![](http://i.go-travels.com/img/""> |)<p>У данашњем свету, где су велика и мала предузећа у великој мери погођена цибер нападима и кршењем података, потрошња на цибер-сигурност нагло је нарасла. Предузећа троше милионе долара да би заштитиле своју цибер одбрану. А кад говоримо о цибер сигурности и безбедности информација, Георгиа Веидман је једно од ретких познатих имена у индустрији које нам пада на памет.</p>
<p>Георгиа Веидман је етички хакер, пробијач продора, извршни директор компаније Схевирах Инц / Булб Сецурити ЛЛЦ и аутор књиге „Пробијање пенетрације: увод у хаковање“.</p>
<center>
<script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-1427824399252755" crossorigin="anonymous"></script>
<ins class="adsbygoogle" style="display:inline-block;width:580px;height:400px" data-ad-client="ca-pub-1427824399252755" data-ad-slot="3871104749"></ins>
<script>(adsbygoogle=window.adsbygoogle||[]).push({});</script>
<div id="adlk-embed-1"></div>
</center><p>Ево ексклузивног интервјуа Георгиа Веидмана са нашим тимом у Иваци-у где смо поставили нека питања која се односе на њу и Цибер Сецурити уопште:</p>
<p><strong>К1 - Здраво Георгиа, супер нам је драго што смо вас имали и били смо импресионирани знањем колико сте постигли за кратко време. Шта вас доводи до ове инфосец индустрије? Како сте започели свој пут као етички хакер?</strong></p>
<p>На факултет сам ишла рано, са 14, уместо уобичајених 18. И стекла сам математику, јер нисам желела да будем информатичарка. Моја мајка је била једна и какав тинејџер жели да буде као њихови родитељи?</p>
<center>
<script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-1427824399252755" crossorigin="anonymous"></script>
<ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-1427824399252755" data-ad-slot="4175470618" data-ad-format="auto"
data-full-width-responsive="true"></ins>
<script>(adsbygoogle=window.adsbygoogle||[]).push({});</script>
<div id="adlk-embed-1"></div>
</center><p>Али тада нисам могао заиста да нађем посао са 18 година са само дипломираном и без радног искуства, од мене су тражили да магистрирам из рачунарских наука, а они ће ми дати новац! То је било боље него живјети са мојим родитељима.</p>
<p>Тако сам ушао на Мастерс програм и на универзитету је постојао клуб за сајбер одбрану. Капетан клуба за сајбер одбрану ми се чинио заиста занимљивим и желео сам да научим више о њему. Дакле, не знајући ништа о кибернетичкој сигурности, придружио сам се клубу за цибер одбрану и такмичили смо се у Средњоатлантском такмичењу у цибер одбрани. Па, научио сам да је цибер-сигурност занимљивија од момка, али пронашла сам и оно што желим да радим у свом животу.</p>
<center>
<script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-1427824399252755" crossorigin="anonymous"></script>
<ins class="adsbygoogle" style="display:inline-block;width:580px;height:400px" data-ad-client="ca-pub-1427824399252755" data-ad-slot="3871104749"></ins>
<script>(adsbygoogle=window.adsbygoogle||[]).push({});</script>
<div id="adlk-embed-1"></div>
</center><p><strong>К2 - Која је била ваша инспирација и мотивација за писање књиге "Тестирање продором"?</strong></p>
<p>Хтео сам да напишем књигу коју сам пожелео да имам када сам кренуо у инфосец. Када сам први пут започео и покушавао да научим толико тога што је доступно у вези са вежбама и нагомилао толико претходног знања да сам радио технички еквивалент тражења свих речи у речнику. Затим те речи у дечјем речнику чак и имају идеју о томе како ствари функционишу много мање зашто се тако раде.</p>
<center>
<script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-1427824399252755" crossorigin="anonymous"></script>
<ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-1427824399252755" data-ad-slot="4175470618" data-ad-format="auto"
data-full-width-responsive="true"></ins>
<script>(adsbygoogle=window.adsbygoogle||[]).push({});</script>
<div id="adlk-embed-1"></div>
</center><p align=)
Када сам тражио помоћ, добио сам много „Склони се н00б“ или „Пробај јаче!“ Уместо објашњења. Хтео сам да олакшам онима који су дошли иза мене и попунио ту празнину мојом књигом.
К3 - Колико је занимљиво име, реците нам о својој компанији Булб Сецурити и како је све почело?
Заправо имам две компаније Схевирах Инц. и Булб Сецурити ЛЛЦ. Запалио сам Булб кад сам добио ДАРПА грант за Цибер Фаст Трацк за изградњу оквира за паметне телефоне Смартпхоне, а затим сам добио увреду због храбрости да се самостално кандидује за грант.
Поред истраживачких пројеката, у овом тренутку сам изградио и консултантску дјелатност пенетрацијског тестирања, обуке, обрнутог инжењерства, чак и анализе патената. У своје велико време, такође сам професор на Универзитету Мериленд Универзитет у Колеџу и Универзитету Тулане.
Покренуо сам Схевирах када сам се придружио покретачу акцелератора Мацх37 како бих продуктирао мој рад на тестирању продора мобилних уређаја и Интернета ствари, симулације пхисхинга и превентивне контроле како бих проширио свој домет помажући другим истраживачима да помогну предузећима да боље разумеју своје мобилне и ИоТ безбедносно држање и како да га побољшате.
П4 - Па, реците нам о јединственом најузбудљивијем времену када сте се заиста осећали поносним због свог посла као тестера.
Сваки пут када уђем, посебно на нови начин, имам исти налет као и први пут. Оно што ме такође чини поносном је то што понављам купце који не само да поправљају све што смо пронашли први пут, већ су и наставили да подижу своје безбедносно држање јер су нове рањивости и напади постали познати у време између тестова.
Видјети купца не само да закрпи оно што сам користио да бих ушао, већ и изградио зрелије сигурносно држање за предузеће у целини, значи да сам направио много више утицаја него што сам само показао да могу добити администратора домене Тровање ЛЛМНР-ом или ЕтерналБлуе.
П5 - За оне који желе започети своје путовање из подручја етичког хаковања и продора продора, које сугестије или савете у каријери желите да дате? То може бити било који сугестија, сертификат или образовни степен на мрежи по том питању.
Препоручио бих моју књигу „Пенетратион Тестинг: Хандс-Он Интродуцтион то Хацкинг“ наравно. Такође бих предложио да се укључите у локалне хакерске састанке или конференције, попут поглавља локалне ДЕФ ЦОН групе или Сецурити БСидес. То је одличан начин за упознавање потенцијалних ментора и веза у индустрији. Такође бих предложио да направите истраживачки пројекат или предавање.
Ово је такмичење које ме је увело у #инфосец. У регионима широм земље постоје такмичења, као и држављани за регионалне победнике. Добро место за улагање долара за долазак и сате волонтера. хттпс://т.цо/ТцНЛЦ7р8тВ
- Георгиа Веидман (@георгиавеидман) 28. фебруара 2019
Многи људи мисле да је сигурносно истраживање мрачна магија која захтева скривене вештине о унутрашњем раду покретача, али у већини случајева то није случај. Чак и ако тек почињете, сви имају сет вештина који би могао бити користан другима на пољу који могу да деле. Можда сте одлични у форматирању речи или имате дугогодишње искуство као администратор Линук система?
К6 - Да ли желите да предложите неки безбедносни софтвер, додатке, проширења итд. Нашој публици која је забринута због своје приватности и сигурности на мрежи? Постоје ли беспрекорне методе за максималну заштиту на мрежи?
С обзиром да део мог посла валидира ефикасност превентивних решења, сигуран сам да ћете разумети да у разговорима морам да останем агностик продавца. Важно је напоменути да не постоји таква ствар као што је безобразна сигурност. У ствари, чврсто верујем да је маркетиншка стратегија произвођача превентивне безбедности, „ако инсталирате наш софтвер (или ставите нашу кутију на вашу мрежу), више нећете морати да бринете о безбедности“, основни узрок многих кршења високог профила каква данас видимо.
Предузећа, након што су их обавестили такозвани стручни продавци, бацају много новца на безбедносни проблем, али превиђају ствари попут закрпања и свести о лажном идентитету, јер су њихови продавци рекли да су то покрили. И као што видимо време и време опет, ниједно превентивно решење неће све зауставити.
П7 - Са хакерског становишта, колико је тешко некога хакирати ако на његовом паметном уређају ради ВПН? Колико су ефикасни ВПН-ови? Користите ли неку?
Као и већина напада ових дана, већина мобилних напада укључује неку врсту социјалног инжењеринга, често као дио већег ланца експлоатације. Као и код превентивних производа, и ВПН сигурно може бити од користи против неких напада и свакако против прислушкивања, али све док мобилни корисници преузимају злонамерне апликације, профиле управљања итд. И отварају злонамјерне везе на својим паметним уређајима, ВПН може само иди тако далеко.
Подстакао бих кориснике да користе ВПН, посебно на јавним мрежама, као и друге безбедносне производе, наравно. Само бих волела да корисници и даље будно пазе на своје безбедносно држање, а не да се ослањају само на ове производе да би их заштитили.
К8 - Са експоненцијалним процватом паметних уређаја и невероватним развојем на пољу ИОТ-а, шта мислите, које су потенцијалне безбедносне претње и рањивости које ће највероватније обележити?
Претње мобилним и ИоТ-ом видим као исте традиционалне уређаје са више улазних и излазних тачака. На рачунару са оперативним системом Виндовс постоји претња нападима даљинског извршавања кода где кориснику није потребно да се учини ништа да би напад био успешан, напади на страни клијента где кориснику треба да отвори злонамерну датотеку било да је то веб страница, ПДФ, или извршљиви су итд. Постоје и напади социјалног инжењеринга и ескалација локалних привилегија.
Закрпе недостају, лозинке је лако погодити, софтвер треће стране је несигуран, листа се наставља. У мобилном и ИоТ-у имамо посла са истим проблемима, изузев само жичане или бежичне везе, сада имамо мобилни модем, Зигбее, Блуетоотх, комуникација у близини поља, само да наведемо неке од потенцијалних вектора напада, као и путеве за заобилажење било којег имплементација спречавања губитка података. Ако поверљиви подаци из компјутерских података бацају компромитоване мобилне уређаје и затим се СМС-ом шаљу у мобилну мрежу, сва превентивна технологија у свету на мрежном ободу неће је ухватити. Исто тако, имамо више начина него икад да корисници могу бити друштвено засновани.
Уместо само е-поште и телефонског позива сада имамо СМС, друштвене медије као што су Вхатсапп и Твиттер, КР кодове, листа безбројних начина на које би корисник могао бити циљан да отвори или преузме нешто злонамерно и даље се наставља.
П9 - Да ли се радујете безбедносних конференција? Ако да, шта су онда то?
Такође волим да видим нова места и упознам нове људе. Тако да сам увек спреман за путовања у стране земље ради конференција. Ове године сам позван да водим главну ријеч РастацЦон! на Јамајци Прошле године сам се дивно провео у посети Салвадору, у Бразилу, водећи једну од Роадсец конференција. Такође ове године држим главну улогу Царбон Блацк Цоннецт, што је добро место за мене, јер радим да бих постао познат и у пословном свету, као што сам и у свету инфосека. Иако је у врелом и гужви у Лас Вегасу, летњи камп инфосец (Блацкхат, Дефцон, БСидесЛВ, плус мноштво других догађаја истовремено) је одличан начин да надокнадите много људи из индустрије и видите шта су се спремили до.
К10 - Какви су ваши планови за будућност? Хоћете ли написати још једну књигу? Оснивате другу компанију? Скалирање постојећег? Шта Георгија Вајдман жели да постигне даље у свом животу?
Тренутно довршавам друго издање тестирања продором: Увод у хакирање. Дефинитивно бих волео да пишем додатне техничке књиге за почетнике у будућности. Иако сам до сада уложио само неколико анђеоских улагања, надам се да ћу у будућности моћи да улажем и менторирам друге осниваче стартапа, посебно техничке осниваче попут мене, и учиним више за подршку женама и мањинама у инфосцу.
Много сам научио од покретања, али такође сам једна од ретких пасмина које заиста само желе да истраже безбедност. Након покретања, замишљам да управо неко вријеме радим истраживање сигурности. Потпуно није повезано са технологијом, али ако ме пратите на друштвеним медијима, могли сте приметити да се такмичим у коњичким дисциплинама, тако да ћу ове године мој коњ Темпо и надам се да ћу победити у финалу Виргиниа Хорсе Схов Ассоциатион. Дугорочно, желио бих посветити више времена и ресурса усклађивању спасилачких коња с заслужним власницима и спашавању морских корњача.
„ Не можете сами поправити сигурност само превентивним производима. Тестирање је неопходан и често превидјен део сигурности. Како ће прави нападач провалити у вашу организацију? Да ли ће моћи да заобиђу ваше превентивно решење? (Наговештај: да.) ”- Георгиа Веидман
/ ФИНАЛ_РЕПЛАЦЕ
