Video: 5 Sistem Keamanan Rumah Paling Canggih dengan Harga Murah (Oktober 2024)
Pada episode Fast Forward ini, saya menyambut Josh Schwartz, kepala Tim Merah internal Verizon Media. Itu berarti dia menghabiskan hari-harinya mencoba meretas sistem majikannya yang paling berharga dan tepercaya, idealnya sebelum seseorang yang tidak ada dalam daftar gaji melakukan hal yang sama.
Dan Costa: Saya pikir orang memiliki gagasan yang kabur tentang apa itu tim merah; mereka telah melihatnya di film. Apakah itu menyenangkan dan menarik seperti yang terlihat di TV?
Josh Schwartz: Saya hanya berharap, bukan? Ia memiliki tanggung jawab menerobos masuk ke tempat. Tentu saja itu cukup mengasyikkan, tetapi jelas, di film-film Anda melihat segala sesuatu terjadi secara instan dan kenyataannya tidak. Butuh banyak pekerjaan… itu tidak hanya berlarian menyebabkan pranks.
Ini sebenarnya mencoba untuk mempengaruhi perubahan dalam suatu organisasi, mencoba untuk membantu memberi tahu organisasi tentang 'Apa yang sebenarnya dilakukan orang jahat?' Peran berada di tim merah internal ini, walaupun masih mengasyikkan, saya masih harus pergi ke pertemuan, masih harus menetapkan tujuan, hal-hal seperti itu.
Dan Costa: Siapakah orang-orang di tim ini? Saya membayangkan ada banyak programmer, tetapi saya membayangkan itu tidak hanya terbatas pada programmer.
Josh Schwartz: Keragaman keterampilan dalam tim adalah sesuatu yang jika kita tidak miliki, kita tidak memiliki kemampuan itu. Ada kesalahpahaman sangat sering karena apa yang Anda lihat di film, seperti, ada satu orang peretas dan dia dapat memecahkan masalah teknologi.
Dan Costa: Dan ada orang mobil, spesialis senjata.
Josh Schwartz: Pada kenyataannya, saya membangun sebuah tim sehingga setiap orang adalah ahli dalam sesuatu. Orang ini adalah orang yang tahu bagaimana melakukan intrusi fisik dan orang lain adalah ahli kriptografi dan orang lain adalah ahli dalam rekayasa sosial. Memiliki setiap orang menjadi ahli berarti bahwa kita dapat bersandar pada satu sama lain untuk secara efektif… menyelesaikan segala jenis masalah tim.
Dan Costa: Jadi, seperti apa hari di kantor itu? Jenis hal apa yang Anda uji?
Josh Schwartz: Menjadi seorang hacker hanyalah jenis seseorang yang suka memisahkan sistem, bukan? Itulah alasan mengapa kami bukan penjahat yang inheren hanya dengan menjadi peretas.
Jadi, dalam sehari di kantor, kami menetapkan tujuan berdasarkan hasil, agak seperti skenario terburuk yang ingin kami lihat. Apa langkah-langkah bagi kita untuk beralih dari yang tidak ada menjadi mencapai tujuan yang benar-benar buruk bagi perusahaan? Dari sana, kita dapat membentuk sesuatu yang disebut "rantai pembunuhan." Sehari di kantor mencari tahu bagaimana membuat rantai itu terjadi. Kemudian kita berpikir tentang berbagai tempat di mana kita dapat memutus rantai itu. Dari sana, kami bertemu dengan para pemangku kepentingan, memberi tahu mereka bagaimana para penyerang akan melakukannya, dan menawarkan satu perubahan kecil yang dapat Anda lakukan untuk membantu memperbaikinya.
Dan Costa: Apa vektor yang paling Anda khawatirkan? Saya tahu saya masih mendapatkan email dari IT yang memberi tahu orang-orang untuk tidak mengklik tautan yang terlampir di email atau lampiran email. Di mana Anda melihat kerentanan yang masih ada di sana?
Josh Schwartz: Jika Anda mengklik tautan dan mengunduh lampiran, menjalankannya di komputer Anda meskipun ada banyak peringatan, itu masalah. Tapi kami telah berevolusi menjadi era baru di mana sekarang ini akses ke informasi yang ada di cloud dan tempat yang berbeda. Jika Anda mengizinkan akses ke orang lain, itu juga masalah.
Itu akhirnya menjadi lebih bermasalah daripada sesuatu yang berjalan di komputer Anda, karena sudah ada banyak perlindungan di sekitar itu. Sekarang kami memiliki informasi yang beredar di mana-mana dan Anda memiliki agensi untuk mengendalikannya. Anda memiliki agensi untuk memberikan akses hal-hal lain kepada orang lain, ini semacam cara kerja internet sekarang. Penyerang, termasuk kita, telah bergeser ke hal-hal seperti itu sedikit lebih.
Dan Costa: Sangat luar biasa bahkan melihat Google Drive saya sendiri dan berapa banyak file yang saya akses yang seharusnya tidak saya miliki. Saya membayangkan itu jauh lebih buruk di perusahaan yang tidak secanggih teknologi seperti Ziff Davis dan PCMag. Bukan hanya file yang menjalankan malware, tetapi bisa juga berupa dokumen perusahaan atau dokumen keuangan yang Anda benar-benar tidak ingin pesaing Anda memiliki atau mengakhiri pengguna atau penjahat.
Josh Schwartz: Keamanan, secara umum, ini sistem holistik ini. Ini bukan tentang 'Apakah ada bug di sistem di mana saya akan membuang beberapa exploit padanya dan itu akan meledak' atau sesuatu seperti itu. Itu tidak berfungsi seperti itu lagi. Ini adalah sistem yang saling berhubungan, orang-orang, proses bisnis, teknologi yang mendukung mereka, bagaimana perasaan kita tentang hal itu, kebijakan - semuanya bersama-sama… adalah keamanan.
Dan keamanan, sering kali, hanya semacam perasaan Anda tentang hal itu. Bagaimana perasaan Anda tentang data dan informasinya? Langkah apa yang bisa Anda ambil untuk melindunginya? Jika Anda merasa kuat tentang hal itu dan upaya yang Anda lakukan kurang dari upaya kekuatan di sekitar Anda yang berusaha mendapatkannya, maka Anda merasa tidak aman. Tetapi jika Anda merasa telah melakukan upaya yang cukup dan tidak ada hal buruk yang terjadi, maka Anda merasa aman. Tetapi tidak ada saklar on / off untuk keamanan.
Dan Costa: Mari kita bicara sedikit tentang sifat ancaman itu. Menurut saya ada beberapa ember yang orang khawatirkan. Peretasan dulunya adalah hal menyenangkan yang dilakukan orang untuk mendapatkan akses ke komputer Anda atau merusak komputer Anda. Kemudian penjahat menemukan cara menghasilkan uang dengan menggunakan teknik yang berbeda ini. Tetapi ada juga aktor negara dan bahkan perusahaan swasta yang memiliki banyak data tentang orang. Menurut Anda di mana ancaman terbesar yang tak terlihat berada di ruang keamanan?
Josh Schwartz: Mencari tahu di mana ancaman terbesar berakhir dengan mencari tahu siapa Anda. Ancaman terbesar bagi Anda mungkin bukan ancaman terbesar bagi saya, yang bukan ancaman terbesar bagi suatu perusahaan. Ini semacam pemodelan ancaman, bukan? Anda tidak hanya memilih ancaman terbesar dan mengarahkan mereka. Anda berpikir, "Apa yang saya miliki? Siapa yang mungkin menginginkannya? Apa yang harus saya lakukan?" Dan cobalah mengambil tindakan untuk mengurangi hal-hal yang tidak Anda inginkan terjadi.
Hanya mencoba menunjukkan bahwa bangsa ini adalah ancaman terbesar atau perusahaan ini adalah ancaman terbesar adalah sesuatu yang membawa kita ke dalam sedikit jebakan di mana kita mulai membangun model ancaman tentang semua hal. Dan sementara kita begitu fokus pada satu hal kecil ini, dunia di sekitar kita berubah dan kemudian, kita menjadi buta di suatu tempat di telepon.
Dan Costa: Banyak perusahaan telah melakukan pelanggaran data besar-besaran dan kebanyakan dari mereka adalah karena keamanan yang lemah atau hanya kebiasaan buruk. Equifax mengalahkan jutaan orang Amerika, tetapi sebenarnya tidak ada konsekuensi. Mereka akan membayar denda, tetapi semua eksekutif mereka mendapat bonus. Apakah Anda pikir perlu ada semacam perubahan dalam hal akuntabilitas?
Josh Schwartz: Ya, saya adalah orang yang membobol komputer, bukan pembuat kebijakan publik, jadi saya tidak begitu tahu. Mungkin itu akan mengubah banyak hal. Mungkin, akan ada perubahan, tetapi pada tingkat fundamentalnya, berpikir bahwa satu perubahan di suatu tempat mengubah segalanya dan bahwa tidak ada lagi masalah, saya pikir agak picik.
Ini tentang bagaimana semuanya bekerja bersama. Begitulah cara kami mempedulikannya sebagai publik, dan bagaimana bisnis memedulikannya. Ini adalah salah satu bagiannya, tapi itu bukan solusi keseluruhan, tentu saja. Dan saya pikir salah satu hal besar yang kita perlu sebagai praktisi teknologi atau konsumen teknologi perlu pikirkan adalah bahwa keamanan bukanlah pekerjaan seseorang di menara gading untuk membalik saklar yang tepat dan membuat semuanya sempurna. Perubahan lebih kecil dalam perilaku yang bisa kita ambil untuk membantu membuat semuanya sedikit lebih aman… untuk semua orang.
Dan Costa: Seperti apa kebiasaan keamanan pribadi Anda? Apakah Anda menggunakan VPN? Apakah Anda menggunakan deteksi malware komersial di luar rak?
Josh Schwartz: Itu kembali ke model ancaman, kan? Itu tergantung apa yang saya lakukan saat itu. VPN melindungi Anda dari beberapa hal, tetapi menyambung ke VPN tidak melindungi Anda dari virus. Menyambung ke VPN pada dasarnya mengubah tempat Anda berada di dunia dan kadang-kadang, itu bisa berguna jika Anda membutuhkannya.
Ini menempatkan lalu lintas Anda di dalam terowongan kecil dan terowongan itu membawa Anda ke tempat lain dan lalu lintas keluar di tempat lain. VPN berguna jika Anda sedikit tidak aman atau Anda tidak ingin seseorang tahu di mana Anda berada. Gagasan bahwa saya terhubung ke VPN dan sekarang saya aman di internet, tidak begitu benar.
Bagi saya pribadi, saya pikir yang terbesar adalah pengelola kata sandi. Mereka sedikit hal baru, tetapi jika lebih banyak orang, mereka akan berada di tempat yang jauh lebih baik. Sudah ada semua pelanggaran ini, kan? Anda cukup akrab dengan mereka. Jadi, sebagai musuh yang ofensif, itu tidak bersifat pribadi. Segala sesuatu yang telah bocor ada di internet. Kami dapat menyusun daftar besar segala sesuatu dan mencari kata sandi dan melihat kata sandi apa yang telah Anda gunakan sebelumnya.
Kemudian, jika saya mencoba untuk mendapatkan akses ke sesuatu yang Anda miliki, jika saya dapat menemukan kata sandi yang Anda gunakan sebelumnya, saya tahu sedikit tentang Anda dan saya dapat mengambil informasi itu dan mencoba dan menggunakannya kembali atau mencoba menebak apa yang Anda kata sandi selanjutnya mungkin. Menggunakan pengelola kata sandi dan membuat setiap kata sandi menjadi sangat unik untuk setiap situs yang Anda kunjungi sebenarnya adalah sesuatu yang baik dan menghilangkan otak manusia. Anda benar-benar hanya perlu melindunginya di satu tempat, yang membuat keamanan jauh lebih mudah.
Dan Costa: Kami penggemar berat pengelola kata sandi di PCMag, saya telah menggunakan LastPass selama hampir 10 tahun. Setelah Anda melewati lompatan tidak benar-benar mengetahui kata sandi Anda, itu melegakan. Ini mengingatkan saya juga bahwa kita semacam lupa tentang pelanggaran Yahoo, yang membocorkan banyak nama pengguna dan kata sandi. Itu bertahun-tahun yang lalu dan tidak ada yang benar-benar peduli tentang Yahoo lagi, tetapi nilai dari peretasan itu dan nilai bagi penjahat dunia maya adalah bahwa banyak orang masih menggunakan kata sandi yang mereka gunakan di Yahoo 10 tahun yang lalu. Dan Anda dapat mencari tahu semua kata sandi itu adalah apa yang Anda katakan.
Josh Schwartz: Itu berkaitan dengan perilaku manusia. Itu datang pada kenyataan bahwa Anda memiliki kebiasaan sebagai manusia dan sebagai penyerang. Itulah yang sering saya cari untuk dieksploitasi. Ini bukan teknologinya. Teknologi akan terus menjadi lebih baik dan akan terus meningkatkan keamanan dan menjadi lebih aman, karena kami memiliki kebutuhan akan hal ini yang mendorong bisnis maju.
Tetapi perilaku manusia adalah sesuatu yang semacam tanggung jawab kita untuk berubah. Dan jika kita tidak mengubah kebiasaan kita dan menjadikan diri kita lebih aman, tidak ada teknologi yang dapat melindungi kita dari apa pun.
Dan Costa: Apakah ada kebiasaan lain selain pengelola kata sandi yang menurut Anda perlu diadopsi konsumen, terutama saat kita memasuki era Internet of Things dan semuanya jauh lebih terhubung?
Josh Schwartz: Jika Anda memikirkannya, itu bukan lagi hanya komputer Anda. Perangkat itu ada di mana-mana dan kebiasaan tertentu. Mungkin Anda berpikir telepon Anda tidak begitu penting, tetapi kata sandi yang Anda masukkan pada telepon pada dasarnya adalah kata sandi Anda di sana. Telepon memiliki akses ke banyak hal yang sama dengan yang mungkin dimiliki komputer Anda. Memikirkan segala sesuatu yang Anda sentuh yang berinteraksi dengan semua data yang ingin Anda lindungi dan pastikan Anda memperlakukannya sama sensitifnya dengan laptop Anda atau desktop Anda atau komputer di tempat kerja.
Dan Costa: Saya mempunyai beberapa orang di RSA minggu lalu dan mereka mewawancarai seorang pejabat NSA, yang mengatakan, 'Terlepas dari enkripsi telepon, mereka dapat mengakses telepon, karena kebanyakan orang masih tidak mengunci telepon mereka.' Ada banyak orang yang tidak mengunci ponsel mereka sama sekali dan mereka tidak perlu enkripsi untuk memecahkannya. Itu hanya perilaku pengguna murni.
Josh Schwartz: Atau kata sandi itu semua nol atau semua atau semacamnya. Selalu ada ide bahwa seiring kemajuan teknologi dan kata sandi Anda menjadi lebih banyak hal seperti sidik jari atau wajah Anda atau sesuatu seperti itu, akan selalu ada beberapa serangan dan beberapa cara di sekitarnya. Saya hanya perlu menemukan Anda dan mengarahkan ponsel Anda ke wajah Anda atau saya perlu memotong jari Anda dan meletakkannya di ponsel Anda.
Dan Costa: Juga terlihat di banyak film.
Josh Schwartz: Ya, tapi kami tidak melakukannya hari ini, itu bagus.
Dan Costa: Anda kehabisan anggota tim dengan sangat cepat.
Josh Schwartz: Dan jari, membuatnya sulit diketik.
Dan Costa: Mereka dapat mengerjakan 10 proyek dan kemudian, itulah akhirnya. Jadi, katakan padaku dalam hal apa yang Anda lakukan, apa keseimbangan antara rekayasa sosial dan peretasan teknis? Dan apakah campuran itu berubah seiring waktu?
Josh Schwartz: Teknik sosial selalu menjadi roti dan mentega saya. Ini adalah jalan dengan resistensi paling rendah. Saya akan mengatakan itu campuran. Banyak pengintaian, berusaha mencari tahu apa yang sebenarnya ada di sana, tetapi menarik. Aspek rekayasa sosial, tidak hanya di dunia ofensif. Jika Anda berpikir tentang bagaimana Tim Merah internal ada di dalam sebuah perusahaan… kami melakukan beberapa peretasan teknis dan kami menggunakan rekayasa sosial, fisik, dan semuanya digabungkan untuk mencoba dan mengeksekusi rantai pembunuhan itu, menyelesaikan misi.
Tapi kemudian, setelah itu, jika Anda berpikir tentang apa yang keamanan coba lakukan adalah kami mencoba untuk insinyur sosial semua orang pada skala untuk memiliki kebiasaan yang lebih baik untuk kebaikan yang lebih besar. Sering kali, ini menceritakan tentang apa yang kami lakukan dan mendidik orang dalam… perusahaan 'inilah cara kerjanya, inilah yang dapat Anda lakukan untuk menjadi lebih baik.' Itu rekayasa sosial. Jadi sungguh, bagian besar dari pekerjaan adalah rekayasa sosial, karena itu membuat orang peduli tentang keamanan dengan cara yang benar, membuat pilihan yang tepat, semoga peduli pada hal-hal yang benar.
Dan Costa: Saya membayangkan bahwa ketika orang-orang mendapatkan email dari Anda bahwa mereka tidak ingin merespons. Jika Anda meminta sesuatu, saya tidak membayangkan jawaban pertama adalah tidak.
Josh Schwartz: Tim Merah telah mengalami sedikit metamorfosis selama dekade terakhir. Anda memulai di tempat ini di mana Anda sangat bermusuhan, sangat ofensif, mencoba untuk mengalahkan drum dan membiarkan semua orang tahu bahwa keamanan itu penting dan pada masa itu, orang-orang melihat Anda sebagai musuh, karena memang itulah tugas Anda.
Saya memiliki pengalaman pribadi di mana saya naik ke lift dan orang-orang seperti, "Oh, saya tidak ingin pergi ke lantai saya, karena Tim Merah ada di sini, " dan saya seperti, "Saya bukan yang sebenarnya buruk orang." Itu berubah dari waktu ke waktu, karena pada akhirnya, sungguh, kita semua bekerja menuju tujuan yang sama: melindungi informasi, melindungi konsumen kita. Jadi saat kita bekerja bersama dan saat kita berbagi informasi tentang apa yang telah kita lakukan sebagai musuh, sekering semacam itu dan mereka melihat kita sebagai sekutu dan teman, tetapi perlu beberapa waktu untuk sampai ke sana. Tapi saya melihat tren ke arah yang benar, jadi itu bagus.
Dan Costa: Hebat. Saya akan mengajukan beberapa pertanyaan kepada saya, saya bertanya kepada semua orang yang datang di acara itu. Apakah ada tren teknologi yang mengkhawatirkan Anda, sesuatu yang membuat Anda terjaga di malam hari?
Josh Schwartz: Itu membuat saya terjaga di malam hari? Mungkin di mana-mana dan kenyamanan yang kita dapatkan dengan semua teknologi di sekitar kita. Tidak terlalu banyak… sebenarnya, jawaban sebenarnya adalah tidak ada yang membuat saya terjaga di malam hari.
Dan Costa: Tidur nyenyak.
Josh Schwartz: Saya melihat hal-hal terburuk dan itu menjadi risiko penerimaan di mana saya seperti, 'Oke, saya tahu seperti apa dunia ini, saya tahu apa yang mungkin dan saya akan baik-baik saja dengan itu.' Saya tahu bahwa teknologi akan dimasukkan ke dalam hidup saya di mana-mana dan saya akan membuat pilihan untuk menjadi baik-baik saja dengan itu, tetapi saya akan beroperasi dengan cara yang saya mengerti dan saya tidur seperti bayi.
- Pengelola Kata Sandi Gratis Terbaik untuk 2019 Pengelola Kata Sandi Gratis Terbaik untuk 2019
- Cara Mengetahui Apakah Kata Sandi Anda Telah Dicuri Cara Mengetahui Apakah Kata Sandi Anda Telah Dicuri
- Facebook Menyimpan Hingga 600M Kata Sandi Pengguna di Teks Biasa Facebook Menyimpan Hingga 600M Kata Sandi Pengguna di Teks Biasa
Dan Costa: Baiklah, adakah teknologi yang Anda gunakan setiap hari atau alat atau layanan yang menginspirasi keajaiban?
Josh Schwartz: Yah, itu bukan ponsel saya, tapi jujur ada banyak hal yang muncul dan datang yang saya bertanya-tanya dan saya sebagian besar merasa tidak sabar. Saya berharap mereka akan sampai di sini lebih cepat. Saya senang tentang masa depan AI, masa depan pembelajaran mesin dan hal-hal yang diharapkan akan memberi kita dunia yang lebih terhubung. Sebagian besar, saya hanya menunggu saja. Tapi saya pikir tidak ada yang terlalu mengejutkan saya.
Dan Costa: Jadi, bagaimana orang dapat mengikuti apa yang Anda lakukan, apa yang Anda boleh sampaikan kepada orang lain secara publik, bagaimana mereka bisa menemukan Anda online?
Josh Schwartz: Saya menggunakan moniker FuzzyNop, sehingga orang dapat menemukan saya di mana saja.
