Video: Así ganó México un asiento en el Consejo de Seguridad de la ONU | De Pisa y Corre (Noviembre 2024)
En este episodio de Fast Forward, doy la bienvenida a Josh Schwartz, jefe del equipo rojo interno de Verizon Media. Eso significa que pasa sus días tratando de piratear los sistemas más valiosos y confiables de su empleador, idealmente antes de que alguien que no está en la nómina haga lo mismo.
Dan Costa: Creo que la gente tiene una vaga idea de lo que son los equipos rojos; Los han visto en películas. ¿Es tan divertido y emocionante como se ve en la televisión?
Josh Schwartz: Solo deseo, ¿verdad? Es tener la responsabilidad de irrumpir, llegar a lugares. Por supuesto, es bastante emocionante, pero obviamente, en las películas ves que todo sucede instantáneamente y en realidad no es así. Se necesita mucho trabajo… no es solo correr causando bromas.
En realidad, está tratando de afectar el cambio dentro de una organización, tratando de ayudar a informar a la organización sobre '¿Qué hacen realmente los malos?' Este papel de estar en el equipo rojo interno es, aunque todavía es emocionante, todavía tengo que ir a las reuniones, todavía tengo que establecer metas, cosas así.
Dan Costa: ¿Quiénes son los individuos en este equipo? Me imagino que hay muchos programadores, pero imagino que no solo se limita a los programadores.
Josh Schwartz: La diversidad del conjunto de habilidades en el equipo es algo que si no tenemos, no tenemos esa capacidad. Hay un concepto erróneo con mucha frecuencia debido a lo que ves en las películas, es decir, hay un hacker y puede resolver cualquier problema tecnológico.
Dan Costa: Y ahí está el tipo del auto, el especialista en armas.
Josh Schwartz: En realidad, formo un equipo para que cada persona sea experta en algo. Este tipo es el tipo que sabe cómo hacer intrusión física y alguien más es un experto en criptografía y alguien más es un experto en ingeniería social. Hacer que cada persona sea un experto significa que podemos apoyarnos mutuamente para… resolver de manera efectiva cualquier tipo de problema de equipo.
Dan Costa: Entonces, ¿cómo es un día en la oficina? ¿Qué tipo de cosas estás probando?
Josh Schwartz: Ser un hacker es algo así como alguien a quien le gusta desarmar los sistemas, ¿verdad? Esa es la razón por la que no somos intrínsecamente criminales solo por ser un hacker.
Entonces, en un día en la oficina, establecemos objetivos basados en resultados, como los peores escenarios que queremos ver. ¿Cuáles son los pasos para que pasemos de la nada a lograr este objetivo que es realmente malo para la empresa? A partir de ahí, podemos formar algo llamado "cadena de matar". Un día en la oficina está descubriendo cómo hacer que esa cadena suceda. Luego pensamos en los diferentes lugares donde podríamos romper esa cadena. A partir de ahí, nos reunimos con las partes interesadas, les decimos cómo lo harían los atacantes y les ofrecemos un pequeño cambio que pueden hacer para ayudar a solucionarlo.
Dan Costa: ¿Cuáles son los vectores que más te preocupan? Sé que todavía recibo correos electrónicos de TI que le dicen a la gente que no haga clic en los enlaces adjuntos en correos electrónicos o archivos adjuntos. ¿Dónde ves las vulnerabilidades que aún existen?
Josh Schwartz: Si hace clic en enlaces y descarga archivos adjuntos, ejecutarlos en su computadora a pesar de las muchas advertencias, eso es un problema. Pero hemos evolucionado hacia una nueva era donde ahora es el acceso a la información que existe en la nube y en diferentes lugares. Si está autorizando el acceso a otra persona, eso también es un problema.
Eso termina siendo más problemático que algo que se ejecuta en su computadora, porque ya hay muchas protecciones al respecto. Ahora tenemos información que está flotando por todas partes y usted tiene agencia para controlarla. Tienes agencia para otorgarle acceso a otras cosas, es como funciona Internet ahora. Los atacantes, incluidos nosotros, se han desplazado un poco más hacia esas cosas.
Dan Costa: Es bastante extraordinario incluso mirar mi propio Google Drive y cuántos archivos tengo acceso a los que realmente no debería. Me imagino que es mucho peor en compañías que no son tan sofisticadas tecnológicamente como Ziff Davis y PCMag. No se trata solo de archivos que ejecutan malware, sino que podrían ser documentos corporativos o documentos financieros que realmente no desea que sus competidores tengan o usuarios finales o delincuentes.
Josh Schwartz: Seguridad, en general, es este sistema holístico. No se trata de "¿Hay un error en el sistema en el que voy a lanzar algún exploit y va a explotar" o algo así? Ya no funciona así. Son los sistemas interconectados, las personas, los procesos comerciales, la tecnología que los respalda, cómo nos sentimos al respecto, las políticas, todo junto… es seguridad.
Y la seguridad, a menudo, es solo como te sientes al respecto. ¿Cómo te sientes acerca de los datos y la información? ¿Qué pasos puedes tomar para protegerlo? Si te sientes fuertemente al respecto y los esfuerzos que realizas son menores que los esfuerzos de las fuerzas que te rodean tratando de obtenerlo, entonces eres inseguro. Pero si siente que está haciendo un esfuerzo suficiente y no sucede nada malo, entonces se siente seguro. Pero no hay un interruptor de encendido / apagado por seguridad.
Dan Costa: Hablemos un poco sobre la naturaleza de esas amenazas. Me parece que hay un par de cubos por los que la gente se preocupa. Hackear solía ser algo divertido que la gente hacía para acceder a su computadora o bloquearla. Luego, los delincuentes descubrieron cómo ganar dinero utilizando estas diferentes técnicas. Pero también hay actores estatales e incluso empresas privadas que tienen enormes cantidades de datos sobre las personas. ¿Dónde crees que las mayores amenazas invisibles están en el espacio de seguridad?
Josh Schwartz: averiguar dónde está la mayor amenaza termina siendo quién eres. La mayor amenaza para usted probablemente no sea la mayor amenaza para mí, que no es la mayor amenaza para alguna compañía en alguna parte. Se trata más bien de modelos de amenazas, ¿verdad? No solo eliges una amenaza mayor y las señalas. Usted piensa: "¿Qué es lo que tengo? ¿Quién podría quererlo? ¿Qué debería hacer al respecto?" E intente y tome medidas para mitigar las cosas que no desea que sucedan.
Solo tratar de señalar a esta nación es la mayor amenaza o esta compañía es la mayor amenaza es algo que nos lleva a una pequeña trampa donde comenzamos a construir un modelo de amenaza sobre todo. Y si bien estamos tan concentrados en esta pequeña cosa, el mundo que nos rodea cambia y luego nos quedamos ciegos en algún momento.
Dan Costa: Muchas compañías han tenido violaciones masivas de datos y la mayoría de ellas se deben a una seguridad laxa o simplemente a malos hábitos. Equifax embrujó a millones de estadounidenses, pero realmente no hubo consecuencias. Pagarán una multa, pero todos sus ejecutivos recibieron bonos. ¿Crees que debe haber algún tipo de cambio en términos de responsabilidad?
Josh Schwartz: Bueno, soy un tipo que irrumpe en las computadoras, no soy un creador de políticas públicas, así que realmente no lo sé. Tal vez eso cambiaría las cosas. Probablemente habría cambios, pero en su nivel fundamental, pensar que un cambio en algún lugar lo cambia todo y que ya no hay ningún problema, creo que es un poco miope.
Se trata de cómo funciona todo junto. Así es como nos preocupamos como público, así es como a las empresas les importa. Es una parte, pero no es la solución completa, por supuesto. Y creo que una de las cosas más importantes que debemos tener en cuenta como profesionales de la tecnología o consumidores de tecnología es que la seguridad no es el trabajo de alguien en una torre de marfil para accionar el interruptor correcto y hacer que todo sea perfecto. Los cambios más pequeños en los comportamientos que podemos tomar para ayudar a que todo sea un poco más seguro… para todos.
Dan Costa: ¿Cómo son sus hábitos de seguridad personal? ¿Usas una VPN? ¿Utiliza la detección comercial de malware comercial?
Josh Schwartz: Vuelve al modelo de amenaza, ¿verdad? Depende de lo que esté haciendo en ese momento. Una VPN lo protege de algunas cosas, pero conectarse a una VPN no lo protege de los virus. Conectarse a una VPN esencialmente cambia dónde se encuentra en el mundo y, a veces, eso puede ser útil si lo necesita.
Pone su tráfico dentro de un pequeño túnel y ese túnel lo lleva a otro lugar y el tráfico sale en otro lugar. Una VPN es útil si tu ubicación es un poco insegura o si no quieres que alguien sepa dónde estás. La idea de que estoy conectado a una VPN y ahora estoy seguro en Internet, no es tan cierto.
Para mí personalmente, creo que lo más importante son los administradores de contraseñas. Son algo nuevo, pero si hubiera más personas, estarían en un lugar mucho mejor. Ha habido todas estas infracciones, ¿verdad? Estás bastante familiarizado con ellos. Entonces, como adversario ofensivo, esos no son privados. Todo lo que se ha filtrado está disponible en Internet. Podemos seleccionar una gran lista de todo, buscar contraseñas y ver qué contraseñas has usado antes.
Entonces, si estoy tratando de obtener acceso a algo que tienes, si puedo buscar la contraseña que usaste antes, sé un poco sobre ti y puedo tomar esa información e intentar reutilizarla o adivinar cuál es tu La siguiente contraseña puede ser. Usar un administrador de contraseñas y hacer que cada contraseña sea súper única para cada sitio que visita es en realidad algo bueno y le quita una carga al cerebro humano. Realmente solo tiene que protegerlo en un solo lugar, lo que hace que la seguridad sea mucho más simple.
Dan Costa: Somos grandes admiradores de los administradores de contraseñas en PCMag, he estado usando LastPass durante casi 10 años. Una vez que superas ese salto de no saber realmente tus contraseñas, es un gran alivio. También me recuerda que nos olvidamos de la violación de Yahoo, que filtró muchos nombres de usuario y contraseñas. Fue hace años y ya nadie se preocupaba por Yahoo, pero el valor de ese truco y el valor para los ciberdelincuentes es que mucha gente todavía usa esas contraseñas que usaban en Yahoo hace 10 años. Y puede buscar cuáles son todas esas contraseñas es lo que está diciendo.
Josh Schwartz: Se trata del comportamiento humano. Todo se reduce al hecho de que tienes hábitos como humano y como atacante. Eso es a menudo lo que busco explotar. No es la tecnología. La tecnología continuará mejorando y seguirá aumentando la seguridad y será más segura, porque tenemos esta necesidad de que impulse el negocio hacia adelante.
Pero el comportamiento humano es algo que es nuestra responsabilidad de cambiar. Y si no estamos cambiando nuestros hábitos y haciéndonos más seguros, no hay tecnología que pueda protegernos de nada.
Dan Costa: ¿Hay otros hábitos además de un administrador de contraseñas que crees que los consumidores tendrán que adoptar, especialmente a medida que avanzamos en la era de Internet de las cosas y todo está mucho más conectado?
Josh Schwartz: Si lo piensas, ya no es solo tu computadora. Son dispositivos por todas partes y ciertos hábitos. Tal vez pienses que tu teléfono no es tan importante, pero la contraseña que colocas en el teléfono esencialmente es tu contraseña allí. El teléfono tiene acceso a muchas de las mismas cosas a las que su computadora podría tener acceso. Pensando en todo lo que toca que interactúa con todos los datos que desea proteger y asegurándose de tratarlo con la misma sensibilidad que su computadora portátil o de escritorio o la computadora en el trabajo.
Dan Costa: Tuve un par de personas en RSA la semana pasada y entrevistaron a un funcionario de la NSA, quien dijo: 'Independientemente de la encriptación del teléfono, pueden acceder a los teléfonos, porque la mayoría de las personas todavía no bloquean sus teléfonos'. Hay muchas personas que no bloquean sus teléfonos en absoluto y no necesitan ningún cifrado para descifrar eso. Eso es solo puro comportamiento del usuario.
Josh Schwartz: O la contraseña es todos ceros o todos unos o algo así. Siempre existe la idea de que a medida que las tecnologías avanzan y que su contraseña se convierte en más cosas como su huella digital o su rostro o algo así, siempre habrá algún ataque y alguna forma de evitarlo. Solo necesito encontrarte y apuntar tu teléfono a la cara o necesito cortarte el dedo y ponerlo en tu teléfono.
Dan Costa: También visto en muchas películas.
Josh Schwartz: Sí, pero no estamos haciendo eso en estos días, lo cual es bueno.
Dan Costa: Te quedas sin miembros del equipo muy rápido de esa manera.
Josh Schwartz: Y los dedos hacen que sea difícil escribir.
Dan Costa: Pueden trabajar en 10 proyectos y luego, ese es el final de eso. Entonces, dime en términos de lo que haces, ¿cuál es el equilibrio entre la ingeniería social y la piratería técnica? ¿Y esa mezcla cambia con el tiempo?
Josh Schwartz: La ingeniería social siempre ha sido mi pan de cada día. Es el camino de menor resistencia muy a menudo. Yo diría que es una mezcla. Gran parte de su reconocimiento, tratando de descubrir qué es lo que realmente existe, pero es interesante. El aspecto de la ingeniería social, no es solo en el mundo ofensivo. Si piensas en cómo existe un Equipo Rojo interno dentro de una empresa… hacemos parte de la piratería técnica y usamos ingeniería social, física y todo lo combinado para intentar ejecutar esa cadena de asesinatos, cumplir la misión.
Pero luego, después, si piensas en lo que la seguridad está tratando de hacer es que estamos tratando de diseñar a todos a escala social para que tengan mejores hábitos para el bien común. Muchas veces, es contar la historia de lo que hicimos y educar a las personas dentro de… la compañía "así es como funciona, esto es lo que puede hacer para ser mejor". Eso es ingeniería social. Entonces, en realidad, la mayor parte del trabajo es la ingeniería social, porque hace que las personas se preocupen por la seguridad de la manera correcta, tomen las decisiones correctas y, con suerte, se preocupen por las cosas correctas.
Dan Costa: Me imagino que cuando la gente recibe correos electrónicos tuyos que no quieren responder. Si pides algo, no me imagino que la primera respuesta sea no.
Josh Schwartz: Los equipos rojos han pasado por una pequeña metamorfosis en la última década. Empiezas en este lugar donde eres extremadamente adversario, extremadamente ofensivo, tratas de tocar el tambor y de que todos sepan que la seguridad es importante y en esos días, la gente te ve como un adversario, porque bueno, ese es tu trabajo.
He tenido experiencias personalmente cuando me subo al elevador y la gente dice: "Oh, no quiero ir a mi piso, porque el Equipo Rojo está aquí", y yo digo: "No soy realmente malo chico." Eso ha cambiado con el tiempo, porque al final, realmente, todos estamos trabajando hacia el mismo objetivo: proteger la información, proteger a nuestros consumidores. Entonces, a medida que trabajamos juntos y compartimos información sobre lo que hemos hecho como adversarios, ese tipo de fusibles y nos ven como un aliado y un amigo, pero nos ha llevado algo de tiempo llegar allí. Pero estoy viendo una tendencia en la dirección correcta, así que eso es bueno.
Dan Costa: genial. Voy a hacerte un par de preguntas que hago a todos los que vienen al programa. ¿Hay alguna tendencia tecnológica que te preocupe, algo que te mantenga despierto por la noche?
Josh Schwartz: ¿Eso me mantiene despierto por la noche? Quizás la ubicuidad y la comodidad que obtenemos con toda la tecnología que nos rodea. No tanto… en realidad, la verdadera respuesta es que nada me mantiene despierto por la noche.
Dan Costa: duermes bien.
Josh Schwartz: Veo las peores cosas y todo se reduce a la aceptación del riesgo, donde estoy como, 'Ok, sé cómo es el mundo, sé lo que es posible y estaré de acuerdo con eso'. Sé que la tecnología se va a infundir en mi vida en todas partes y voy a tomar la decisión de estar bien con eso, pero voy a operar de una manera que entiendo eso y duermo como un bebé.
- Los mejores administradores de contraseñas gratis para 2019 Los mejores administradores de contraseñas gratis para 2019
- Cómo averiguar si su contraseña ha sido robada Cómo averiguar si su contraseña ha sido robada
- Facebook almacenó hasta 600 millones de contraseñas de usuario en texto sin formato Facebook almacenó hasta 600 millones de contraseñas de usuario en texto sin formato
Dan Costa: Muy bien, ¿hay tecnología que usas todos los días o herramienta o servicio que inspire asombro?
Josh Schwartz: Bueno, no es mi teléfono celular, pero honestamente hay muchas cosas que están por venir y que me preguntan y sobre todo me siento impaciente. Desearía que llegaran aquí más rápido. Estoy entusiasmado con el futuro de la IA, el futuro del aprendizaje automático y las cosas que esperamos nos brinden un mundo más conectado. Sobre todo, solo lo estoy esperando. Pero nada realmente me sorprende demasiado, creo.
Dan Costa: Entonces, ¿cómo pueden las personas seguir lo que estás haciendo, lo que puedes decirle públicamente, cómo pueden encontrarte en línea?
Josh Schwartz: Voy por el apodo FuzzyNop, para que la gente pueda encontrarme allí en cualquier lugar.