Þróun netöryggis: Chris Wysopal hjá Veracode

Frá tilkomu internetsins og eftir óteljandi, stórfelld innbrot, heldur heimssamfélagið áfram að glíma við netöryggi og meðhöndla það sem eftiráhugsun.



27. júní 2019

Þegar internetið tók við sér og innbrot, gagnabrot og aðrar netógnir urðu venja stofnanir og stjórnvöld hafa barist aftur í gegnum stöðuga þróun netöryggistækni og aðferða. En árangur í að veita raunverulegt netöryggi hefur verið fimmti. Getum við lært af einhverjum mistökum sem urðu á leiðinni?





Chris Wysopal, tæknistjóri og annar stofnandi Veracode, hefur tekið þátt í netvörnum frá upphafi. Reyndar hefur hann, sem varnarleysisrannsóknarmaður hjá hugveitu tölvuþrjóta, L0pht, unnið í áratugi við að krefjast öruggrar tækni frá áhrifamiklum tæknifyrirtækjum.

Í þessum þætti deilir Wysopal verkum sínum á fyrstu árum netöryggis og segir frá sögum eins og þegar hann bar vitni fyrir öldungadeild 1998 um tölvuöryggi. Á þeim tíma hélt hann því fram að settar yrðu reglur um stór fyrirtæki eins og Microsoft, til að framfylgja ábyrgð og þróun hugsi, öruggari kóða sem verndar friðhelgi neytenda. Þessar fyrstu áhyggjur hafa aðeins vaxið, þar sem enn er lítil vörn gegn kóða og fastbúnaði sem gerir ráð fyrir innbrotum. Hvert förum við héðan? Wysopal deilir nokkurri visku og nokkrum viðvörunum.

Business Lab er hýst af Elizabeth Bramson-Boudreau, forstjóra og útgefanda MIT Technology Review. Þátturinn er framleiddur af Katherine Gorman, með ritstjórnarhjálp frá Emily Townsend. Tónlist eftir Merlean, úr Epidemic Sound.



Frá MIT Technology Review. Ég er Elizabeth Bramson-Boudreau. Og þetta er Business Lab: Sýningin sem hjálpar viðskiptaleiðtogum að átta sig á nýrri tækni sem kemur út úr rannsóknarstofunni og inn á markaðinn. Í dag ætlum við að einbeita okkur að sögu og þróun netöryggis og hvernig þessar fyrstu nálganir enduróma í dag. Með öðrum orðum, hafa viðbrögð við allra elstu netógnunum mótað hvernig við lítum á öryggi í dag?

Elizabeth Bramson-Boudreau : Og er einhver lærdómur af því hvernig við iðkum stafrænt öryggi okkar núna? Þetta er annað í seríunni okkar um netöryggi þar sem við erum að kanna allt frá því nýjasta um tölvuþrjótaárásir til þess sem stofnanir geta gert til að vernda fólkið sitt og gögn þeirra betur. Gestur okkar í dag er Chris Wysopal, tæknistjóri og annar stofnandi Veracode. Hann hefur verið virkur frá upphafi í áframhaldandi baráttu fyrir stafrænu öryggi. Ég er hér með Chris Wysopal, sem er meðstofnandi og yfirmaður tæknimála hjá Veracode, netöryggisfyrirtæki. Chris á, áður en Veracode, nokkuð langa sögu í netöryggi og ég held að við ætlum að byrja þar. Geturðu sagt okkur, Chris, frá baksögu þinni um netöryggi?

Chris Wysopal : Já örugglega. Ég byrjaði í netöryggi sennilega eins og seint á níunda áratugnum á tilkynningatöflukerfum fyrir internetið og það hafði svona neðanjarðar aðdráttarafl eins og óhefðbundnir fjölmiðlar eins og 'zine heimurinn þar sem þú varst að hafa samskipti einn-í-mann við þennan valkost. pláss. Sumar skrárnar á þessum kerfum töluðu um að hakka símakerfið og það var svona upplýsingar sem þú gætir hvergi annars staðar fengið. Ég var háskólanemi á þeim tíma. Þetta var dálítið forvitnilegt og ég held að það hafi sett mig í ferðalag til að reyna að kanna upplýsingar í kringum tölvur og net sem ég gerði allan tíunda áratuginn.

Elísabet : Svo hvernig hefurðu séð landslag þróast...þú hefur átt frekar langan feril í þessu og svo þú hefur virkilega séð landslag breytast sem ég myndi hugsa á þessum 20, 30 árum. Hvað hefurðu séð hvernig myndir þú einkenna þær breytingar sem þú hefur fylgst með?



Chris : Já, svo snemma á tíunda áratugnum var ég hugbúnaðarverkfræðingur. Ég vann reyndar hjá Lotus hérna í Cambridge og við tengdumst netinu. Og ég svona við fórum að hugsa um hvað ef við hefðum haft hugbúnaðinn okkar í gangi á internetinu svo fólk á netinu gæti tengst hugbúnaðinum okkar? Og það opnaði huga minn fyrir þeirri hugmynd að, vá, þetta hljómar eins og það verði öll þessi öryggisvandamál.

Elísabet : Á því stigi. Hvað fékk þig til að sjá að þessi aðgangur að internetinu myndi alltaf leiða í báðar áttir, báðar áttir?

Chris: Svo ég byrjaði að vinna í hugbúnaði sem var tengdur við internetið og það fór að verða erfitt vandamál að gera hann öruggan þannig að fólk gæti ekki bara haft aðgang að gögnunum sem voru á bakvið hugbúnaðinn þinn er í raun erfitt að búa til hugbúnað sem var öruggur . Það var næstum eins og við vissum ekki hvernig. Það opnaði augu mín virkilega að eftir því sem fleiri og fleiri hlutir tengdust internetinu myndi það verða mjög erfitt.

Elísabet: Og svo, hvað er stærsta málið sem þú sérð núna? Svo, í ljósi þess að þú veist að þú varst þarna strax í upphafi sástu margt koma upp. Þín eigin saga var að þú eyddir tíma sem tölvuþrjótur. Hvað sérðu í dag sem heldur þér vakandi á nóttunni sem þú heldur að sé það stærsta sem ekki aðeins þú þekkir fólk sem hlustar á þetta hlaðvarp heldur ættu löggjafarnir okkar og okkar og leiðtogar okkar að vera að hugsa um?

Chris : Þú veist að það sem hræðir mig er að fólk byggir kerfi, hugbúnað, IoT og það hugsar ekki í raun um öryggi frá upphafi, annað hvort hugsar það alls ekki um það, eins og þeim sé sama, eða hugsaðu um það alveg í lokin og þeir gera algjört lágmark og þeir endar með því að þú veist að þú setur vöru sem er í eðli sínu brotin. Það er eðli málsins samkvæmt að vandamálin verða að finna í því. Og ég held bara að við erum stöðugt að setja út tæknistraum sem er í grundvallaratriðum brotinn frá öryggissjónarmiði. Og við erum stöðugt að hreinsa það upp.

Elísabet: Svo, ertu að tala um hugbúnað? Ertu að tala um IoT-virk tæki? Ertu að tala um alla þessa hluti? Og hvers vegna hefur fólk sem býr til þessa hluti ekki áhyggjur af öryggi sínu?

Chris: Já. Þetta var eitthvað sem við töluðum um þegar ég bar vitni fyrir öldungadeildinni árið 1998 sem var fyrsta tölvan heyrðum um tölvuöryggi ríkisins og sumt af því sem við ræddum um var að söluaðilarnir vita ekki hvað þeir eiga að gera. Söluaðilum er sama um það vegna þess að viðskiptavinir þeirra eru ekki að biðja um það. Seljendur bera enga ábyrgð. Þeir gefa leyfi fyrir hugbúnaðinum. Ef eitthvað fer úrskeiðis hafa þeir afsalað sér allri ábyrgð. Við áttum markað þar sem fólk gat sett hlutina út án þess að vera nein ókostur vegna vandamála sem féllu vegna vanhæfni þeirra til að tryggja. Einn stærsti leikmaðurinn á þeim tíma var Microsoft. Og Microsoft var að senda allan þennan hugbúnað og hann hafði fullt af veikleikum. Og allir sem hlaupa öll fyrirtæki sem keyra hugbúnaðinn voru að fá þeir voru að brjótast inn og það var bara eins konar óbreytt ástand eins og flokkslínan Microsoft var þú veist Nei, við smíðum öruggan hugbúnað' og flokkslínan okkar var nei þú gerir það ekki. Við ætlum að sýna þér veikleikana í hugbúnaðinum. Og það var tímabil þar sem þú þurftir að vekja athygli og næstum skamma þessi fyrirtæki til að byggja betri hluti sem þau myndu selja.

Elísabet: Svo heldurðu að á þeim tíma hafi Microsoft virkilega skilið að þeir voru að smíða vörur sem voru ekki öruggar eða heldurðu að þegar þeir voru að segja að vörur okkar væru nógu góðar þá hafi þeir verið ósanngjarnir?

Chris : Ég held að þeir hafi ekki skilið hvað þeir voru að byggja. Ég held að þú vitir að PR lína fyrirtækja er að við smíðum öruggan hugbúnað. Það er afstaða okkar. Þannig að þeir gátu smíðað eins og öryggiseiginleika eins og auðkenningu og dulritun. Reyndar gerðu þeir það frekar illa, en þeir skildu ekki varnarleysi. Þeir skildu ekki að mistök í kóðanum gætu verið nýtt af árásarmönnum til að komast að gögnunum á bak við forritið, keyra sínar eigin skipanir á hugbúnaðinum. Og það var þar sem tölvuþrjótar komu inn og sýndu söluaðilum hvað væri mögulegt ef þú værir vondi gaurinn. Og það er þegar þú segir að þú veist að þú sért tölvuþrjótur. Þannig sá ég hlutverk mitt og hlutverkið sem við höfðum uppi á L0pht, tölvuþrjótahópnum sem ég var hluti af, var að tilkynna að söluaðilarnir vissu ekki hvað þeir voru að gera og þeir verða að byrja að byggja upp hugbúnað á annan hátt.

Elísabet : Þetta er frábært. Setjum þetta aðeins í samhengi fyrir fólk sem er að hlusta á þetta. Svo þú barst vitni fyrir þinginu árið 1998 og á þeim tímapunkti geturðu málað myndina fyrir mig aðeins um hverjar ástæðurnar voru fyrir því að þú varst að gera og í markmiðum þínum hvað þú varst að reyna að ná á þeim tímapunkti. Og svo ætla ég að koma aftur og biðja þig um að tengja það við hvar við erum núna þar sem við höfum séð nýlega fólk fyrir framan þingið Mark Zuckerberg alveg sérstaklega. Og hvað þú ert þú veist hvaða tengsl og hvaða reynslu þú ert með þegar þú sérð svona hluti gerast, þú veist öllum þessum árum síðar.

Þú veist að við bárum vitni árið 1998 en þau fáu ár þar á eftir byrjuðum við að gera það sem við köllum varnarleysisrannsóknir. Við myndum taka vinsæla vöru eins og Internet Explorer og við myndum setja hana upp í rannsóknarstofu og við myndum bakfæra hana. Við myndum reyna að komast að því hvar vandamálin væru og við myndum finna leiðir til að málamiðlun. Ég meina núna hugsum við um það eins og þú veist eitthvað sem allir vita um þú smellir á hlekk og tölvan þín keyrir mjúka einhvers annars undir stjórn einhvers annars. Ég held að allir viti áhættuna núna ef þú smellir á tengil og það er illgjarnt, það gæti leitt til þess að einhver annar sem þú þekkir stjórni tölvunni þinni. Það er nákvæmlega tegund veikleika sem við vorum að rannsaka árið '96, '97 og reyndum að fá fólk til að veita athygli. Og við byrjuðum að gera þetta með það að markmiði að rannsaka og kanna. En eftir smá stund komumst við að því að neytendur vita ekki að þetta er vandamál. Söluaðilarnir vita það ekki en neytendur vita það ekki heldur. Og svo byrjuðum við að taka að okkur neytendaverndarhlutverk þar sem við myndum reyna að koma því á framfæri að óöruggur hugbúnaður muni leiða til þess að tölvan þín verði í hættu.

Og við fengum smá pressu fyrir það og það kom okkur á radar öldungadeildarinnar þegar þeir voru að byrja að takast á við þetta mál. Árið '98 var það fyrsta skýrsla ríkisábyrgðarskrifstofu sem skoðaði öryggi allra mismunandi alríkisstofnana og það var gert í fyrsta skipti. Og þess vegna vildi öldungadeildarþingmaðurinn Thompson, sem var þá stjórnarformaður, fá áheyrn til að tala um niðurstöðurnar og hversu illa ríkisstjórnin stóð sig, líklega vegna þess að þeir eru að keyra mikið af Microsoft hugbúnaði á þeim tíma, en mikið af öðrum söluaðilum líka. Ég veit ekki hver setti pöddan í eyrað á sér, en þeir vildu hafa meira en ríkisstjórnarsjónarmiðið, þeir vildu hafa utanaðkomandi sjónarmið um þetta. Og það endaði með því að við fengum snertingu eins og þú veist, eins konar vitnisburður sérfræðinga eins og þessi er eins konar utanaðkomandi skoðun tölvuþrjótar hafa það frábæra viðhorf utanaðkomandi til vandamála sem þú veist ekki hvattir til af venjulegum stjórnvöldum eða auglýsingum.

Elísabet: Og, svo, brúa á milli þeirrar reynslu og nýlega eins og Mark Zuckerberg. Ertu hissa á því hvernig Í fyrsta lagi finnst þér það öðruvísi öllum þessum árum seinna hvað þú sást þegar hann var þarna að tala um Facebook? Eða virðist það átakanlega kunnuglegt? Þú veist hver er samanburðurinn er munurinn sem þú vilt deila með okkur?

Chris: Facebook hefur átt í mörgum mismunandi vandamálum, sum, mörg af þeim sjálfssköpun eins og bara með því hvernig þeir eru að takast á við friðhelgi einkalífsins og viðskiptamódel þeirra. Sum vandamálanna eru vegna þess að þú veist að það er krefjandi að tryggja svo stóran og flókinn hugbúnað og það hefur verið brotið, ekki satt? Það er bæði öryggi og næði, þegar þú hugsar um það. Munurinn í dag er að áhættan er bara svo miklu meiri vegna þess að það er svo miklu meira háð kerfum eins og Facebook. Hugsaðu bara um hversu mikið af persónulegum upplýsingum er á Facebook sem gæti verið notað gegn fólki sem greinilega myndi vera það fólk myndi ekki vilja verða afhjúpað. Og þú veist að að vissu marki er verið að nota gegn þér þekkir allt lýðræðiskerfið okkar. Ekki satt? Og gegn samfélaginu en ekki bara gegn einstaklingum. Þannig að húfi virðist vera svo miklu meiri núna en árið '98 þegar við vorum bara að reyna að vekja athygli og sögðum eins og við sjáum að þetta væri vandamál sem á eftir að versna. Og svo lít ég til baka og segi að þú veist að í grundvallaratriðum hefur margt ekki breyst. Í grundvallaratriðum er enn engin ábyrgð á hugbúnaði. Þú veist að ef brotið er á Facebook þá er það eins og, jæja, þú veist að það er erfitt að smíða öruggan hugbúnað og það virðist sem allir sem búa til hugbúnað fái aðgang þegar brotið er á þeim. Þannig að það hefur í grundvallaratriðum ekki breyst. En ég held að það sem hefur breyst er þessi áhrif þessara brota hafa á samfélagið. Það er bara í gegnum allt líf okkar.

Elísabet: Heldurðu að löggjafaraðilar sem búa til ný lög til að innleiða betra netöryggi sé svarið? Og ef svo er, eru þá sérstakar ráðstafanir sem þú hefur mestan áhuga á að koma til framkvæmda.

Chris: Já svo mér finnst gaman að skoða hliðstæður í öðrum viðskiptum aðrar atvinnugreinar sem stjórnvöld hafa sett reglur um, eins og hluti eins og þú veist að matur er stjórnaður með innihaldsmerkingum og hreinleika og svoleiðis. Öryggi er stjórnað á mörgum stöðum: bílum, flugvélum, alls kyns flutningum, vinnustaðnum og jafnvel neysluvörum. Mér finnst gaman að skoða þessar hliðstæður og segja að þú veist hvernig kom það okkur hvernig fáum við ávinninginn án þess að kæfa þessar atvinnugreinar? Ég meina augljóslega hefur öryggi í bílum verið mikil velgengnisaga. Ekki satt? Eins og við séum svo miklu öruggari að keyra núna. Og þú veist að það gerir það ekki bílaiðnaðurinn virðist standa sig vel. Svo hvernig getum við haft reglugerð sem getur bætt öryggi sem er frekar nálægt öryggi, sérstaklega þegar við byrjum að tala um IoT og tæki sem eru stjórnað af tölvum. Hvernig getum við, hvernig getum við gert það á þann hátt að við kæfum ekki þær atvinnugreinar? Við verðum að stíga varlega til jarðar en ég held að það hafi virkað á sumt af því sem hefur virkað eins og þú veist fyrir matvæli eins og innihaldsmerki. Svo bara gagnsæi um hvað er þarna inni og leyfa neytandanum að ákveða. Eins og augljóslega ef eitthvað reynist valda krabbameini þá fjarlægjum við það af markaðnum.

En aðrir hlutir eru bara í grundvallaratriðum þú veist að það byggist á áhættu, byggt á því að þú þekkir heilsuna þína. Svo við getum hugsað um gagnsæi hvað fór inn í hugbúnaðinn var hann unnin í aðstöðu sem bjó til hnetur sem þú veist? Svo hvað er það. Hvernig er það búið til? Og hver eru innihaldsefnin, eins og hvaða stykki af opnum uppspretta eru þarna, hvaða dulmál notar það? Ég held að innihaldsmerkingar og gagnsæi sé góð leið til að byrja á því. En hitt sem ég held að þurfi að gerast er þegar þú þekkir brot sem eru stór, meðhöndla þau eins og þú þekkir eins og flutninga sem þú þekkir slys og reyndu að komast að rót þess sem gerist. Við virðumst alltaf gera það með flutninga og oft þegar það er brot segjum við eins og jæja, þetta er hversu margar plötur voru gerðar í hættu. Við ætlum að kaupa alla sem þú þekkir lánshæfismatsskýrslu eða lánaeftirlit og við ætlum að reyna að láta það ekki gerast aftur. En þú veist að við vitum í raun ekki hvað gerðist. Ég held að svona 10 prósent af þeim tíma sem þú veist að fréttirnar koma út og venjulega er það vegna þess að árásarhópurinn er að halda fram fullyrðingum.

Elísabet: Rétt. Ég meina það er svo áhugavert það sem þú ert að segja vegna þess að svona greining eftir slátrun á því sem gerðist þú veist að þú getur horft á flugslys og þeir leggja hvert einasta stykki út á það sem þú veist í vöruhúsi og þeir skoða algjörlega allt og þeir reyna í raun að komast að því nákvæmlega hvað svarti kassinn er að segja þeim o.s.frv. Og það er nokkur mismunandi Ég meina og svo talarðu um hluti eins og mataröryggisslys, þú veist að þú ert með aðstæður þar sem rómantísk salat fer illa, gleymdu því - þú munt aldrei finna rómantíksalat fyrr en þú veist að kreppan er liðin hjá. Og ég held að það sé einhver raunverulegur ávinningur af svona nálgun.

En ég held að áskoranirnar og ég hef áhuga á sjónarhorni þínu sé að þær séu það það er eitthvað sem er í eðli sínu auðveldara fyrir fólk að skilja hvað fór í að búa til þetta salat og undirbúa að forþvott salat eða hvað eru mismunandi hlutir í flugvélinni sem hafa samskipti sín á milli? Og einhvern veginn þegar kemur að veikleikum hugbúnaðar og þú veist um stórt netöryggisbrest, þá er það kannski skortur á þekkingu og raunverulegri innsýn í hvað öll innihaldsefnin eru. En fyrir örfáa myndi ég halda að innihaldsefnin sem öll eru þarna skilað merkingu.

Chris: En þú ert með sérfræðinga sem eru lagaðir ofan á þetta grunnefni eins og það eru næringarfræðingar, það eru læknar og þá geta þeir gefið ráð út frá þessum grunnatriðum. Og ég myndi halda því fram að hvers kyns flugslys sé mjög flókið bilun sem fór inn í það eins og ef þú horfir á það nýjasta með Eþíópíu og Lion Air þá er það frekar flókin keðja af þér þekkir hugbúnað, þjálfun sem þú þekkir kannski einhvern léleg hönnun að þessi sem fara í það. Það er aldrei einfalt mál eins og einhver skynjari bilaði sem olli því að einhver hugbúnaður bilaði og svo varð þjálfunarbilun. Þetta er venjulega eins og tveir eða þrír hlutir samanlagt. Og svo ég held að það sé í raun frekar svipað því sem við sjáum í netheiminum.

Elísabet: Ég meina ég held að ég sé kannski meira að hugsa um þingmennina. Ég meina ég get ekki annað en endurtekið í huganum oft spurningarnar til Mark Zuckerberg snúast um Jæja, hvernig græðirðu peninga?' Og í raun og veru að svíkja fáfræði á þingi um hvernig fyrirtæki og sennilega fullt af öðrum reka á nútíma interneti, sem leiðir til þess að mér finnst svolítið erfitt að ímynda sér að við gætum komist leið okkar til eftirlitsstofnunar. hvað sem það þýðir - það gæti haft raunverulegan getu til að rífa hlutina í sundur. Ég vona að Ég meina, ég held líka að það sé áhugavert og sannfærandi hlutur að keyra í átt að, en ég velti líka fyrir mér hvaða sjónarhorn þú hefur, sérstaklega þar sem þú réðst til Microsoft á sínum tíma, um kraft þessara stóru internetfyrirtækja og hvernig þau munu bregðast við einhvers konar svipuðum hávaða frá þingmönnum. Ég held að flugfélög séu í annarri stöðu og matvælafyrirtæki í annarri stöðu. Hvernig heldurðu að Facebook eða Instagram eða Twitter eða Google eða hver sem er myndi svara eða hafa svarað svona hugmyndum hingað til?

Chris: Mörg af þessum fyrirtækjum, eins og bara Microsoft, þau svöruðu árið 2000...Ég held að það hafi í raun verið 2002, Bill Gates kom út og sagði að við ætlum að vita að þú hættir þróun og allir munu fá þjálfun og þeir kallaði það nú traust tölvumál. Og þeir setja sig á leið til að byggja upp öruggan hugbúnað og svo líklega 10 árum eftir það, gera þeir í raun mjög gott starf. Ekki satt? Og ég held að hluti af því hafi verið að vernda vörumerkið sitt, þeir urðu að gera þetta. Ég skoða mikið af þessu og það eru fyrirtæki sem gera þetta til að vernda vörumerkið sitt. Líka við ef þú vilt skoða skýjaveiturnar eins og Amazon og AWS. þeir eru mjög sterkir í öryggi vegna þess að þeir þurfa að hafa sterkt vörumerki í kringum öryggi eða enginn ætlar að nota þjónustu þeirra. Svo að það er ef það er samræmi milli vörumerkis fyrirtækisins og þess sem þeir eru að veita á öruggan hátt, ég held að það geti virkað. En ég held að vandamálið með Facebook sé að ég tel að samræming sé ekki nauðsynleg, endilega þar, vegna þess hvernig fólk er að gefa upp upplýsingar sínar. Samræmið er ekki alltaf til staðar. Og ef við lítum á eins og þú veist ódýrt þá þekkir þú IoT framleiðendur sem hafa nöfn sem við höfum í raun aldrei heyrt um að koma frá Kína, það er engin vörumerkjasamræming og þeim er alveg sama. Það er þar sem ég held að vandamálið sé stærra, það er kannski ekki hjá stærri spilurunum heldur er þetta eins og næstu þúsund leikmenn sem halda bara alltaf að vera með varnarleysi einhvers staðar þannig að netkerfi allra er alltaf hættulegt. Þú veist, eins og ef þú horfir á hvers kyns kerfi er það því lengra sem þú kemst í burtu frá efstu spilurunum og vörumerkið sem er vandamálið eins og WordPress er í raun nokkuð gott. En þú gætir sett viðbót frá einhverjum óþekktum spilara inn á WordPress bloggsíðuna þína og það er nú málamiðlunin. Það er þar sem ég held að reglugerðin eða gagnsæið verði að einbeita sér að því að lyfta botninum upp, ekki gera efstu leikmennina sterkari.

Elísabet: Mig langar að flytja núna til að vita hvað er að gerast í dag og nokkrar nýjungar sem eru verið þróað til að auka öryggi. Við lifum núna í heimi með tvíþætta auðkenningu í kringum lykilorðin okkar. Hversu lengi heldurðu að það verði sérstaklega staðallinn og hvaða aðrir þættir eins og líffræðileg tölfræði og hlutir umfram það heldurðu að við munum fara í átt að ef einhverjir eru?

Chris: Svo ég held að tvíþættir séu ein af stærstu nýjungum, sérstaklega þú veist hvar þú getur notað farsímann þinn sem seinni þáttinn, vegna þess að þú veist að það er næstum eins auðvelt í notkun og lykilorð og það er næstum auðvelt að setja það upp sem lykilorð. Ég held að við eigum eftir að sjá tvíþætti endast mjög lengi. Líffræðileg tölfræði, þú veist að það er í lagi fyrir þig að vita vélbúnaðartæki eitthvað sem þú veist að er hurðarlásinn þinn eða síminn þinn. Það byrjar að verða erfiðara þegar þessi líffræðileg tölfræði þarf að deila víða um fullt af kerfum og halda því öruggu. Eins og ef þú hugsar um líffræðileg tölfræði í símanum þínum, þá fer það þumalfingur aldrei eftir örugga flísina á símanum þínum, ekki satt? Það er eitt af því sem gerir það að verkum að það virkar í raun. Þegar fólk byrjar að tala um líffræðileg tölfræði þekkir þú í hraðbankanum eða þú þekkir aðra staði sem eru á breiðu neti. Þá fer ég að hafa áhyggjur af því að það hjálpi ekki í raun. Og þá er raunveruleg áhætta þar því nú er þumalfingur þinn þú veist að þú getur breytt lykilorðinu þínu en þú getur ekki breytt þumalfingri eða að minnsta kosti ekki auðveldlega. Ég er ekki svo viss um líffræðileg tölfræði.

Elísabet: Og hvað með netöryggismál í vélanámsforritum? Við erum að tala mikið um vélanám og margir sem hlusta á þetta hlaðvarp nota vélanámslausnir til að greina stór gagnasöfn. Hverjar eru nokkrar af þeim áhyggjum sem þeir ættu að hafa í huga?

Chris: Vélnám er örugglega hægt að nota til að leysa sum netöryggisvandamál. Ég held að það komist inn á krefjandi svæði þegar þú ert að reyna að aðskilja eðlilega hegðun frá illgjarnri hegðun vegna þess að þau eru bara svo nátengd. Ég meina það eru öfgatilvik þar sem þú veist að þú skráir þig alltaf inn frá Massachusetts og svo ertu allt í einu að skrá þig inn frá Kína í fyrsta skipti og við erum í raun góð í svoleiðis. Það er eins konar uppgötvun gegn svikum sem kreditkortafyrirtæki nota. Og svona eins og öfgakennd frávik - það er allt í lagi. En það verður erfiðara þegar þú ert að reyna að skilja að þú veist að er hegðun notanda á netinu í raun illgjarn hegðun en þú þekkir eðlilega mannlega hegðun? Eins og ef til vill sé einhver að opna töflureikni í fyrsta skipti vegna þess að honum hefur verið sagt að gera eitthvað. Viltu loka fyrir þá virkni? Viltu að einhver fylgist með þeirri virkni líkamlega? Að það gæti leitt til margra rangra jákvæða. Svo, þegar það kemur að mannlegri hegðun sem er bara eins konar verndun þú þekkir tölvuna þína eða netið þitt, þá held ég að það sé áskorun og við erum ekki alveg þar ennþá.

Elísabet: Og fyrir fólk sem er stjórnendur sem reka fyrirtæki sem þurfa að hugsa um öryggi sitt, hversu áhyggjufullir ættu þeir að hafa? Og ég velti því oft fyrir mér að þú vitir að hér sé um hryðjuverkaárás að ræða sem tölfræðilega er frekar ólíklegt? Eða er þetta meira eins og hættan á umferðarslysi á leiðinni í vinnuna? Hvert ætti ég að beina áhyggjum mínum? Og þú veist að fjöldi fyrirtækja sem myndi elska að segja mér að það sé hræðilega hættulegt hvað varðar netöryggisáhættu sem ég stend frammi fyrir hér á Technology Review er líklega óendanleg. Og hvernig sía ég merki frá hávaða?

Chris: Já. Svo það er krefjandi vegna þess að þú veist að þú veist það ekki þú veist ekki að þú veist hvaða áhættustig þú ættir að þola þar sem fyrirtæki eins og mismunandi fyrirtæki hafa mismunandi áhættustig eins og augljóslega eitthvað sem er banki hefur annað áhættustig en fjölmiðlar fyrirtæki. Ekki satt? Fjölmiðlafyrirtæki getur lifað af þú veist að vefsíða þeirra er rústað en banki getur ekki endilega lifað af að tapa milljörðum dollara. Ekki satt? Það er mismunandi áhættuþol fyrir hvers kyns viðskipti. En við sjáum nokkur - og það er eins og þegar þetta er meira markviss árás. Eitthvað sem ég hef áhyggjur af er tilviljunarkennda árásin eins og við sáum með NotPetya vírusinn sem tók niður það var Merck og ég held að það séu nokkur alþjóðleg flutningafyrirtæki og Maersk, ég held að hafi verið eitt af þeim. Og upp á hundruð milljóna dollara eins og þeir hafi ekki getað rekið alþjóðleg fyrirtæki sín í eins vikur, þú veist? Svo það er eitthvað sem hvert fyrirtæki þarf að hafa áhyggjur af. ég myndi ef ég ætlaði að einbeita mér að netöryggi mínu myndi ég einbeita mér að svona atburðum útbreiddir atburðir - fyrst og síðan myndi ég einbeita mér að því eins og, eru markmið beint að fyrirtækinu mínu? Og þú veist hvernig á ég hvernig á að takast á við þá? Ég held að þú getir skipt það í tvennt og það verður svolítið öðruvísi fyrir hvert fyrirtæki.

Elísabet: Já. Og hvað með fólk sem er að fara inn á netöryggissviðið núna sem er það þú veist að annað hvort hafa þeir komið að þeir hafa verið tölvuþrjótar eða þeir hafa bara virkilegan áhuga á að gera vefinn og fyrirtækin að gera, þú veist að starfa á vefnum öruggari? Hvað segirðu þeim? Vegna þess að hlutirnir hafa breyst mikið. Þú veist að tölvuþrjótar og tölvusnápur hefur orðið miklu flóknari. Það er vissulega tæki sem þú þekkir þjóðríki. Hvernig ráðleggur þú þeim að hugsa um hvar þeir vilja byggja feril sinn?

Chris : Ég var reyndar á þessum viðburði í VMI í Virginíu. Þetta var viðburður þar sem 13 mismunandi háskólateymi komu saman til að gera þessa netfanga-fánana. Og ég talaði við þá og þú veist að það sem ég vil segja er að byrja á grunnatriðum. Þú þarft virkilega að skilja að þú veist hvernig TCP/IP netkerfi virkar og internetið virkar. Þú verður að skilja hvernig stýrikerfi virka eins og Unix og Windows. Þú þarft að vita eitthvað um kóðun og þú þarft svona breiðan grunngrunn. Ég held bara að byrja á og þá verður þú að ákveða hvað þú vilt sérhæfa þig í. Ekki satt? Ætlarðu að vera í vörn eða ætlarðu að vera í rauða liðinu? Ætlarðu að gera atviksviðbrögð og réttarrannsóknir? Eins og það sem ég endaði á að gera er að þú veist, að vinna með fólki sem þróar hugbúnað til að hjálpa þeim að þróa hugbúnað betur. Ég held að allir þurfi þann grunn vegna þess að það eru svo mörg mismunandi lög sem þú getur ráðist á kerfi á. Þú getur ráðist á netið sem þú getur ráðist á við stýrikerfið og ég býst við að allt annað svæði sé í mannlegu lagi. Eins og hvernig geturðu platað fólk til að gera hluti? Ég held að ég held að þú þurfir að skilja grunnatriði allra þessara laga og einbeita þér síðan að því hvar þú hefur hæfileika. Þú veist greinilega að sumt fólk sækir náttúrulega bara í sókn eða vörn. Það endaði með því að ég byrjaði í sókn og fór svo yfir í vörnina því mér líkar það betur. Ég myndi prófa nokkra hluti og þá veistu að fara djúpt og einbeita sér á einu sviði.

Elísabet: Frábært. Jæja, þetta er mjög áhugavert samtal og ég þakka virkilega að þú hafir gefið þér tíma.

hvenær ég dey og hvernig og á hvaða aldri

Chris: Jæja, takk fyrir að hafa mig hér.

Elísabet: Það er allt fyrir þennan þátt af Business Lab. Ég er gestgjafinn þinn Elizabeth Bramson-Boudreau. Ég er forstjóri og útgefandi MIT Technology Review. Við vorum stofnuð árið 1899 við Massachusetts Institute of Technology. Þú getur fundið okkur á prenti, á vefnum, á tugum viðburða í beinni á hverju ári. Og nú í hljóðformi. Fyrir frekari upplýsingar um okkur, vinsamlegast skoðaðu vefsíðu okkar og TechnologyReview.com. Þátturinn er fáanlegur hvar sem þú færð podcastin þín. Ef þú hafðir gaman af þessum þætti vonum við að þú gæfir þér smá stund til að gefa einkunn og endurskoða okkur á Apple Podcasts.

Business Lab er framleiðsla MIT Technology Review. Þessi þáttur var framleiddur af Collective Next með hjálp frá Emily Townsend og með ritstjórn frá Mindy Blodgett. Sérstakar þakkir til gesta okkar Chris Wysopal. Takk fyrir að hlusta og við komum fljótlega aftur með næsta þætti okkar.

fela sig

Raunveruleg Tækni

Flokkur

Óflokkað

Tækni

Líftækni

Tæknistefna

Loftslagsbreytingar

Menn Og Tækni

Silicon Valley

Tölvun

Mit News Tímaritið

Gervigreind

Rými

Snjallar Borgir

Blockchain

Eiginleikasaga

Alumni Prófíll

Alumni Tenging

Mit News Lögun

1865

Mín Skoðun

Messugötu 77

Hittu Höfundinn

Prófílar Í Rausnarskap

Sést Á Háskólasvæðinu

Alumni Bréf

Fréttir

Kosningar 2020

Með Vísitölu

Undir Hvelfingu

Brunaslanga

Óendanlegar Sögur

Tækniverkefni Heimsfaraldurs

Frá Forseta

Forsíðufrétt

Myndasafn

Mælt Er Með