En vd som heter Alien

Ett collage med ett foto av Sherri Davidoff

Ett collage med ett foto av Sherri Davidoff Emily Haasch





Sherri Davidoff ligger utspridda på mattan i sin kontorsbyggnad i centrala Missoula, Montana. Klädd i en svart kostym och läderstövlar med fluorescerande orange och rosa snören trycker hon en tre fot lång flexibel stålögla under springan under en låst kontorsdörr. Hon skjuter upp öglan på andra sidan av dörren och försöker haka fast den på det inre dörrhandtaget.

Enheten, känd som ett verktyg under dörren, kom nyligen med posten, en gåva från en vän i hackergemenskapen. Davidoff, den 38-årige VD:n för cybersäkerhetskonsultföretaget LMG Security och medgrundare och VD för cybersäkerhetsutbildningsföretaget BrightWise, bryter sig in på sitt eget kontor för skojs skull, bara för att se om hon kan.

Efter flera försök får hon verktyget runt dörrhandtaget och drar.



Dörren öppnas.

Jag var bara tvungen att skaffa en sådan här, säger hon och borstar av sig byxorna.

Davidoff, som i vissa kretsar är mer känd under sitt hackernamn, Alien, har dragits till utmaningen att undvika konventionella barriärer sedan han flyttade till Fifth East som förstaårsstudent för nästan två decennier sedan. Hon studerade elektroteknik och datavetenskap men tillbringade en stor del av sin tid på så kallad Course 19, den icke-bokförda läroplanen där studenter i smyg utforskar campusbyggnader, ångtunnlar och – ja – kupoler med hjälp av lock pick set och starka ficklampor.



Kurs 19 blev mer relevant för mitt arbetsliv än förmodligen någon av de klasser jag gick, säger hon.

LMG , som Davidoff grundade 2009, tillhandahåller cybersäkerhetstjänster och utbildning för finansiella institutioner, hälsovårdsorganisationer och tillverkare, såväl som vissa kunder inom myndigheter, detaljhandel och andra sektorer. Företaget är specialiserat på penetrationstestning - imiterar black-hat-hackers för att avslöja sårbarheter i integriteten. LMG-anställda orkestrerar attacker och försöker få tillgång till känslig e-post och annan proprietär data. De skriver sedan rapporter om sina framgångar och föreslår korrigeringar.

LMG städar även efter informationsintrång. När datorer äventyras spårar dess konsulter hur hackare fick tillgång och följer fotspår för att ta reda på vilken information som kan ha stulits. De utbildar också personal och chefer i cybersäkerhet och utför efterlevnadsrevisioner för att säkerställa att företag följer statliga och federala lagar.



Högprofilerade hacks, inklusive inbrottet på Demokratiska nationella kommitténs servrar före valet 2016, har satt ett starkare fokus på cyberbrottslighet och informationssekretess. Så har de senaste nyheterna om massiva konsumentdataintrång, inklusive attacken 2018 på Marriott som avslöjade personlig information om cirka 500 miljoner människor. Davidoff säger att allt som har varit en välsignelse för cybersäkerhetsindustrin – och att små korrigeringar, som att utbilda användare om taktiken för nätfiskeattacker, kan förhindra stora förluster.

Du kan se hur cybersäkerhet kan förändra världen, säger hon och syftar på nätfiskeattacken mot Gmail-kontot för Hillary Clintons kampanjordförande, vilket ledde till att WikiLeaks släppte kampanjmejl.

Den ökade efterfrågan på cybersäkerhetstjänster har lett till en snabb expansion av branschen, med redovisningsbyråer och stora statliga entreprenörer som har kommit in på marknaden. Uppskattningarna varierar, men Global Market Insights uppskattar det till mer än 120 miljarder dollar. Och Davidoff förväntar sig att verksamheten kommer att fortsätta växa.



Under det kommande decenniet kommer cybersäkerhet att bli enklare i takt med att nätverken blir mer standardiserade, säger hon. Men just nu måste varje företag bestämma hur deras nätverk ska se ut.

Montana hacker mamma

LMG Security är inrymt i en byggnad bredvid en flugfiskebutik längs Clark Fork River i centrala Missoula. Ingen skylt meddelar företaget. Inuti vaktar en utskärning av en bar överkropp Dwayne Johnson, mer känd som The Rock, lobbyn. Det finns inget som tyder på arbetet som pågår på övervåningen. Bristen på skyltar är inte för sekretess. Davidoff oroar sig för att allmänheten kan bli förvirrad och dyka upp och letar efter teknisk support. Om folk behöver hitta oss så vet de var vi är, säger hon.

Missoula kan tyckas vara en udda plats att placera ett cybersäkerhetsföretag på, men Karen Sprenger, LMG:s operativa chef, säger att den avlägsna platsen inte har skadat verksamheten. Företagets team på cirka 30 anställda arbetar från bärbara datorer oavsett om de är på kontoret eller reser från den lilla flygplatsen – som har en trofégrizzlybjörn nära bagageutlämningen – för att se kunder över hela världen.

Pacific Coast Banking School i Seattle anlitar Davidoff regelbundet för att försöka hacka sig in i systemet där elevernas personliga information förvaras. Resultaten av sådana tester är vanligtvis höljda i hemlighet, eftersom organisationer är ovilliga att offentliggöra även små sårbarheter. Men Gretchen Claflin, VD och koncernchef för Pacific Coast, säger att Davidoffs penetrationstester har gjort skolans säkerhetsåtgärder ännu svårare att knäcka.

En hackers tips för att skydda din organisation

  • Som säkerhetskonsult har Sherri Davidoff ’02 sett många skadliga dataintrång. I sin kommande bok, Dataintrång, dissekerar hon några högprofilerade exempel. Många hade kunnat förhindras om anställda hade följt dessa tre enkla regler.

  • Tänk efter innan du klickar.

    E-post kan innehålla länkar eller bilagor som kommer att infektera din dator. Undersök dem noggrant – såväl som länkar på webbplatser – innan du klickar på dem. Håll muspekaren över en länk för att se vart den tar vägen. Kontrollera adressen och stavningen noggrant. När du är osäker, klicka inte! Du kan alltid skriva in målwebbplatsens huvudadress och bläddra till din destination.

  • Säkerhetskopiera regelbundet.

    Säkerhetskopiera dina data. Testa dina säkerhetskopior. Förvara en kopia säkert utanför webbplatsen när det är möjligt. Upprepa.

  • Använd tvåfaktors- eller multifaktorautentisering.

    När du loggar in, verifiera din identitet med två eller flera metoder, som ett lösenord och en app på din telefon. Tvåfaktorsautentisering är lätt att konfigurera med många leverantörer, som Google och Office 365.

Den här sista gången var vi glada över att de stängdes utanför vårt system ganska snabbt, säger Claflin. Jag vilar lättare på natten.

Davidoff hade ett antal informationssäkerhetsjobb innan han öppnade LMG. Under sitt sista år på MIT arbetade hon med skolans informationssystemavdelning, där hon skapade ett verktyg för att analysera trafikflödet genom institutets hela nätverk. Efter att ha studerat gammastrålning på RAPTOR-teleskopet vid Los Alamos National Lab återvände hon till nätverkssäkerhet med en personaltjänst på ett sjukhus och personal- och kontraktsarbete med några av de mest banbrytande cybersäkerhetsföretagen.

Längs vägen drog Davidoff på kurs 19-kunskaper och åtog sig flera fysiska penetrationsuppdrag, inklusive att smyga sig in på ledningskontor i finansbranschen; hon gick en gång iväg med en osäkrad bärbar dator. I ett annat säkerhetstest utgav hon sig för att vara en inspektör och pratade sig in i valvet på en filial till en storbank.

Självförtroende är nyckeln, säger Davidoff. Innan hon flyttade till banken, slängde hon ut byggnaden och noterade när ledningen gick på raster och vilka tider som var så hektiska att personalen skulle vara under press och mindre kapabla att fatta bra beslut. Hon kom klädd i en vass kostym, med en namnskylt gjord hos Kinko, och slog till. Jag gjorde det klart att jag var en del av organisationen och jag agerade lite skrämmande, säger hon. Du ger dem inte tid att tänka.

År 2008 var hon redo för en förändring och flyttade till Missoula. Hon tog med sig några privata konsultkontrakt och det blev så småningom till LMG.

Att vara sin egen chef skulle visa sig vara avgörande när hon väl bildade familj. Jag nådde en punkt där jag var tvungen att antingen sluta eller klona mig själv, säger hon om tiden strax efter att hennes första barn föddes. Jag insåg att jag inte kan vara på väg som resande konsult. Men jag kan utbilda folk till att bli resande konsulter. Nu när hon uppfostrar sina två barn (fem och sju år) och driver ett företag är det mindre sannolikt att Davidoff utför det konsultarbete som hon en gång gjorde, om det inte sker mellan 22.00. och 02.00, hennes föredragna arbetstid.

collage

Beräknar risk

Davidoffs cybersäkerhetskarriär och MIT-hackning har börjat få uppmärksamhet utanför hackergemenskapen. Inbrott , en bok av Jeremy N. Smith, spårar hennes karriär och framväxten av cybersäkerhet på 1990-talet. Sedan boken släpptes i januari har Davidoff gjort flera framträdanden i media. På NBC I dag showen utförde hon och LMG-personalen en on-air phishing-attack mot ett försäkringsbolag i Missoula.

I den populära fantasin är hackare män i huvtröjor som bor i sina föräldrars källare och kämpar för att kommunicera borta från ett tangentbord. Davidoff trotsar den stereotypen, och kollegor säger att hennes folkkunskaper, lika mycket som hennes tekniska färdigheter, är ansvariga för hennes framgång.

Många människor vill arbeta i den här branschen eftersom det kan vara lukrativt, säger Deviant Ollam, en Seattle-baserad låsplockningsexpert och säkerhetskonsult som har varit vän med Davidoff i mer än ett decennium. Men folkfärdigheter och mjuka färdigheter är inte något som kallas hackerfärdigheter. Det är en viktig drivkraft för dem som hittar arbete. Det är skillnaden mellan en person med ett projekt och en person med ett företag.

Ollam träffade Davidoff första gången 2007 på ett hackermöte, där han visade upp en kabelmansförklädnad som han använde vid säkerhetsuppdrag. Sherri sa: ’Jag måste skaffa några av dem.’ Det var inte för skojs skull, minns han. Det var för ett verkligt professionellt engagemang.

Davidoff är lika förvånad som alla andra över att hacking, som började som ett collegeäventyr, har förvandlats till ett yrke. Men hon är besviken över att begreppet har fått en mer ondskefull innebörd i populärkulturen. Det gör mig ledsen när jag hörde ordet 'hacker' användas med en negativ klang, säger hon. Att hacka på MIT innebar att man gjorde lågteknologiska spratt, säger hon och citerar det berömda fallet från 1994 med poliskryssaren på Great Dome. Det innebar aldrig att stjäla eller orsaka verklig skada.

En annan förändring är mer positiv. Davidoff säger att hackerkulturen har blivit mer inkluderande sedan slutet av 1990-talet, när folk på konferenser och konsultjobb antog att du var någons flickvän eller assistent. Även på MIT, säger hon, var hon vanligtvis en av de få kvinnor som deltog i hacking-exkursioner. Det fick henne att pressa sig själv hårt, och kanske ta risker som i efterhand var farliga, i hennes strävan att komma åt platser som ingen annan hackare någonsin hade varit.

MIT i slutet av 90-talet var ett utmärkt ställe att ta risker och lära av dem, säger hon: Det som gjorde MIT speciellt var en kultur där de behandlade dig som en vuxen, och de respekterade eleverna och uppmuntrade dig att utforska.

Det fanns risker, säger hon, men hon tror att det är nyckeln till livet att lära sig att beräkna risker och förstå vilken risknivå man är villig att leva med. Och detsamma gäller för att skapa en stark informationssäkerhetsplan. Du kan inte säkra ditt nätverk helt, säger hon. Men som organisation måste du kunna säga: 'Vi är bekväma med de risker vi tar, och vi kommer inte att stressa över det.'

Dölj