Keren Elazari over het belang van hackers

Hoe het denken aan behulpzame hackers als het immuunsysteem van internet uw beveiliging sterker kan maken en uw digitale aanwezigheid beter kan voorbereiden en beveiligen.





1 augustus 2019

De ontwikkeling van cybersecurity is verweven met de evolutie van de hackergemeenschap. Keren Elazari, cyberbeveiligingsanalist en senior onderzoeker bij het Interdisciplinair Cyberonderzoekscentrum van de Universiteit van Tel Aviv, heeft de wereld in haar TED-talk van 2014 onderwezen over het belang van het cultiveren van vriendelijke hackers voor de bescherming van internet. Tegenwoordig doet ze onderzoek naar de meest urgente cyberbeveiligingsbedreigingen en hoe deze inbreuken kunnen worden voorkomen.

In deze aflevering deelt Elazari haar verhaal over het worden van een hacker als jonge vrouw in Israël en spreekt ze over de empowerment die ze heeft gekregen door een belangrijke speler te worden in de wereldwijde gemeenschap van hackers. Ze legt uit hoe bedrijven, organisaties en overheden nu samenwerken met behulpzame hackers door bug bounty-programma's en andere initiatieven te creëren. Elazari geeft tips waar bedrijven op moeten letten bij cyberdreigingen.



Business Lab wordt gehost door Elizabeth Bramson-Boudreau, de CEO en uitgever van MIT Technology Review. De show wordt geproduceerd door Katherine Gorman, met redactionele hulp van Emily Townsend en Mindy Blodgett. Muziek van Merlean, van Epidemic Sound.

Notities en links tonen:

Tel Aviv Cyberweek: https://cyberweek.tau.ac.il/2019/



Keren’s website: https://www.k3r3n3.com

Keren’s Twitter: https://twitter.com/k3r3n3

Ted-talk: https://www.youtube.com/watch?time_continue=2&v=JpFFb1jEUf0



VOLLEDIGE TRANSCRIPT

Van MIT Technology Review, ik ben Elizabeth Bramson-Boudreau en dit is Business Lab, de show die bedrijfsleiders helpt om nieuwe technologieën te begrijpen die uit het lab en op de markt komen.

Zolang we computersystemen hebben, zijn er mensen geweest die bescherming probeerden te doorbreken, maar deze hackers kunnen ook een nuttige rol spelen bij het identificeren van de hiaten in cyberbeveiliging en het identificeren van toekomstige bedreigingen.



Dit is de laatste aflevering in onze serie over cyberbeveiliging. En vandaag hebben we het over hacken.

Sinds de begindagen van internet zijn er vriendelijke cyberexperts geweest, waaronder onze gast, en deze hackers zijn van cruciaal belang geweest voor de gezondheid van het immuunsysteem van internet. Keren Elazari is cybersecurity-analist en senior onderzoeker aan het Interdisciplinair Cyber ​​Research Center van de Universiteit van Tel Aviv.

Elizabeth Bramson-Boudreau: Keren, welkom bij Business Lab.

Koel Elazar: Hoi. Ik ben blij om hier te zijn. Ik maak graag van deze gelegenheid gebruik om te praten over wat we kunnen leren van hackers en hoe hackers daadwerkelijk een cruciale rol spelen in de huidige informatiemaatschappij.

Elisabeth: Oke. Dus dat is geweldig. Laten we beginnen, want ik wil het echt hebben over het concept van de hacker als iets dat gevierd moet worden. Ik denk dat veel mensen zijn gaan geloven dat hackers een bedreiging vormden en dat jij het vanuit een heel ander gezichtspunt bekijkt. Voordat we daarop ingaan en over uw standpunt praten, kunt u ons iets over uzelf vertellen en hoe u zo'n leider bent geworden en een soort van frontaal over dit onderwerp bent geworden?

Koel: Natuurlijk, Elisabeth. Ik begon mijn pad in de cyberwereld, in het digitale rijk, zo je wilt, toen ik nog heel jong was. Ik was ongeveer 11 of 12 toen we voor het eerst toegang kregen tot internet in Israël, in Tel Aviv, waar ik opgroeide. En ik smeekte mijn ouders om een ​​eigen computer waarmee ik verbinding kon maken met internet. In die tijd moest je er zelf achter komen hoe je de modem moest laten werken, hoe je inbelde op de juiste servers, hoe je je computer moest configureren.

En toen je eenmaal online was, was het echt aan jou om je weg te vinden. En gelukkig vond ik mijn weg met chatrooms en online groepen voor mensen die net zo gepassioneerd waren door technologie als ik. En ik leerde Engels door te typen en te praten met deze mensen in chatrooms die geen idee hadden dat ze met een 13-jarig meisje uit Tel Aviv spraken.

Voor hen was ik gewoon een hacker, gewoon een andere online persoonlijkheid achter de bijnaam. En het was daar op deze online kamers dat ik leerde waarderen hoe nieuwsgierig, hoe creatief, hoe innovatief de mensen die zichzelf hackers noemen kunnen zijn. En rond het jaar 1995 veranderde mijn leven echt, want toen zag ik de film 'Hackers' waarin Angelina Jolie een felle middelbare school hacker speelde. En toen ik die film zag, voelde ik me echt verbonden. Ik resoneerde meteen met het verhaal dat die film liet zien.

En het was een verhaal van deze groep middelbare school hackers die allemaal een beetje, je weet wel, gekken of buitenstaanders zijn. Maar samen als groep hebben ze eigenlijk een ecologische ramp voorkomen. Ze ontdekten corruptie bij bedrijven. Ze lieten de FBI zien waar de echte cybercrimineel zich verstopte.

En het is deze groep kinderen die veel op mij leek en naar dezelfde muziek luisterde als ik en dezelfde ideologie had als ik. Dat is de groep kinderen die me liet zien dat een hacker kan betekenen dat jij de held van het verhaal bent. Gelukkig was ik in staat om dat beeld van de hacker als held en het beeld van die jonge, krachtige vrouw, geportretteerd door Angelina Jolie, tot mijn realiteit te maken. Ik besloot dat dit mijn rolmodel zou zijn en dat ik een vriendelijke hacker zou willen zijn, een die organisaties en landen helpt beveiligingsproblemen te begrijpen, zodat we betere systemen kunnen creëren en we kunnen voorkomen dat als gevolg daarvan catastrofale gevolgen optreden. van cyberaanvallen.

Gedurende mijn hele carrière, sinds die, je weet wel, het midden van de jaren '90, is dat het standpunt dat ik altijd heb ingenomen. Nu heb ik met verschillende soorten organisaties gewerkt, met overheidsinstanties. Ik heb in het Israëlische leger gediend. Ik werkte met vooraanstaande Israëlische technologiebedrijven. En op al deze plaatsen heb ik het standpunt van de hacker en vooral dat van de vriendelijke hacker naar voren gebracht - hoe kunnen we dit probleem daadwerkelijk oplossen? Hoe kunnen we iets beters creëren? Dus dat is het perspectief dat ik heb gehad in het verleden, denk ik, 25 jaar, bijna in mijn carrière in de cyberbeveiligingswereld.

Elizabeth : Ik bedoel, ik veronderstel dat ik intuïtief begrijp waarom hackers een soort buitenstaanders zijn en, weet je, citeer unquote, 'raardo's'. Maar wat is het met die gemeenschap die haar zo, vaak, zo ideologisch gedreven maakt?

Koel: Ik ben van mening dat hackers vaak buitenstaanders zijn. Ja. Maar we hebben ook de neiging om extreem gepassioneerd te zijn door technologie. En dit kan soms tot frustrerende resultaten leiden als een groep hackers een probleem identificeert en we proberen het op te lossen, maar we krijgen niet de aandacht die we nodig hebben, of we worden meteen gebrandmerkt als criminelen of vandalen. En dat leidt vaak tot dat resultaat waarbij mensen ons zien als een, weet je, misschien een potentieel kwaadaardig standpunt. Veel van de hackers die ik ken, hebben misschien niet dezelfde ideologie, maar ze delen allemaal zeer gepassioneerde idealen over de rol van technologie in ons leven, de rol van toegang tot informatie over dit idee dat mensen toegang zouden moeten hebben tot kennis en informatie, dat technologie niet alleen eigendom moet zijn van grote bedrijven en niet alleen iets is waartoe mensen met veel geld of privileges toegang hebben, maar dat internet en technologie iets zijn dat moet worden gedemocratiseerd. En ik denk dat dit misschien een ideologie is die je bij veel hackers zult vinden.

Waar komt het vandaan? is een goede vraag. En het is niet zo dat elke hacker hetzelfde standpunt of dezelfde ideologie deelt. Maar in de jaren 80 was er dit magische document dat de ronde deed op de BBS, de bulletinboard-systemen en later in vroege webmagazines en dit document heette 'The Hacker Manifesto'. En in 'The Hacker Manifesto' vertelt de persoon die het heeft geschreven over de mensen die nieuwsgierig zijn naar technologie als hackers, mensen die de digitale wereld willen verkennen zonder enige belemmering, en dat dat de mensen zijn die noemen zichzelf hackers. Dus daar kwam die ideologie vandaan. Natuurlijk waren er in de jaren 90 ook heel wat criminele elementen en vooral de georganiseerde misdaad, die het nieuwe potentieel dat het internet en de technologiewereld hen kan bieden, hebben overgenomen. En deze mensen zouden cybercriminelen moeten worden genoemd. Ze gebruiken misschien hackvaardigheden of hackmogelijkheden, maar ze delen niet noodzakelijk dezelfde ideologieën als de hackers waarmee ik ben opgegroeid en die ik vertegenwoordig.

Elisabeth: Laten we het nog even hebben over dit idee van de vriendelijke hacker. De luisteraars van Business Lab runnen bedrijven en maken zich grote zorgen om dit bedrijf te beschermen tegen cyberdreigingen. Het is jouw standpunt en ik zou daar graag meer over horen, dat hackers kunnen helpen bij het vinden van technische problemen en als een soort immuunsysteem kunnen fungeren. Dus, wat zou je zeggen tegen de mensen die hun bedrijf runnen?

Hoe moeten ze denken over de hackerwereld en waar moeten ze aan denken als ze zich zorgen maken over cyberbeveiliging en dit soort beslissingen die ze moeten nemen over het handhaven of bevorderen van meer veiligheid in die bedrijven?

Koel: Absoluut. Dus ik ben van mening dat hackers het immuunsysteem kunnen zijn voor onze nieuwe verbonden realiteit. En voor die luisteraars van de podcast die daar meer over willen weten, raad ik aan om mijn TED 2014-lezing te bekijken, genaamd 'Hackers zijn het immuunsysteem van het internet'.

Sinds 2014 heb ik deze boodschap gedeeld dat hackers nuttige bondgenoten kunnen zijn met allerlei verschillende organisaties en mensen. En verrassend genoeg ontdekken de afgelopen jaren steeds meer bedrijven de waarde van het werken met het vriendelijke hacker-ecosysteem. En een geweldige manier waarop dit daadwerkelijk gebeurt, is het fenomeen dat bekend staat als bug bounty-programma's. Dus deze bug bounty-programma's - ook wel bekend als programma's voor het vrijgeven van kwetsbaarheden of programma's voor het belonen van kwetsbaarheden - zijn eigenlijk frameworks die worden beheerd door zeer grote bedrijven, bedrijven zoals Google, Facebook, Yahoo, Microsoft, Samsung en zelfs bedrijven die niet uitsluitend technologiebedrijven zijn, bedrijven zoals United Airlines bijvoorbeeld, of Western Union of zelfs Starbucks, de koffieketen. Al deze bedrijven hebben een bug bounty-programma.

En wat dit betekent is dat ze actief vriendelijke hackers uitnodigen om naar hun product te kijken, of het nu hun app is, hun website. Het kan een auto zijn. In het geval van Tesla heeft dat een langdurige relatie met hackers. En ze zeggen in feite tegen hackers: kijk naar ons product.

Als u kwetsbaarheden vindt, als u beveiligingsfouten kunt ontdekken en als u ons over die problemen kunt vertellen, zullen we u belonen voor uw inspanningen, en die beloningen, die premies, ze kunnen in de vorm van geld zijn dat is betaald met prepaid creditcards of debetkaarten bijvoorbeeld, maar het kan ook een niet-monetaire vorm van beloning zijn die juist veel symbolische waarde heeft in het hacker-ecosysteem. Dit kunnen bijvoorbeeld swag, t-shirts of hoeden of unieke ervaringen zijn.

Ik herinner me bijvoorbeeld een bepaald jaar waarin Microsoft een van de grootste clubs in Las Vegas uitschakelde en een van de grootste DJ's en toegang tot dat feest boekte. En die club met die superster-deejay werd alleen geboden aan die onderzoekers, die vriendelijke hackers die kwetsbaarheden identificeerden en deze aan het programma van Microsoft doorgaven. In een ander geval…

Elisabeth: Dus het werd toen het een statusding werd, een soort ereteken om uitgenodigd te worden?

Koel: Er is zeker een statuselement. En in feite is een van de redenen dat bug bounty-programma's zo succesvol zijn, omdat ze sociale netwerken om zich heen hebben gecreëerd met hackers die concurreren op klassementen. Je zou kunnen zeggen dat dit is gegamificeerd en dat hackers strijden om de eerste plaats in de top vijf of top tien van hackers die kwetsbaarheden hebben gevonden op de specifieke website of het specifieke programma. In bepaalde gevallen zijn er zelfs nog meer speciale beloningen die alleen aan de beste hackers van een bepaald programma worden gegeven. Tesla heeft bijvoorbeeld een challenge-munt en dit is bijna een medaille en het zijn slechts 20 van deze Tesla-uitdagingsmunten in de wereld en ze gaan alleen uit naar die tophackers die Tesla helpen. Afgelopen zomer zag ik Elon Musk zelfs persoonlijk de grootste conventie van hackers ter wereld bijwonen, een evenement genaamd DEF CON, dat elk jaar in Las Vegas plaatsvindt. En Elon Musk kwam daar met zijn team en met zijn hoofden engineering voor zowel Tesla als SpaceX om te praten met die getalenteerde hackers die kwetsbaarheden in het product van Tesla konden vinden. Natuurlijk is het misschien geen verrassing dat een innovatief bedrijf als Tesla of dat Silicon Valley-reuzen als Facebook en Microsoft met hackers werken. Maar de afgelopen jaren hebben organisaties als het Pentagon en het Amerikaanse ministerie van Defensie ook hun Hack the Pentagon-programma gelanceerd. En dat bug bounty-programma heeft echt geweldig initiatief getoond, geweldige resultaten. Vanaf het moment dat het voor het eerst werd gelanceerd tot dit jaar, zijn er zoveel kwetsbaarheden op Pentagon-websites die via dat programma zijn ontdekt. Dus dat betekent dat de criminelen, de spionnen, de slechteriken die de kwetsbaarheid vinden, ze je niet gaan vertellen over wat ze hebben ontdekt. En door deze programma's te maken, laten we dat immuunsysteem effectief toe. We geven deze vriendelijke hackers effectief een pad, een legitiem juridisch pad om hun bevindingen te rapporteren en ons te helpen veiliger te worden.

En ik ben erg gepassioneerd en hoopvol over de verdere acceptatie van deze bug bounty-programma's. En ik denk dat dat iets is dat elke bedrijfsleider zich moet afvragen: hebben we zo'n kans voor vriendelijke hackers om hun bevindingen aan ons te rapporteren?

Elisabeth: Ik heb een paar vragen. Zijn er bepaalde soorten bugs waar dit soort premieprogramma's het meest geschikt voor zijn? En ten tweede, hoe zijn bedrijfsleiders die geen Tesla of Facebook runnen enorm grote, goed toegeruste bedrijven? Hoe hebben ze toegang gekregen tot dit soort programma's?

Koel: Dus dat zijn mooie vragen. Ik ben erg blij om zo lang als je wilt over bug bounties te praten, want dit is eigenlijk het hart van de studie geweest, het onderzoekswerk dat ik de afgelopen jaren heb gedaan aan het Cyber ​​Research Center van de Universiteit van Tel Aviv . En een van de dingen die we ontdekten, is dat deze programma's veel waarde hebben wanneer het product dat wordt getest of het platform dat wordt bekeken al openbaar is. Dus als je een website hebt, bijvoorbeeld als je United Airlines bent en mensen kopen vliegtickets op je website, dan heb je al een zeer publiek gericht product dat op het web leeft. En als je zo'n product hebt, is het erg handig om al die hackers kwetsbaarheden te laten identificeren. In het geval van United Airlines betalen ze trouwens geen geld. Ze betalen airmiles uit. En mensen hebben miljoenen mijlen verdiend door kwetsbaarheden op de website van United Airlines te vinden. In een ander geval, als het gaat om apps of websystemen of zelfs, zoals ik eerder al zei, met auto's, met Tesla in-car-systemen, wanneer er een consumentgericht product is dat veel technologie bevat of wanneer dat product is op het web of het is een mobiele app, dat is een goed moment om de hulp in te roepen van die vriendelijke hackers via het formaat van bug bounty-programma's. Nu vroeg je hoe kunnen kleine organisaties van dat voordeel genieten? Er zijn verschillende manieren. Een die belangrijk is om te begrijpen dat er tegenwoordig bestaande platforms zijn die die relatie met die hackers daadwerkelijk bemiddelen. Ik zei al dat het bijna lijkt alsof er sociale netwerken omheen zijn gebouwd. De twee toonaangevende platforms heten HackerOne en Bugcrowd.

Er zijn verschillende andere bedrijven, maar dit zijn de twee grootste platforms en ze bemiddelen in feite veel van de bug bounty-programma's die er zijn en ze hebben meer dan 100.000 vriendelijke hackers die deze platforms registreren en gebruiken. Dus dat is toegang tot veel hackers. Dus dat zou de nummer één plek zijn die ik zou aanraden om naar te kijken. Ten tweede is het belangrijk om te begrijpen dat zelfs een kleine organisatie een vorm van betrokkenheid of uitlaatklep kan hebben om met vriendelijke hackers te werken.

Ten eerste is er eigenlijk een internationale standaard voor gecoördineerde openbaarmaking van kwetsbaarheden, en dat is de internationale norm voor door CVD gecoördineerde openbaarmaking van kwetsbaarheden. En ik kan het nummer van die norm opzoeken, zodat ik dat met je luisteraars kan delen.

Nu, behalve dat, is er nog een ander project dat security.txt heet. En wat het security.txt-project eigenlijk zegt, het zegt dat als je een website of een consumentgerichte technologie hebt, je er zeker van wilt zijn dat er ergens op je website een bestand staat met de naam security.txt en heeft eigenlijk de informatie over met wie mensen contact moeten opnemen als ze een beveiligingsprobleem op uw site vinden. Je zou versteld staan ​​hoe vaak het simpele feit van het hebben van de juiste contactgegevens het voor een vriendelijke hacker mogelijk maakt om contact met je op te nemen en te zeggen: 'Hé, ik heb een probleem gevonden op je site, ik heb een fout in je code. Misschien wil je er meer over weten.'

Elisabeth: Rechts. Dat heeft veel zin. Dus ik wil een beetje overstappen op het kijken naar cyberbeveiligingsbedreigingen die niet alleen over computers of netwerken gaan. En ik denk dat, weet je, veel van onze luisteraars zich ervan bewust zijn dat de dreiging alleen maar toeneemt met iot en de wildgroei van apparaten die verbonden zijn. Praat daarover en wat de hackergemeenschap doet en zou kunnen doen om meer ondersteuning te bieden en bedrijfsleiders te helpen.

Koel: Absoluut. Voordat ik dat doe, wil ik alleen vermelden dat de internationale norm waar ik het eerder over had ISO 29147 is. Dat is dus internationale norm 29 147, wat eigenlijk een internationale norm is voor gecoördineerde openbaarmaking van kwetsbaarheden waar elke organisatie van kan leren en zich aanpassen en toepassen voor hun bedrijf. Dus ik wilde je daar alleen de informatie over geven. Nu, met betrekking tot een vraag, ik denk dat je daar echt de spijker op de kop slaat. Het gaat echt niet meer om informatiesystemen of, je weet wel, onze telefoons of onze computers.

Er zijn echt zoveel nieuwe verbonden technologieën die we elke dag met ons leven toevertrouwen, of het nu gaat om verbonden huissloten en bewakingssystemen zoals webcamera's of, je weet wel, de dingen waarop we vertrouwen om onze auto op tijd te krijgen, de navigatie hulpmiddelen waarop we vertrouwen, de dingen waar vliegtuigen op vertrouwen, medische technologieën. En dit is een geweldige reden waarom we het in onze branche nu hebben over cyberbeveiliging en niet over informatiebeveiliging, omdat het niet langer gaat om het beschermen van geheimen of onze wachtwoorden of creditcardnummers. Het gaat echt om het beschermen van al deze cyber-fysiek verbonden systemen. Nu, als het gaat om die iot-apparaten, het internet der dingen-apparaten. Dit is waar ik denk dat veel mensen, of ze nu bedrijfsleiders zijn of, je weet wel, particulieren, we echt niet beseffen dat we de chief information officer voor ons eigen huis moeten zijn, want in het huis van elk gezin tegenwoordig, er zijn eigenlijk meer dan een dozijn apparaten, meestal, misschien zelfs meer. En je hebt entertainmentconsoles, je hebt dvd's, je hebt webcamera's, je hebt gadgets en tablets en persoonlijke apparaten, natuurlijk, telefoons en computers. En voor al deze apparaten is er echt geen Chief Information Security Officer of Chief Information Officer die ze voor ons gaat onderhouden. Dus als individuen, als consumenten, is het echt de verantwoordelijkheid om ervoor te zorgen dat die apparaten geüpdatete besturingssysteemomgevingen hebben zonder standaard gebruikersnaam en wachtwoord. Dat zijn dingen die we moeten doen en niemand doet dat voor ons.

En dat is waar veel van de nieuwe soorten bedreigingen binnensluipen, omdat veel mensen je zullen zeggen: 'Hé, nou, het kan me niet schelen of iemand mijn beveiligingscamera hackt die ik in mijn achtertuin heb, omdat ik niet heb niets te verbergen.' Maar wat mensen zich niet realiseren is dat criminelen leren hoe ze al deze digitale middelen als pionnen in hun eigen digitale legers kunnen gebruiken. En in de afgelopen jaren hebben we massale aanvallen gezien waarbij criminelen honderden en duizenden van dit soort aangesloten apparaten hebben overgenomen, of het nu webcams of digitale videorecorders zijn, soms zelfs kantoorkopieermachines zoals een Xerox-apparaat. En al deze apparaten kunnen door criminelen worden gebruikt om verdere cyberaanvallen uit te voeren. Dus als het op deze apparaten aankomt, is het echt aan ieder van ons om ook verantwoordelijkheid te nemen. Bescherm allereerst dat apparaat, of het nu is door het besturingssysteem bij te werken of het standaardwachtwoord te vervangen. Trouwens, in de staat Californië is een nieuwe wet van kracht, die in januari 2020 zal worden toegepast. het zal geen standaard gebruikersnaam en wachtwoord hebben. Dus je kunt geen apparaten hebben met het wachtwoord van, je weet wel, een, twee, drie, vier of iets dergelijks, zoals we de afgelopen jaren hebben gezien. Dus dat is iets dat aan het veranderen is in de staat Californië. Hopelijk zullen meer staten dit voorbeeld volgen. Maar het brengt het terug naar de persoonlijke verantwoordelijkheid die we als consument hebben. En we hebben ook een verantwoordelijkheid en mogelijk een bron van invloed als bedrijfseigenaren. Wanneer we technologie kopen, wanneer we technologie verwerven van een provider, van een verkoper die het aan ons verkoopt, kunnen we eigenlijk zeggen: Hé, wat zijn uw beveiligingsprotocollen? Wat is uw methode om het besturingssysteem of de firmware voor dit apparaat bij te werken? Hoe kun je verifiëren dat het niet alleen dat simpele wachtwoord van één, twee, drie, vier typen heeft? Hoe kan ik mijn wachtwoorden wijzigen? En ik geloof dat naarmate meer mensen beter eisen van de leveranciers die deze technologieën maken en deze producten verkopen, we een veiliger ecosysteem zullen hebben.

Elisabeth: Dus dit zijn, denk ik, eigenlijk bottom-up benaderingen. De verantwoordelijkheid ligt dus bij de persoon die het apparaat koopt, bij dat aangesloten apparaat of bij het beveiligingsteam van het bedrijf. U noemde de staat Californië, maar in het algemeen, is dit iets waarvan we moeten aannemen dat het niet geholpen zal worden door overheidssteun of overheidsregulering?

Koel: Overheden doen eigenlijk veel meer dan vroeger. Vooral in de VS zullen we meer regelgevende benaderingen zien die een beetje agressiever zullen zijn in hun eisen van bedrijven en bedrijfsleiders om meer kennis te hebben over cyberbeveiliging, om een ​​lid van de raad van bestuur te hebben voor een organisatie die heeft kennis en achtergronden op het gebied van cybersecurity. We hebben al gevallen gezien waarin bijvoorbeeld in de aangespannen zaak, denk ik, de FTC tegen Uber is. Zoals je misschien hebt gehoord, had Uber de afgelopen jaren verschillende datalekken. En aangezien die zaak aan de Federal Trade Commission is voorgelegd, heeft de FTC heel nauwkeurig gekeken naar het niveau van beveiligingscontroles die door Uber worden toegepast. En ze hebben zichzelf in dienst met mensen met kennis van zaken, die werken voor deze consumentenregelgevers die heel gedetailleerde vragen op technisch niveau gaan stellen, en ze gaan van bedrijven verwachten dat ze redelijke beveiligingscontroles hebben. Wat houdt een redelijke veiligheidscontrole in?

Het betekent dingen die best practices zijn, dingen die worden beschouwd als iets dat elk ander bedrijf van die omvang of binnen dat budget zou doen. En een soort redelijke controle waar regelgevers naar beginnen te zoeken, is dat een bedrijf eigenlijk communicatiemiddelen heeft met die vriendelijke hackers die er zijn en proberen kwetsbaarheden te melden? Dus heeft het bedrijf een bug bounty-programma? Hebben ze een duidelijk beveiligingsbeleid of openbaarmakingsbeleid voor kwetsbaarheden? Maken ze mensen bekend dat er een manier is om kwetsbaarheden aan hen te melden? En dit is iets waar we steeds meer regelgevers over beginnen te praten. In die zin heb ik veel geluk, want ik heb toevallig een zus die advocaat is en zich nu specialiseert in cyberbeveiligingsbeleid in de Verenigde Staten. En samen met haar heb ik zoveel geleerd over de manier waarop Amerikaanse regelgevers eigenlijk veel meer beginnen aan te dringen als het gaat om veiligheidscontroles door Amerikaanse bedrijven.

Elisabeth: Dat is geweldig. Laten we het dus nog even hebben over andere soorten bedreigingen. Dus hoe zit het met ransomware? We hebben het in deze podcast gehad over ransomware. Zie je dat als een reële en groeiende bedreiging?

Koel: Het is dus belangrijk om te begrijpen over ransomware dat het in 2017 en 2018 super trendy was. Maar criminelen evolueren altijd en ze gaan niet hetzelfde doen. Dus wat, weet je, heel waardevol en winstgevend was voor criminelen om te lanceren in de afgelopen paar jaar, is niet langer zo winstgevend omdat steeds meer organisaties slimmer zijn geworden en ze het losgeld niet gaan betalen. Ze gaan terug naar een back-up of ze gaan een alternatieve manier vinden om die ransomware-encryptie te omzeilen. Wat er is gebeurd, is dat criminelen een veel lucratievere aanpak hebben bedacht. En dit is iets dat cryptojacking wordt genoemd, ook wel bekend als cryptomining. En wat crypto-jacking doet, is in feite dat zodra de crimineel de mogelijkheid heeft om elk type kwaadaardige code op uw systeem te lanceren, dit uw pc, uw webservers of uw cloudservers kan zijn. Wat ze gaan doen is dat in plaats van de gegevens te versleutelen en losgeld te vragen, ze in feite een stil programma gaan draaien dat cryptovaluta gaat delven. Een zeer populaire oplichting. Uw computer die gebruikt U gebruikt precies uw computer, uw rekenkracht. Dus voor sommige com-bedrijven, wanneer dit gebeurt op hun cloudservers, wanneer dit bijvoorbeeld gebeurt op hun AWS-infrastructuur, kan dit in feite tientallen duizenden dollars aan rekenkrachtkosten opleveren. En de criminelen lopen weg met miljoenen dollars aan cryptocurrencies. En de zeer populaire cryptocurrency die op deze manier is gedolven, wordt Monero genoemd. En er zijn eigenlijk zoveel campagnes geweest die zeer ontwijkende malware creëren die naar die Monero gaat mijnen. Zelfs de wifi-netwerken van Starbucks-vestigingen in heel Argentinië hadden deze Monero-miningmalware op zich. Dus toen mensen zich aanmeldden op wifi, openden ze hun laptop om in te loggen op de wifi van Starbucks.

Eigenlijk draaide die mining-software vijf of tien seconden per keer op hun computers, wat veel inkomsten opleverde in de vorm van cryptovaluta voor de criminelen. En daarom zeg ik, Elizabeth, het is erg belangrijk om te leren van wat de hackers doen. Het is erg belangrijk om te kijken naar wat criminelen doen, omdat ze voortdurend in ontwikkeling zijn. En hier besteed ik veel van mijn tijd aan het bestuderen en bekijken van deze nieuwe technieken, deze nieuwe trends, de manier waarop criminelen hun spel verbeteren omdat ze echt in de zeer nieuwe bedrijfsmodellen komen om onze digitale activa en verander ze heel snel in geld. En ze doen steeds iets nieuws.

Elisabeth: Dus hoe zou u weten of uw netwerk waar u naar op zoek bent om te bepalen of uw netwerk al dan niet kwetsbaar is voor dit soort cryptojacking of cryptomining? Ik bedoel, dat klinkt zo verschrikkelijk.

Koel: Ja. Ja. Dat is dat. Dat is verschrikkelijk. Dat is een geweldige vraag. Dus een manier waarop je zult merken dat je crypto-jacking-malware op je systemen hebt, is natuurlijk als je aan het eind van de maand een zeer hoge Amazon Web Services-rekening hebt, die veel hoger is dan je had verwacht, of als je ' Als je naar je energieverbruik kijkt en je ziet dat je servers ineens op veel hogere CPU-snelheden draaien, werken je processors eigenlijk veel harder. U merkt misschien ook dat uw machine aan het opwarmen is. Het draaien wordt heter omdat een CPU harder werkt. En je kunt dit zelfs als individu opmerken, als je, weet je, je verbinding extreem traag lijkt te zijn. U opent uw webbrowser voor specifieke sites en het duurt erg lang voordat ze zijn geladen. Het kan betekenen dat u dit type cryptomining- of cryptojacking-malware op uw systeem heeft. Het is belangrijk op te merken dat dit soort aanvallen nu meestal gericht zijn op die cloudinstanties. Ze zorgen dus niet meer voor de individuele computers van mensen, alleen maar omdat ze niet echt de rekenkracht hebben die ze willen. Gamers, gamers met krachtige computers, meestal met GPU en krachtige grafische verwerkingseenheden, zijn mogelijk vatbaarder voor dit soort cryptomining-malware.

Elisabeth: Zijn AWS en andere cloudproviders niet hier naar op zoek in plaats van simpelweg een hoge rekening door te rekenen aan hun klanten? Ik zou denken dat ze wat zouden doen, weet je, ze zouden zeker een AI kunnen laten kijken naar eventuele pieken of ongewoon gebruiksgedrag, zou ik denken.

Koel: Dus het is heel erg... Ik ben het met je eens dat het voor ons intuïtief zou zijn om te verwachten dat de cloudplatformaanbieders meer doen en op deze bedreigingen letten. Maar de realiteit is dat criminelen in veel gevallen op de systemen van mensen komen omdat ze een gemakkelijk onbeveiligde, gemakkelijk toegankelijke, slecht geconfigureerde cloudinstantie hebben. Dus vaak zal het cloudbedrijf zeggen dat het jouw probleem is omdat je de deur wijd open hebt gelaten. U heeft uw cloudservers niet zo geconfigureerd dat ze veilig zijn. Je hebt geen wachtwoord ingevoerd of je gebruikt het standaard wachtwoord of je hebt een heel bekend wachtwoord gebruikt. U had enkele zeer bekende kwetsbaarheden op uw cloudservers. Dus het is niet echt hun probleem. Het is van jou. En dit, denk ik, brengt ons terug bij een groot probleem dat veel mensen nu hebben met het consumeren van technologie. We snappen echt niet hoeveel verantwoordelijkheid nog bij de consument ligt. En er zijn veel verwachtingen van de technologieprovider, of het nu gaat om een ​​cloudservice of een internet of things-apparaat of een besturingssysteem. We hebben veel verwachtingen dat het bedrijf dat ons een product verkoopt, veel meer zou doen op het gebied van beveiliging.

Maar de realiteit is dat hun bedrijfsmodel in veel gevallen erop is gebaseerd dat de klant meer van die verantwoordelijkheid op zijn schouders neemt. En dat beseffen we niet per se. Nu, ik wil niet gewoon, je weet wel, bedrijven noemen en schamen. Er zijn zeker cloudproviders die meer doen. Ik weet dat Amazon en AWS momenteel een groot team hebben dat zich toelegt op het zoeken naar beveiligingsbedreigingen op hun platform. Ze zijn toevallig het meest populair bij criminelen omdat het het krachtigste cloudplatform is. We moeten dus echt de hele tijd doorgaan. En dit kat-en-muisspel en zodra het Amazone-volk een manier zal vinden om die cryptojacking-malware uit campagnes te stoppen, zal er een nieuw type aanval ontstaan.

Elisabeth: Dus dat is een geweldige plek voor ons om naar mijn volgende en laatste vraag te gaan, wat komt er daarna? En ik weet niet zeker wie de kat en wie de muis is? Maar waar gaat de kat heen? En waar moeten leiders die zich zorgen maken over cyberbeveiliging nadenken over de toekomst van de dreiging?

Koel: Het is echt niet duidelijk wie hier de kat en wie de muis is. Je hebt helemaal gelijk. Maar als het daarop aankomt, waar ik aan denk als ik denk aan wat de toekomst biedt, denk ik aan mensen en aan menselijk talent. Ik denk aan de mensen die die beveiligingsprofessionals zullen zijn, die vriendelijke hackers, die zakelijke leiders van de toekomst. En hoe kunnen we ervoor zorgen dat die mensen net zo goed geïnformeerd, zo innovatief en creatief zijn als sommige slechte mensen die er zijn? Omdat ik denk dat zolang mensen code schrijven, we kwetsbaarheden zullen hebben, zolang mensen technologie gebruiken. Er zullen kwaadwillende individuen en organisaties zijn die die technologie willen gebruiken voor slecht gewin of voor manipulatie. En we hebben meer mensen nodig dan ooit tevoren. Dus ik ben van mening dat de vriendelijke hackergemeenschap kan helpen. Maar het is ook heel belangrijk om te investeren in cybersecurity, educatie en bewustwording, daarom ren ik. Naast Tel Aviv is het Israëls grootste community-evenement voor hackergemeenschap en veiligheidsonderzoek. Daarom organiseren we op de Universiteit van Tel Aviv iets genaamd Tel Aviv Cyber ​​Week, die elke zomer kennis en informatie verschaft aan meer dan 8.000 mensen. Daarom besteed ik mijn tijd wanneer ik reis, wanneer ik vrije tijd heb, mijn tijd aan het bezoeken van hacker-evenementen en of het nu een gemeenschapsbijeenkomst is of een technologieconferentie, omdat we echt aandacht moeten besteden aan het soort onderzoek en kennis dat nu wordt gegenereerd door vriendelijke hackers, zodat we daadwerkelijk meer mensen naar buiten kunnen krijgen, gewapend met informatie en kennis. Ze moeten een betere en veiligere toekomst voor ons allemaal ontwikkelen. Een gebied waar veel mensen aan denken, is het gebied van AI.

En dat is, weet je, echt cruciaal om te begrijpen dat we misschien in een wapenwedloop zitten als het gaat om AI-technologieën en specifiek AI voor cyberbeveiliging, zowel aan de offensieve als aan de defensieve kant. Maar terwijl de wapenwedloop daadwerkelijk werkelijkheid wordt, is het de race om het talent te rekruteren, de mensen die daadwerkelijk een systeem van de volgende generatie kunnen creëren. En dat is een gebied waar ik denk dat de Verenigde Staten momenteel een voordeel hebben. En als je dat voordeel wilt behouden, moet je blijven investeren in dat soort knowhow en dat soort talent en die outsiderhackers opbouwen die daadwerkelijk de toekomstige verdedigers van morgen kunnen zijn.

Elisabeth: Dus, Keren, waar kunnen mensen meer informatie krijgen als ze meer willen weten over de dingen waar je het vandaag over hebt gehad?

Koel: Ik ben dus heel gemakkelijk online te vinden. Mijn naam is Keren Elazari. Maar in de hackerwereld sta ik bekend als Keren E. Alle E's worden met drie gespeld. U kunt dus ofwel naar mijn website gaan, K3R3N3.com. Je kunt mij vinden op LinkedIn. Je kunt mijn TED-talk bekijken op Ted.com: 'Hackers zijn het immuunsysteem van het internet'. Er is een verscheidenheid aan inhoud die ik op YouTube plaats. En je bent van harte welkom om de Tel Aviv Cyber ​​Week te bezoeken. En BSides Tel Aviv, BSidestlv.com is de site die u wilt bezoeken, als u de hackergemeenschap wilt komen ervaren die we hier in het prachtige, zonnige Tel Aviv hebben.

Elisabeth: Prachtig. Heel erg bedankt dat je hier bij Business Lab bent gekomen.

Koel: Dank je, Elisabeth.

Elisabeth: Dat was het voor deze aflevering van Business Lab.. Ik ben je gastheer, Elizabeth Bramson-Boudreau. Ik ben de CEO en uitgever van MIT Technology Review. We zijn in 1899 opgericht aan het Massachusetts Institute of Technology. En je kunt ons vinden in gedrukte vorm op internet, bij tientallen live-evenementen per jaar, en nu in audiovorm. Ga voor meer informatie over ons en de show naar onze website op technologyreview.com. Deze show is overal beschikbaar waar je je podcasts vandaan haalt.

Als je deze aflevering leuk vond, hopen we dat je even de tijd wilt nemen om ons te beoordelen en te recenseren op Apple Podcasts. Business Lab is een productie van MIT Technology Review.

Onze hoofdredacteur is Mindy Blodgett. Deze aflevering is geproduceerd door Collective Next met redactionele hulp van Emily Townsend. Speciale dank aan onze gast, Keren Elazari.

Bedankt voor het luisteren. We komen snel terug met onze volgende aflevering.

zich verstoppen