211service.com
Een CEO genaamd Alien
Een collage met een foto van Sherri Davidoff Emily Haasch
Sherri Davidoff ligt languit op het tapijt in haar kantoorgebouw in het centrum van Missoula, Montana. Gekleed in een zwart pak en leren laarzen met fluorescerende oranje en roze veters, duwt ze een drie voet flexibele stalen lus onder de opening onder een gesloten kantoordeur. Ze schuift de lus langs de andere kant van de deur omhoog en probeert hem aan de binnenste deurknop te haken.
Het apparaat, in doorbrekende kringen bekend als een hulpmiddel onder de deur, kwam onlangs per post binnen, een geschenk van een vriend in de hackergemeenschap. Davidoff, de 38-jarige CEO van het cyberbeveiligingsadviesbureau LMG Security en medeoprichter en CEO van het cyberbeveiligingstrainingsbedrijf BrightWise, breekt voor de lol in in haar eigen kantoor, gewoon om te zien of ze dat kan.
Na verschillende pogingen krijgt ze het gereedschap om de deurknop en trekt eraan.
De deur springt open.
Ik moest er gewoon een hebben, zegt ze, terwijl ze haar broek uittrekt.
Davidoff, die in sommige kringen beter bekend staat onder haar hackernaam Alien, voelt zich aangetrokken tot de uitdaging om conventionele barrières te ontwijken sinds ze bijna twintig jaar geleden als eerstejaarsstudent naar Fifth East verhuisde. Ze studeerde elektrotechniek en informatica, maar besteedde veel van haar tijd aan de zogenaamde Course 19, het off-the-books curriculum waarin studenten heimelijk campusgebouwen, stoomtunnels en - ja - koepels verkennen met behulp van lockpick sets en sterke zaklampen.
Cursus 19 werd relevanter voor mijn beroepsleven dan waarschijnlijk alle lessen die ik volgde, zegt ze.
LMG , dat Davidoff in 2009 oprichtte, biedt cyberbeveiligingsdiensten en -training aan financiële instellingen, zorginstellingen en fabrikanten, evenals aan enkele klanten in de overheid, de detailhandel en andere sectoren. Het bedrijf is gespecialiseerd in penetratietesten, waarbij black-hat-hackers worden nagebootst om kwetsbaarheden in de privacy bloot te leggen. LMG-medewerkers orkestreren aanvallen en proberen toegang te krijgen tot gevoelige e-mail en andere eigendomsgegevens. Vervolgens schrijven ze rapporten over hun successen en stellen ze oplossingen voor.
LMG ruimt ook op na informatielekken. Wanneer computers worden gecompromitteerd, volgen de consultants hoe hackers toegang hebben verkregen en volgen ze voetsporen om erachter te komen welke informatie mogelijk is gestolen. Ze trainen ook personeel en leidinggevenden in cyberbeveiliging en voeren compliance-audits uit om ervoor te zorgen dat bedrijven de staats- en federale wetten volgen.
In het oog springende hacks, waaronder de inbraak op servers van het Democratic National Committee voorafgaand aan de verkiezingen van 2016, hebben cybercriminaliteit en informatieprivacy meer in de schijnwerpers gezet. Dat geldt ook voor recent nieuws over massale inbreuken op consumentengegevens, waaronder de aanval op Marriott in 2018 waarbij de persoonlijke informatie van zo'n 500 miljoen mensen werd blootgelegd. Davidoff zegt dat alles een zegen is geweest voor de cyberbeveiligingsindustrie - en dat kleine oplossingen, zoals het onderwijzen van gebruikers over de tactieken van phishing-aanvallen, grote verliezen kunnen voorkomen.
Je ziet hoe cybersecurity de wereld kan veranderen, zegt ze, verwijzend naar de phishing-aanval op het Gmail-account van Hillary Clintons campagnevoorzitter, die leidde tot het vrijgeven van campagne-e-mails door WikiLeaks.
De stijgende vraag naar cyberbeveiligingsdiensten heeft geleid tot een snelle uitbreiding van de sector, waarbij accountantskantoren en grote overheidscontractanten de markt betreden. Schattingen lopen uiteen, maar Global Market Insights schat het op meer dan 120 miljard dollar. En Davidoff verwacht dat het bedrijf zal blijven groeien.
In het komende decennium zal cyberbeveiliging eenvoudiger worden naarmate netwerken meer gestandaardiseerd worden, zegt ze. Maar op dit moment moet elk bedrijf beslissen hoe zijn netwerk eruit gaat zien.
Montana hacker moeder
LMG Security is gehuisvest in een gebouw naast een vliegviswinkel langs de Clark Fork River in het centrum van Missoula. Geen bord kondigt het bedrijf aan. Binnen bewaakt een kartonnen uitsnede van een shirtloze Dwayne Johnson, beter bekend als The Rock, de lobby. Er is geen indicatie van het werk dat boven plaatsvindt. Het ontbreken van bewegwijzering is niet voor geheimhouding. Davidoff is bang dat het publiek in de war raakt en opduikt op zoek naar technische ondersteuning. Als mensen ons moeten vinden, weten ze waar we zijn, zegt ze.
Missoula lijkt misschien een vreemde plek om een cyberbeveiligingsbedrijf te vestigen, maar Karen Sprenger, Chief Operating Officer van LMG, zegt dat de afgelegen locatie de zaken niet heeft geschaad. Het team van ongeveer 30 medewerkers van het bedrijf werkt vanaf laptops, of ze nu op kantoor zijn of reizen vanaf het kleine vliegveld - met een trofee-grizzly bij de bagageband - om klanten over de hele wereld te zien.
Pacific Coast Banking School in Seattle huurt Davidoff regelmatig in om te proberen het systeem te hacken waarin de persoonlijke informatie van studenten wordt bewaard. De resultaten van dergelijke tests zijn meestal gehuld in geheimhouding, aangezien organisaties terughoudend zijn om zelfs kleine kwetsbaarheden openbaar te maken. Maar Gretchen Claflin, de president en CEO van Pacific Coast, zegt dat de penetratietests van Davidoff de veiligheidsmaatregelen van de school nog moeilijker hebben gemaakt om te kraken.
Tips van een hacker om uw organisatie te beschermen
-
Als beveiligingsadviseur heeft Sherri Davidoff '02 veel schadelijke datalekken gezien. In haar binnenkort te verschijnen boek, Data Breaches, ontleedt ze enkele spraakmakende voorbeelden. Veel had voorkomen kunnen worden als medewerkers zich aan deze drie simpele regels hadden gehouden.
Denk na voordat je klikt.
E-mail kan links of bijlagen bevatten die uw computer kunnen infecteren. Bekijk ze zorgvuldig, evenals links op websites, voordat u erop klikt. Beweeg uw muis over een link om te zien waar deze naartoe gaat. Controleer het adres en de spelling zorgvuldig. Bij twijfel niet klikken! U kunt altijd het hoofdadres van de doelwebsite typen en naar uw bestemming bladeren.
Maak regelmatig een back-up.
Maak een back-up van uw gegevens. Test uw back-ups. Bewaar een kopie waar mogelijk veilig buiten de site. Herhalen.
Gebruik twee-factor of meer-factor authenticatie.
Wanneer u zich aanmeldt, verifieert u uw identiteit met behulp van twee of meer methoden, zoals een wachtwoord en een app op uw telefoon. Tweefactorauthenticatie is eenvoudig in te stellen bij veel providers, zoals Google en Office 365.
Deze laatste keer waren we blij dat ze vrij snel uit ons systeem werden uitgesloten, zegt Claflin. Ik rust makkelijker 's nachts.
Davidoff had een aantal functies op het gebied van informatiebeveiliging voordat hij LMG opende. Tijdens haar laatste jaar aan het MIT werkte ze met de afdeling informatiesystemen van de school, waar ze een tool ontwikkelde om de verkeersstroom door het hele netwerk van het Instituut te analyseren. Na een periode van het bestuderen van gammastraaluitbarstingen op de RAPTOR-telescoop in Los Alamos National Lab, keerde ze terug naar netwerkbeveiliging met een staffunctie in een ziekenhuis en personeel en contractwerk bij enkele van de meest geavanceerde cyberbeveiligingsbedrijven.
Onderweg maakte Davidoff gebruik van de vaardigheden van Cursus 19 en ondernam hij verschillende fysieke penetratieopdrachten, waaronder sluipen in directiekantoren in de financiële sector; ze is ooit vertrokken met een onbeveiligde laptop. In een andere veiligheidstest deed ze zich voor als inspecteur en praatte ze zich een weg naar de kluis van een filiaal van een grote bank.
Vertrouwen is de sleutel, zegt Davidoff. Voordat ze naar de bank ging, maakte ze het gebouw leeg en merkte op wanneer het management een pauze nam en op welke tijden het zo druk was dat het personeel onder druk zou komen te staan en minder in staat zou zijn om goede beslissingen te nemen. Ze arriveerde gekleed in een strak pak, met een naambadge gemaakt bij Kinko, en sloeg snel toe. Ik maakte duidelijk dat ik deel uitmaakte van de organisatie, en ik gedroeg me een beetje intimiderend, zegt ze. Je geeft ze geen tijd om na te denken.
In 2008 was ze klaar voor verandering en verhuisde ze naar Missoula. Ze bracht een paar privé-adviescontracten mee, en dat werd uiteindelijk LMG.
Haar eigen baas zijn zou van cruciaal belang zijn als ze eenmaal een gezin had gesticht. Ik bereikte een punt waarop ik moest stoppen of mezelf moest klonen, zegt ze over de tijd kort nadat haar eerste kind was geboren. Ik realiseerde me dat ik niet op pad kan als reizend adviseur. Maar ik kan mensen opleiden tot reizende adviseurs. Nu ze haar twee kinderen (van vijf en zeven jaar) opvoedt en een bedrijf runt, zal Davidoff minder snel het advieswerk in de loopgraven doen dat ze ooit deed, tenzij het tussen 22.00 uur 's avonds gebeurt. en 2 uur 's nachts, haar favoriete werkuren.
Risico berekenen
De cyberbeveiligingscarrière van Davidoff en MIT-hacking-exploits beginnen aandacht te krijgen buiten de hackergemeenschap. Inbreken , een boek van Jeremy N. Smith, volgt haar carrière en de opkomst van cyberbeveiliging in de jaren negentig. Sinds de release van het boek in januari heeft Davidoff meerdere keren in de media opgetreden. Op NBC's Vandaag laten zien, voerden zij en LMG-medewerkers een phishing-aanval uit op een verzekeringsmaatschappij in Missoula.
In de populaire verbeelding zijn hackers mannen in hoodies die in de kelders van hun ouders wonen en moeite hebben om te communiceren zonder een toetsenbord. Davidoff tart dat stereotype, en collega's zeggen dat haar mensenvaardigheden, net als haar technische vaardigheden, verantwoordelijk zijn voor haar succes.
Veel mensen willen in deze branche werken omdat het lucratief kan zijn, zegt Deviant Ollam, een expert op het gebied van lock-picking en beveiligingsadviseur die al meer dan tien jaar bevriend is met Davidoff. Maar people skills en soft skills zijn niet iets dat bekend staat als hacker skills. Dat is een belangrijke drijfveer voor degenen die werk vinden. Het is het verschil tussen een persoon met een project en een persoon met een bedrijf.
Ollam ontmoette Davidoff voor het eerst in 2007 op een hackerconventie, waar hij pronkte met de vermomming van een telefoniste die hij gebruikte bij beveiligingsopdrachten. Sherri zei: ‘Ik moet er een paar aanschaffen.’ Het was niet voor de lol, herinnert hij zich. Het was voor een echte professionele betrokkenheid.
Davidoff is net zo verrast als iedereen dat hacken, dat begon als een avontuur op de universiteit, een beroep is geworden. Maar ze is teleurgesteld dat de term een meer sinistere betekenis heeft gekregen in de populaire cultuur. Het maakt me verdrietig als ik het woord ‘hacker’ met een negatieve connotatie hoor gebruiken, zegt ze. Hacken bij MIT betekende het uithalen van low-tech grappen, zegt ze, daarbij verwijzend naar de beroemde zaak uit 1994 van de politiecruiser op de Great Dome. Het betekende nooit stelen of echte schade aanrichten.
Een andere verandering is positiever. Davidoff zegt dat de hackercultuur inclusiever is geworden sinds het einde van de jaren negentig, toen mensen op conferenties en consultantfuncties aannamen dat je iemands vriendin of assistent was. Zelfs op het MIT, zegt ze, was ze meestal een van de weinige vrouwen die deelnam aan hackexcursies. Dat zorgde ervoor dat ze zichzelf tot het uiterste pushte en misschien risico's nam die achteraf gevaarlijk waren, in haar zoektocht naar toegang tot plaatsen waar geen enkele andere hacker ooit was geweest.
MIT in de late jaren '90 was een uitstekende plek om risico's te nemen en van hen te leren, zegt ze: Wat MIT speciaal maakte, was een cultuur waarin ze je als een volwassene behandelden, en ze respecteerden de studenten en moedigden je aan om te verkennen.
Er waren risico's aan verbonden, zegt ze, maar ze gelooft dat het leren om risico's te berekenen en te begrijpen met welk gevaar je bereid bent te leven de sleutel tot het leven is. En hetzelfde geldt voor het maken van een sterk informatiebeveiligingsplan. Je kunt je netwerk niet volledig beveiligen, zegt ze. Maar als organisatie moet je kunnen zeggen: 'We zijn vertrouwd met de risico's die we nemen, en we gaan er niet over piekeren.'