcionaban las cosas y mucho menos por qué funcionaban.
Cuando pedí ayuda, recibí un montón de "¡Bájate n00b" o "¡Intenta más!" En lugar de explicaciones. Quería hacerlo más fácil para los que vinieron después de mí y llenar ese vacío con mi libro.
Q3- Tan interesante como es el nombre, cuéntenos sobre la seguridad de la bombilla de su empresa y cómo comenzó todo.
De hecho, tengo dos compañías, Shevirah Inc. y Bulb Security LLC. Inicié Bulb cuando recibí una subvención DARPA Cyber Fast Track para construir el Marco de Pentest de Smartphone y posteriormente me reprendieron por tener la audacia de solicitar la subvención de forma independiente.
Además de los proyectos de investigación, también construí un negocio de consultoría de pruebas de penetración, capacitación, ingeniería inversa e incluso análisis de patentes en este momento. En mi abundante tiempo libre, también soy profesor en la Universidad de Maryland University College y en la Universidad de Tulane.
Comencé Shevirah cuando me uní al acelerador de inicio Mach37 para productizar mi trabajo en las pruebas de penetración de dispositivos móviles e Internet de las cosas, simulación de phishing y validación de control preventivo para ampliar mi alcance de ayudar a otros investigadores a ayudar a las empresas a comprender mejor su dispositivo móvil y Postura de seguridad de IoT y cómo mejorarla.
P4- Bueno, cuéntenos sobre el momento más emocionante en el que realmente se sintió orgulloso de su trabajo como probador de penetración.
Cada vez que entro, particularmente de una manera nueva, tiene la misma prisa que la primera vez. Lo que también me enorgullece es tener clientes habituales que no solo arreglaron todo lo que encontramos la primera vez, sino que también continuaron elevando su postura de seguridad a medida que se conocían nuevas vulnerabilidades y ataques en el tiempo entre las pruebas.
Ver a un cliente no solo parchear lo que solía tener, sino también crear una postura de seguridad más madura para la empresa en su conjunto, significa que he tenido un impacto mucho mayor que solo mostrarle que puedo obtener el administrador de dominio con Envenenamiento por LLMNR o EternalBlue.
P5- Para aquellos que desean comenzar su viaje en el campo de las pruebas de penetración y piratería éticas, ¿qué sugerencias o consejos profesionales les gustaría dar? Puede ser cualquier sugerencia de curso en línea, certificados o título educativo para el caso.
Yo recomendaría mi libro, Pruebas de penetración: una introducción práctica al pirateo, por supuesto. También sugiero participar en reuniones o conferencias locales de piratas informáticos, como un capítulo del grupo DEF CON local o BSides de seguridad. Esa es una excelente manera de conocer posibles mentores y conexiones en la industria. También sugeriría hacer un proyecto de investigación o clase.
Esta es la competencia que me llevó a #infosec en primer lugar. Hay concursos en regiones de todo el país, así como nacionales para los ganadores regionales. Un buen lugar para poner sus dólares de extensión y horas de voluntariado. https://t.co/TcNLC7r8tV
- Georgia Weidman (@georgiaweidman) 28 de febrero de 2019
Mucha gente piensa que la investigación de seguridad es magia oscura que requiere habilidades arcanas sobre el funcionamiento interno del gestor de arranque, pero, en la mayoría de los casos, ese no es el caso. Incluso si recién está comenzando, todos tienen un conjunto de habilidades que sería útil para otros en el campo que pueden compartir. ¿Quizás eres excelente formateando en Word o tienes años de experiencia como administrador de sistemas Linux?
P6- ¿Le gustaría sugerir algún software de seguridad, complementos, extensiones, etc. a nuestra audiencia que está preocupada por su privacidad y seguridad en línea? ¿Existen métodos infalibles para la máxima protección en línea?
Dado que parte de mi negocio es validar la efectividad de las soluciones preventivas, estoy seguro de que comprenderá que tengo que seguir siendo independiente del proveedor en las entrevistas. Es importante tener en cuenta que no existe una seguridad infalible. De hecho, creo firmemente que la estrategia de marketing de los proveedores de seguridad preventiva de "Si instala nuestro software (o coloca nuestra caja en su red), ya no tendrá que preocuparse por la seguridad", es la causa principal de muchos de las brechas de alto perfil que vemos hoy.
Las empresas, después de haber sido informadas por estos supuestos vendedores expertos, invierten mucho dinero en el problema de seguridad, pero pasan por alto cosas como parches y conciencia de phishing porque sus proveedores dijeron que lo tenían todo cubierto. Y, como vemos una y otra vez, ninguna solución preventiva detendrá todo.
P7- Desde el punto de vista de un hacker, ¿qué tan difícil se vuelve piratear a alguien si tiene una VPN ejecutándose en su dispositivo inteligente? ¿Qué tan efectivas son las VPN? ¿Usas alguno?
Como la mayoría de los ataques en estos días, la mayoría de los ataques móviles involucran algún tipo de ingeniería social, a menudo como parte de una cadena de explotación más grande. Al igual que con los productos preventivos, una VPN ciertamente puede ser útil contra algunos ataques y ciertamente contra escuchas, pero, mientras los usuarios móviles descarguen aplicaciones maliciosas, perfiles de administración, etc. y abran enlaces maliciosos en sus dispositivos inteligentes, una VPN solo puede ir tan lejos.
Animaría a los usuarios a usar VPN, particularmente en redes públicas, así como otros productos de seguridad, por supuesto. Solo me gustaría que los usuarios sigan vigilando su postura de seguridad en lugar de depender únicamente de estos productos para protegerlos.
P8- Con el auge exponencial de los dispositivos inteligentes y el increíble desarrollo en el campo de IOT, ¿cuáles crees que son las posibles amenazas y vulnerabilidades de seguridad que probablemente se unirán?
Veo las amenazas contra dispositivos móviles e IoT como los dispositivos tradicionales con más puntos de entrada y salida. En una computadora con Windows, existe la amenaza de ataques de ejecución remota de código donde el usuario no necesita hacer nada para que el ataque sea exitoso, ataques del lado del cliente donde el usuario necesita abrir un archivo malicioso, ya sea una página web, un PDF, un ejecutable, etc. También hay ataques de ingeniería social y escalada de privilegios locales.
Faltan parches, las contraseñas son fáciles de adivinar, el software de terceros es inseguro, la lista continúa. En dispositivos móviles e IoT nos ocupamos de esos mismos problemas, excepto que en lugar de solo la conexión por cable o inalámbrica, ahora tenemos el módem móvil, Zigbee, Bluetooth, Near Field Communication, solo por nombrar algunos como posibles vectores de ataque, así como avenidas para evitar cualquier prevención de pérdida de datos implementada. Si un dispositivo móvil comprometido extrae datos confidenciales de la base de datos y luego los envía a la red celular por SMS, toda la tecnología preventiva del mundo en el perímetro de la red no los captará. Del mismo modo, tenemos más formas que nunca para que los usuarios puedan ser diseñados socialmente.
En lugar de solo correo electrónico y una llamada telefónica, ahora tenemos SMS, redes sociales como Whatsapp y Twitter, códigos QR, la lista de las innumerables formas en que un usuario podría ser el objetivo de abrir o descargar algo malicioso.
P9- ¿Hay alguna conferencia de seguridad que esté esperando? En caso afirmativo, ¿qué son esos?
También me gusta ver nuevos lugares y conocer gente nueva. Así que siempre estoy dispuesto a viajar a tierras extranjeras para hacer conferencias. ¡Este año he sido invitado a la presentación principal de RastacCon! en Jamaica El año pasado, pasé un tiempo maravilloso visitando Salvador, Brasil, al presentar una de las conferencias de Roadsec. También este año voy a hablar sobre Carbon Black Connect, que es un buen lugar para mí, ya que estoy trabajando para ser tan conocido en el mundo de los negocios como en el mundo de Infosec. A pesar de estar en Las Vegas caliente y lleno de gente, el campamento de verano de Infosec (Blackhat, Defcon, BSidesLV, además de otros eventos variados al mismo tiempo) es una excelente manera de ponerse al día con mucha gente de la industria y ver lo que han estado haciendo. a.
Q10- ¿Cuáles son tus planes futuros? ¿Escribirás otro libro? ¿Fundar otra empresa? Escalando el existente? ¿Qué busca Georgia Weidman lograr más en su vida?
Actualmente estoy terminando la segunda edición de Pruebas de penetración: una introducción práctica a la piratería. Definitivamente me gustaría escribir libros técnicos adicionales para principiantes en el futuro. Aunque solo he realizado un par de inversiones ángel hasta ahora, espero poder invertir y ser mentor de otros fundadores de startups en el futuro, particularmente fundadores técnicos como yo, y hacer más para apoyar a las mujeres y las minorías en infosec.
Aprendí mucho haciendo una startup, pero también soy una de esas raras razas que realmente solo quiere hacer una investigación de seguridad. Después del inicio, me imagino solo haciendo investigación de seguridad a tiempo completo por un tiempo. Completamente no relacionado con la tecnología, pero si me sigues en las redes sociales, es posible que hayas notado que compito en eventos ecuestres, por lo que este año mi caballo Tempo y espero ganar las finales de la Virginia Horse Show Association. A más largo plazo, me gustaría dedicar más tiempo y recursos a unir a los caballos de rescate con los dueños merecedores y salvar a las tortugas marinas.
“ No se puede arreglar la seguridad solo con productos preventivos. Las pruebas son una parte necesaria y a menudo pasada por alto de la seguridad. ¿Cómo entrará un verdadero atacante en su organización? ¿Podrán eludir su solución preventiva? (Sugerencia: sí) "- Georgia Weidman
