Keren Elazari om vikten av hackare

Hur att tänka på hjälpsamma hackare som internets immunsystem kan göra din säkerhet starkare och bättre förbereda och säkra din digitala närvaro.





1 augusti 2019

Utvecklingen av cybersäkerhet är sammanvävd med utvecklingen av hackergemenskapen. Keren Elazari, cybersäkerhetsanalytiker och seniorforskare vid Tel Aviv University Interdisciplinary Cyber ​​Research Center, utbildade världen i sitt TED-föredrag 2014 om vikten av att odla vänliga hackare för att skydda internet. Idag forskar hon om de mest akuta cybersäkerhetshoten och hur man kan förhindra dessa intrång.

I det här avsnittet delar Elazari med sig av sin historia om att bli hackare som ung kvinna i Israel och pratar om den bemyndigande hon fick genom att bli en viktig aktör i den globala gemenskap av hackare. Hon förklarar hur företag, organisationer och regeringar nu samarbetar med hjälpsamma hackare genom att skapa bug-bounty-program och andra initiativ. Elazari förklarar tips för vad företag bör leta efter i form av cyberhot.



Business Lab är värd av Elizabeth Bramson-Boudreau, VD och utgivare för MIT Technology Review. Showen är producerad av Katherine Gorman, med redaktionell hjälp från Emily Townsend och Mindy Blodgett. Musik av Merlean, från Epidemic Sound.

Visa anteckningar och länkar:

Tel Aviv Cyberweek: https://cyberweek.tau.ac.il/2019/



Kerens hemsida: https://www.k3r3n3.com

Kerens Twitter: https://twitter.com/k3r3n3

Ted Talk: https://www.youtube.com/watch?time_continue=2&v=JpFFb1jEUf0



FULLSTÄNDIG TRANSKRIPT

Från MIT Technology Review heter jag Elizabeth Bramson-Boudreau och det här är Business Lab, showen som hjälper företagsledare att förstå ny teknik som kommer ut från labbet och in på marknaden.

Så länge vi har haft datorsystem har det funnits de som försökt bryta igenom skydd, men dessa hackare kan också spela en användbar roll för att identifiera luckorna i cybersäkerhet och identifiera framtida hot.



Detta är det sista avsnittet i vår serie om cybersäkerhet. Och idag pratar vi om hacking.

Sedan Internets tidiga dagar har det funnits vänliga cyberexperter, inklusive våra gäster, och dessa hackare har varit avgörande för hälsan hos internets immunsystem. Keren Elazari är cybersäkerhetsanalytiker och seniorforskare vid Tel Aviv University Interdisciplinary Cyber ​​Research Center.

Elizabeth Bramson-Boudreau: Keren, välkommen till Business Lab.

Häftigt Elazari: Hej. Jag är glad över att vara här. Jag är glad att ta tillfället i akt att prata om vad vi kan lära av hackare och hur hackare faktiskt spelar en avgörande roll i dagens informationssamhälle.

Elizabeth: Okej. Så det är jättebra. Låt oss börja för jag vill verkligen prata om begreppet hacker som något som ska firas. Jag tror att många har kommit att tro att hackare var hotfulla och du kommer på det från en helt annan synvinkel. Innan vi går in på det och pratar om din synvinkel, kan du berätta lite om dig själv och hur du har blivit en sådan ledare och lite framme i detta ämne?

Häftigt: Naturligtvis, Elizabeth. Jag började min väg i cybervärlden, i den digitala sfären, om du så vill, när jag var väldigt ung. Jag var kanske runt 11 eller 12 när vi först fick tillgång till internet i Israel, i Tel Aviv, där jag växte upp. Och jag bad mina föräldrar om en egen dator som jag kunde ansluta till internet. På den tiden var du tvungen att ta reda på det på egen hand, hur man fick modemet att fungera, hur man ringer upp till rätt servrar, hur man konfigurerar din dator.

Och sedan när du väl var online var det verkligen upp till dig att hitta din väg. Och tack och lov hittade jag min väg med chattrum och onlinegrupper för människor som brinner för teknik som jag var. Och jag lärde mig engelska genom att skriva och prata med dessa människor i chattrum som inte hade någon aning om att de pratade med en 13-årig tjej från Tel Aviv.

För dem var jag bara en hackare, bara en annan onlinepersonlighet bakom smeknamnet. Och det var där i dessa onlinerum som jag lärde mig att uppskatta hur nyfikna, hur kreativa, hur innovativa människor som kallar sig hackare kan vara. Och runt år 1995, det var där mitt liv verkligen förändrades eftersom det var då jag såg filmen 'Hackers' med Angelina Jolie som porträtterar en hård gymnasiehacker. Och när jag såg den filmen kopplade jag mig verkligen upp. Jag resonerade omedelbart med historien som den filmen visade.

Och det var en berättelse om den här gruppen high school-hackers som alla är lite, ni vet, konstiga eller utomstående. Men tillsammans som en grupp förhindrade de faktiskt en ekologisk katastrof. De avslöjade företagskorruption. De visade FBI var den riktiga cyberbrottslingen gömde sig.

Och det är den här gruppen barn som såg ut som jag gjorde och lyssnade på samma musik som jag gjorde och hade samma ideologi som jag hade. Det är gruppen av barn som visade att jag är en hacker som faktiskt kan betyda att du är hjälten i historien. Tack och lov kunde jag ta den bilden av hackern som hjälte och bilden av den unga, kraftfulla kvinnan porträtterad av Angelina Jolie och göra det till min verklighet. Jag bestämde mig för att det skulle vara min förebild och att jag skulle vilja vara en vänlig hackare, en som hjälper organisationer och nationer att förstå säkerhetsproblem så att vi kan skapa bättre system och vi kan förhindra, du vet, katastrofala utfall från att hända som ett resultat av cyberattacker.

Under hela min karriär, ända sedan mitten av 90-talet, är det den synvinkel jag alltid har haft. Nu har jag jobbat med olika typer av organisationer, med statliga myndigheter. Jag tjänstgjorde i den israeliska militären. Jag arbetade med ledande israeliska teknikföretag. Och på alla dessa ställen förde jag med mig den där hackarens synpunkt och i synnerhet den vänliga hackarens synpunkt – hur kan vi egentligen lösa det här problemet? Hur kan vi skapa något bättre? Så det är perspektivet som jag har haft under de senaste, antar jag, 25 år, nästan under min karriär inom cybersäkerhetsvärlden.

Elizabeth : Jag menar, jag antar att jag intuitivt förstår varför hackare är en sorts outsider och, ni vet, citera unquote, 'weirdos'. Men vad är det med den där gemenskapen som gör den så, ofta, så ideologiskt driven?

Häftigt: Det är min åsikt att hackare tenderar att vara utomstående. Ja. Men vi tenderar också att vara extremt passionerade när det gäller teknik. Och detta kan ibland leda till frustrerande resultat när en grupp hackare identifierar ett problem och vi försöker fixa det, men vi får inte den uppmärksamhet vi behöver, eller så stämplas vi omedelbart som kriminella eller som vandaler. Och det leder många gånger till det där resultatet där folk ser att vi har, du vet, kanske en potentiellt skadlig synvinkel. Många av de hackare jag känner har, du vet, kanske inte samma ideologi, men alla delar väldigt passionerade ideal om teknologins roll i vårt liv, rollen som tillgång till information om denna idé att människor ska ha tillgång till kunskap och information, att teknik inte bara ska ägas av stora företag och inte bara vara något som människor med mycket pengar eller privilegier har tillgång till, utan snarare att internet och att teknik är något som bör demokratiseras. Och jag tror att det här kanske är en ideologi som du hittar hos många hackare.

Var kommer det ifrån? är en bra fråga. Och det är inte som att alla hackare delar samma synvinkel eller samma ideologi. Men redan på 80-talet fanns det detta magiska dokument som gick runt på BBS, anslagstavlasystemen och senare i tidiga webbtidningar och detta dokument kallades 'Hackermanifestet'. Och i 'Hackermanifestet' pratar personen som skrev det om de människor som är nyfikna på teknik som hackare, människor som vill utforska den digitala världen för allt den har utan några hinder, och att det är de människor som skulle kallar sig hackare. Så det var därifrån den ideologin kom. På 90-talet fanns det förstås också en hel del kriminella element och i synnerhet organiserad brottslighet, som tog till sig den nya potential som internet och teknikvärlden kan erbjuda dem. Och dessa människor borde kallas cyberkriminella. De kanske använder hackingfärdigheter eller hackningsförmåga, men de delar inte nödvändigtvis samma ideologier som de hackare som jag växte upp med och som jag representerar har.

Elizabeth: Låt oss prata lite mer om den här idén om den vänliga hackaren. Lyssnarna till Business Lab driver företag och är mycket måna om att hålla detta företag säkert från cyberhot. Det är din åsikt och jag skulle vilja höra mer om det, att hackare kan hjälpa till att hitta tekniska problem och kan liksom fungera som ett slags immunsystem. Så vad skulle du säga till människor som driver sina företag?

Hur ska de tänka på hackervärldarna och vad ska de tänka på när de är oroliga för cybersäkerhet och den här typen av beslut som de borde fatta om att upprätthålla eller främja större säkerhet i dessa företag?

Häftigt: Absolut. Så det är min åsikt att hackare kan vara immunförsvaret för vår nya uppkopplade verklighet. Och för de som lyssnar på podcasten som vill lära sig mer om det, rekommenderar jag att de kollar in mitt TED-föredrag 2014, som heter 'Hackare är internets immunsystem'.

Sedan 2014 har jag delat det här meddelandet att hackare kan vara hjälpsamma allierade med en mängd olika organisationer och människor. Och överraskande nog, under de senaste åren har fler och fler företag funnit värdet av att arbeta med det vänliga hacker-ekosystemet. Och ett bra sätt att detta faktiskt händer är fenomenet som kallas bug bounty-program. Så dessa bug-bounty-program – ibland även kallade program för avslöjande av sårbarhet eller belöningsprogram för sårbarhet – är faktiskt ramverk som drivs av mycket stora företag, företag som Google, Facebook, Yahoo, Microsoft, Samsung och till och med företag som inte är strikt teknikföretag, företag som United Airlines, till exempel, eller Western Union eller till och med Starbucks, kaffekedjan. Alla dessa företag har faktiskt ett bug-bounty-program på plats.

Och vad detta betyder är att de aktivt bjuder in vänliga hackare att titta på deras produkt, oavsett om det är deras app, deras webbplats. Det kan vara en bil. När det gäller Tesla har det en långvarig relation med hackare. Och de säger i princip till hackare, titta på vår produkt.

Om du hittar sårbarheter, om du kan upptäcka säkerhetsbrister och om du kan berätta för oss om dessa problem, kommer vi att belöna dig för dina ansträngningar, och dessa belöningar, de där förmånerna, de kan vara i form av pengar som betalas med förbetalda kreditkort eller betalkort, till exempel, men de kan också vara en icke-monetär form av ersättning som faktiskt har ett stort symbolvärde i hackarens ekosystem. Så det kan till exempel vara swag, t-shirts eller hattar eller unika upplevelser.

Till exempel minns jag ett visst år då Microsoft tog ut en av de största klubbarna i Las Vegas och bokade en av de största D.J.s och tillgång till den festen. Och den där klubben med den där superstjärnan deejay fick bara de forskare, de vänliga hackare som identifierade sårbarheter och avslöjade dem för Microsofts program. I ett annat fall...

Elizabeth: Så det blev som det blev en statusgrej, ett slags hedersmärke att bli inbjuden?

Häftigt: Det finns definitivt ett statuselement. Och faktiskt, en av anledningarna till att bug-bounty-program är så framgångsrika är att de faktiskt har skapat sociala nätverk runt dem med hackare som tävlar på topplistor. Man kan säga att detta har spelifierats och hackare tävlar om att vara på första plats på topp fem eller topp tio listor över hackare som har hittat sårbarheter på den specifika webbplatsen eller programmet. I vissa fall finns det ännu fler speciella belöningar som bara ges till de bästa hackarna på ett visst program. Till exempel har Tesla ett utmaningsmynt och det här är nästan som en medalj och de är bara 20 av dessa Tesla-utmaningsmynt i världen och de går bara ut till de bästa hackarna som hjälper Tesla. Faktum är att förra sommaren såg jag Elon Musk personligen närvara vid det största konventet för hackare i världen, ett evenemang som heter DEF CON, som äger rum i Las Vegas varje år. Och Elon Musk kom dit med sitt team och med sina teknikchefer för både Tesla och SpaceX för att prata med de duktiga hackare som kunde hitta sårbarheter i Teslas produkt. Naturligtvis kanske det inte är en överraskning att ett innovativt företag som Tesla eller att Silicon Valley-jättar som Facebook och Microsoft jobbar med hackare. Men under de senaste åren har organisationer som Pentagon, USA:s försvarsdepartement också lanserat sitt Hack the Pentagon-program. Och det bugg-bounty-programmet har verkligen visat bra initiativ, fantastiska resultat. Från det ögonblick det först lanserades fram till i år har det funnits så många sårbarheter på Pentagons webbplatser som upptäcktes via det programmet. Så det betyder att brottslingarna, spionerna, skurkarna som hittar sårbarheten, de kommer inte att berätta om vad de upptäckte. Och genom att skapa dessa program tillåter vi effektivt immunsystemet. Vi tillåter effektivt dessa vänliga hackare en väg, en legitim rättslig väg att rapportera sina upptäckter och hjälpa oss att bli säkrare.

Och jag är väldigt passionerad och hoppfull inför det fortsatta antagandet av dessa bugg-bounty-program. Och jag tror att det är något varje företagsledare måste fråga sig, har vi en sådan möjlighet för vänliga hackare att rapportera sina upptäckter till oss?

Elizabeth: Jag har ett par frågor. Finns det särskilda typer av buggar som den typen av bounty-program är bäst lämpade att söka efter? Och för det andra, hur är företagsledare som inte driver Tesla eller Facebook monumentalt stora företag med goda resurser? Hur fick de tillgång till den här typen av program?

Häftigt: Så det är jättebra frågor. Jag pratar mycket gärna om buggar så länge du vill, för detta har faktiskt varit kärnan i studien, det forskningsarbete som jag har gjort vid Tel Aviv Universitys Cyber ​​Research Center under de senaste åren . Och en av sakerna vi upptäckte är att det finns ett stort värde för dessa program när produkten som testas eller plattformen som man tittar på redan är inför publik. Så om du har en webbplats, till exempel, om du är United Airlines och folk köper flygbiljetter på din webbplats, har du redan en produkt som vänder sig mycket till allmänheten och som finns på webben. Och när du har en sådan produkt är det verkligen bra att låta alla dessa hackare identifiera sårbarheter. I United Airlines fall betalar de förresten inte ut pengar. De betalar ut flygmil. Och människor har tjänat miljontals miles genom att hitta sårbarheter på United Airlines webbplats. I ett annat fall, när det kommer till appar eller webbsystem eller till och med, som jag nämnde tidigare, med bilar, med Teslas bilsystem, när det finns en konsumentinriktad produkt som har mycket teknik i sig eller när den produkten finns på webben eller så är det en mobilapp, det är ett bra tillfälle att ta hjälp av dessa vänliga hackare via formatet av bug-bounty-program. Nu frågade du hur kan små organisationer dra nytta av den fördelen? Det finns en mängd olika sätt. En som är viktig att förstå att det idag finns befintliga plattformar som faktiskt förmedlar den relationen med dessa hackare. Jag nämnde att det nästan är som att sociala nätverk har byggts runt det. De två ledande plattformarna heter HackerOne och Bugcrowd.

Det finns flera andra företag, men det här är de två största plattformarna och de förmedlar faktiskt många av bug-bounty-programmen där ute och de har mer än 100 000 vänliga hackare som registrerar och använder dessa plattformar. Så det är tillgång till många hackare. Så det skulle vara platsen nummer ett jag skulle rekommendera att titta på. För det andra är det viktigt att förstå att även en liten organisation kan ha någon form av engagemang eller utlopp där ute för att arbeta med vänliga hackare.

För det första finns det faktiskt en internationell standard för koordinerad sårbarhetsavslöjande, och det är den internationella standarden för CVD-koordinerad sårbarhetsavslöjande. Och jag kan slå upp numret på den standarden så att jag kan dela det med dina lyssnare.

Nu, förutom det, finns det ett annat projekt som kallas security.txt. Och vad security.txt-projektet i grund och botten säger så står det att om du har en webbplats eller en konsumentinriktad teknik, vad du vill göra är att se till att det någonstans på din webbplats finns en fil som heter security.txt och har faktiskt informationen om vem människor ska kontakta om de hittar en säkerhetsrisk på din webbplats. Du skulle bli förvånad över hur många gånger den enkla saken att bara ha rätt kontaktinformation där ute gör det möjligt för en vänlig hackare att nå ut och säga: 'Hej, jag hittade ett problem på din webbplats, jag hittade en bugg i din koda. Du kanske vill veta om det.'

Elizabeth: Höger. Det är väldigt vettigt. Så jag vill byta lite till att titta på cybersäkerhetshot som inte bara handlar om datorer eller nätverk. Och jag tror att, du vet, många av våra lyssnare är medvetna om att hotet bara växer med iot och spridningen av enheter som är anslutna. Prata om det och vad hackergemenskapen gör och kan göra för att ge större stöd och hjälpa företagsledare.

Häftigt: Absolut. Innan jag gör det vill jag bara nämna att den internationella standarden jag talade om tidigare är ISO 29147. Så det är internationell standard nummer 29 147, som faktiskt är en internationell standard för koordinerad sårbarhetsavslöjande som alla organisationer kan lära av och anpassa och tillämpa för sin verksamhet. Så jag ville bara ge dig information om det. Nu, när det gäller en fråga, tror jag att du verkligen träffade huvudet på spiken där. Det handlar egentligen inte längre om informationssystem eller, du vet, våra telefoner eller våra datorer.

Det finns verkligen så många nya uppkopplade tekniker som vi litar på med våra liv varje dag, oavsett om det är uppkopplade hemlås och övervakningssystem som webbkameror eller, du vet, de saker som vi litar på för att få vår bil i tid, navigeringen verktyg vi litar på, de saker som flygplan är beroende av, medicinsk teknik. Och det här är bra. Detta är faktiskt en anledning till varför vi nu i vår bransch pratar om cybersäkerhet och inte om informationssäkerhet, eftersom det inte längre handlar om att skydda hemligheter eller våra lösenord eller kreditkortsnummer. Det handlar verkligen om att skydda alla dessa fysiska cyberanslutna system. Nu, när det kommer till dessa iot-enheter, Internet of things-enheter. Det är här jag tror att många människor, oavsett om de är företagsledare eller, ni vet, privatpersoner, vi verkligen inte inser att vi måste vara informationschef för vårt eget hem, för i varje familjs hem nuförtiden, det finns faktiskt mer än ett dussin enheter, vanligtvis, kanske till och med fler. Och du har underhållningskonsoler, du har DVD, du har webbkameror, du har prylar och surfplattor och personliga enheter, naturligtvis, telefoner och datorer. Och för alla dessa enheter finns det verkligen ingen informationssäkerhetschef eller informationschef som kommer att underhålla dem åt oss. Så som individer, som konsumenter, är det verkligen ansvaret att se till att dessa enheter har uppdaterade operativsystemmiljöer som du inte har standardanvändarnamn och lösenord. Det är saker som vi måste göra och ingen gör det åt oss.

Och det är där många av de nya typerna av hot smyger sig in, eftersom många människor kommer att säga till dig: 'Hej, ja, jag bryr mig inte om någon hackar in min säkerhetskamera som jag har på min bakgård för att jag inte gör det. 'har inget att dölja.' Men vad folk inte inser är att brottslingar lär sig hur man använder alla dessa digitala tillgångar som brickor i sina egna digitala arméer. Och under de senaste åren har vi sett massiva attacker där brottslingar faktiskt har tagit över hundratals och tusentals av dessa typer av anslutna enheter, oavsett om det är webbkameror eller digitala videobandspelare, ibland till och med kontorskopieringsmaskiner som en Xerox-maskin. Och alla dessa enheter kan användas av kriminella för att starta ytterligare cyberattacker. Så när det kommer till dessa enheter är det verkligen upp till var och en av oss att ta ansvar också. Först av allt, skydda den enheten, oavsett om det är genom att uppdatera operativsystemet, ersätta standardlösenordet. Förresten, delstaten Kalifornien är en ny lag på plats, som kommer att tillämpas i januari 2020. Att om du faktiskt säljer eller marknadsför någon Internet of thing-enhet i delstaten Kalifornien, måste du se till att det kommer inte att ha en standardkombination av användarnamn och lösenord. Så du kan inte ha enheter som har lösenordet för, du vet, en, två, tre, fyra eller något liknande som vi har sett under de senaste åren. Så det är något som håller på att förändras i delstaten Kalifornien. Förhoppningsvis kommer fler stater att följa efter. Men det för det tillbaka till det personliga ansvar vi har som konsumenter. Och vi har också ett ansvar och potentiellt en källa till hävstång som företagare. När vi köper teknologi, när vi köper teknologi från en leverantör, från en leverantör som säljer den till oss, kan vi faktiskt säga, Hej, vad är dina säkerhetsprotokoll? Vad är din metod för att uppdatera operativsystem eller firmware för den här enheten? Hur kan du verifiera att det inte bara kommer att ha ett, två, tre, fyra lösenord? Hur kan jag ändra mina lösenord? Och jag tror att när fler människor kräver bättre av de leverantörer som skapar dessa teknologier och säljer dessa produkter, kommer vi faktiskt att få ett säkrare ekosystem.

Elizabeth: Så det här är verkligen, antar jag, du kallar 'bottom up'-metoder. Så ansvaret ligger på den som köper enheten, den anslutna enheten eller på företagets säkerhetsteam. Du nämnde delstaten Kalifornien, men i allmänhet, är det här något som vi borde anta inte kommer att få hjälp av statligt stöd eller statlig reglering?

Häftigt: Faktum är att regeringar gör mycket mer än de brukade. Särskilt i USA kommer vi att se fler regulatoriska tillvägagångssätt som kommer att vara lite mer aggressiva i sina krav från företag och företagsledare att vara mer kunniga om cybersäkerhet, att ha en styrelseledamot för en organisation som har kunskaper och bakgrunder om cybersäkerhet. Vi har redan sett fall där, till exempel, i det fall som väckts till, tror jag att FTC mot Uber. Som du kanske har hört har Uber haft flera dataintrång under de senaste åren. Och eftersom det fallet har tagits upp till Federal Trade Commission, har FTC faktiskt tittat mycket noga på nivån för säkerhetskontroller som tillämpas av Uber. Och de sysselsätter sig faktiskt med folk som är kunniga, som arbetar för dessa konsumenttillsynsmyndigheter som kommer att ställa riktigt detaljerade frågor på teknisk nivå, och de kommer att förvänta sig att företag har rimliga säkerhetskontroller. Nu, vad betyder rimlig säkerhetskontroll?

Det betyder saker som är bästa praxis, saker som anses vara något som alla andra företag av den storleken eller inom den typen av budget skulle göra. Och en typ av rimlig kontroll som tillsynsmyndigheter börjar leta efter är faktiskt har ett företag några kommunikationsmedel med de vänliga hackare som finns där ute och försöker rapportera sårbarheter? Så har företaget ett bug-bounty-program? Har de en tydlig policy för avslöjande av säkerhet eller sårbarhet? Gör de det känt för människor att det finns ett sätt att rapportera sårbarheter till dem? Och det här är något som vi faktiskt ser att fler och fler tillsynsmyndigheter börjar prata om. Jag har mycket tur i den här meningen eftersom jag råkar ha en syster som är advokat och som nu specialiserar sig på cybersäkerhetspolitik i USA. Och tillsammans med henne har jag lärt mig så mycket om hur amerikanska tillsynsmyndigheter faktiskt börjar driva på mycket mer när det kommer till säkerhetskontroller från amerikanska företags sida.

Elizabeth: Det är bra. Så låt oss prata lite mer om andra typer av hot. Så vad sägs om ransomware? Vi har pratat om ransomware i denna podcast. Ser du det som ett verkligt och växande hot?

Häftigt: Så det är viktigt att förstå om ransomware att det var supertrendigt 2017 och 2018. Men brottslingar utvecklas alltid och de kommer inte att göra samma sak. Så det som var, du vet, mycket värdefullt och lönsamt för brottslingar att lansera under de senaste åren är inte längre så lönsamt eftersom fler och fler organisationer har blivit kloka och de kommer inte att betala lösensumman. De kommer att återgå till en säkerhetskopia eller så kommer de att hitta ett alternativt sätt att kringgå den ransomware-krypteringen. Det som har hänt är att kriminella faktiskt har kommit på ett mycket mer lukrativt tillvägagångssätt. Och detta är något som kallas kryptojackning, ibland även känt som kryptomining. Och vad kryptojackning gör är i princip när brottslingen har förmågan att lansera vilken typ av skadlig kod som helst på ditt system, det kan vara din persondator, det kan vara dina webbservrar eller dina molnservrar. Vad de kommer att göra är att istället för att kryptera data och begära en lösensumma, kommer de faktiskt att köra ett tyst program som kommer att bryta efter kryptovalutor. En mycket populär bluff. Din dator som använder dig använder precis din dator och använder din datorkraft. Så för vissa com-företag, när detta händer på deras molnservrar, när detta händer på deras AWS-infrastruktur, till exempel, kan detta faktiskt dra upp dussintals tusentals dollar i kostnader för datorkraft. Och brottslingarna går därifrån med miljontals dollar i kryptovalutor. Och den mycket populära kryptovalutan som har utvunnits på detta sätt kallas Monero. Och det har faktiskt varit så många kampanjer som skapar väldigt undvikande skadlig programvara som kommer att bryta mot den där Monero. Faktum är att till och med wi-fi-nätverken på Starbucks filialer över hela Argentina hade denna Monero gruvskadlig programvara på sig. Så när folk loggade in på Wi-Fi, öppnade de sin bärbara dator för att logga in på Starbucks Wi-Fi.

Faktum är att gruvmjukvaran kördes på deras datorer i fem eller 10 sekunder åt gången, vilket skapade mycket intäkter i form av kryptovaluta för brottslingarna. Och det är därför jag säger, Elizabeth, det är verkligen viktigt att lära sig av vad hackarna gör. Det är verkligen viktigt att titta på vad kriminella gör eftersom de ständigt utvecklas. Och det är här jag tillbringar mycket av min tid med att studera och titta på dessa nya tekniker, dessa nya trender, hur kriminella höjer sitt spel eftersom de kommer på riktigt i de mycket nya affärsmodellerna för att ta våra digitala tillgångar och förvandla dem till pengar mycket snabbt. Och de gör något nytt hela tiden.

Elizabeth: Så hur skulle du veta om ditt nät vad du letar efter för att avgöra om ditt nätverk är eller inte är sårbart för denna typ av kryptojackning eller kryptomining? Jag menar, det låter så hemskt.

Häftigt: Ja. Ja. Det var det. Det är hemskt. Det är en bra fråga. Så ett sätt som du kommer att märka att du har crypto jacking malware på dina system är, naturligtvis, om du har en mycket hög Amazon Web Services-räkning i slutet av månaden, vilket är mycket högre än vad du förväntade dig, eller om du Om du tittar på din energiförbrukning och du ser att dina servrar helt plötsligt körs med mycket högre CPU-hastigheter, så arbetar dina processorer faktiskt mycket hårdare. Du kanske också märker att din maskin värms upp. Den kör blir varmare eftersom en CPU arbetar hårdare. Och du kan märka detta även som individ, om du är, du vet, din anslutning verkar vara extremt långsam. Du öppnar din webbläsare för specifika webbplatser och det tar väldigt lång tid för dem att ladda upp. Det kan betyda att du kan ha den här typen av skadlig kod för kryptominering eller kryptojackning på ditt system. Det är viktigt att notera att för det mesta är dessa typer av attacker nu riktade mot dessa molninstanser. Så de tar inte hand om människors individuella datorer längre bara för att de inte nödvändigtvis har den datorkraft som de vill ha. Spelare, dock, spelare som har kraftfulla datorer, vanligtvis med GPU som med kraftfulla grafiska bearbetningsenheter, kan vara mer mottagliga för dessa typer av crypto mining malware.

Elizabeth: Är inte AWS och andra molnleverantörer, kommer de inte att söka efter detta snarare än att bara skicka en hög räkning vidare till sina kunder? Jag skulle tro att de skulle göra några som du vet, de skulle säkert kunna låta en AI ta en titt på eventuella spikar eller ovanliga beteenden i användningen, skulle jag tro.

Häftigt: Så det är väldigt det är väldigt...Jag håller med dig om att det skulle vara intuitivt för oss att förvänta oss att molnplattformsleverantörerna skulle göra mer och se upp för dessa hot. Men verkligheten är att i många fall är brottslingarnas sätt att komma in i människors system för att de har en lätt osäkrad, lättillgänglig, dåligt konfigurerad molninstans. Så många gånger kommer molnföretaget att säga att det är ditt problem eftersom du lämnade dörren vidöppen. Du har inte konfigurerat dina molnservrar för att vara säkra. Du har inte angett ett lösenord eller så använder du standardlösenordet eller så använde du några mycket välkända. Du hade några mycket välkända sårbarheter på dina molnservrar. Så det är verkligen inte deras problem. Det är din. Och detta, tror jag, för oss tillbaka till ett stort problem som många människor nu har med att konsumera teknik. Vi förstår verkligen inte hur mycket ansvar som fortfarande ligger hos konsumenterna. Och det finns många förväntningar på teknikleverantören, oavsett om det är en molntjänst eller en internet of things-enhet eller ett operativsystem. Vi har många förväntningar på att företaget som säljer en produkt till oss faktiskt skulle göra mycket mer när det kommer till säkerhet.

Men verkligheten är att deras affärsmodell i många fall bygger på att kunden tar mer av det ansvaret på sina axlar. Och vi inser inte nödvändigtvis detta. Nu vill jag inte bara, du vet, namnge och skämma ut företag. Det finns definitivt molnleverantörer där ute som gör mer. Jag vet att Amazon och AWS har ett stort team som är dedikerade till att se säkerhetshot på sin plattform för tillfället. De råkar bara vara den som är mest populär bland kriminella eftersom det är den mest kraftfulla molnplattformen. Så vi måste verkligen fortsätta hela tiden. Och det här katt- och råtspelet och den minut som Amazon-folket kommer att hitta ett sätt att stoppa dessa krypto-jackande skadliga program från kampanjer, från att sprida en ny typ av attack kommer att uppstå.

Elizabeth: Så det är ett bra ställe för oss att vända oss till min nästa och sista fråga, vilken är vad som kommer härnäst? Och jag är inte säker på vem som är katten och vem som är musen? Men vart är katten på väg härnäst? Och var måste ledare för cybersäkerhet tänka på framtiden för hotet?

Häftigt: Det är verkligen inte klart vem som är katten och vem som är musen här. Du har helt rätt. Men när det kommer till det, det jag tänker på när jag tänker på vad som händer härnäst, jag tänker på människor och tänker på mänsklig talang. Jag tänker på de människor som kommer att bli dessa säkerhetsproffs, de där vänliga hackarna, de där företagsledare i framtiden. Och hur kan vi få dessa människor att vara lika kunniga, lika innovativa, lika kreativa som några av de dåliga människorna där ute? För jag antar att så länge folk skriver kod kommer vi att ha sårbarheter, så länge folk använder teknik. Det kommer att finnas illvilliga individer och organisationer som kommer att vilja använda den tekniken för onda vinningar eller för manipulation. Och vi kommer att behöva fler människor än någonsin tidigare. Så det är min åsikt att den vänliga hackergemenskapen kan hjälpa. Men det är också väldigt viktigt att investera i cybersäkerhet, utbildning och medvetenhet, det är därför jag kandiderar. Förutom Tel Aviv är det Israels största hackergemenskap och säkerhetsforskningsgemenskapevenemang. Det är därför vi på ett Tel Aviv University är värd för något som kallas Tel Aviv Cyber ​​Week, som ger kunskap och information till mer än 8 000 personer varje sommar. Det är därför när jag reser, närhelst jag har någon ledig tid, jag spenderar min tid på att gå på hackerevenemang och oavsett om det är en community meetup eller en teknikkonferens, för vi måste verkligen uppmärksamma den typ av forskning och kunskap som nu pågår. genereras av vänliga hackare så att vi faktiskt kan få fler människor där ute beväpnade med information och kunskap. De måste utveckla en bättre och säkrare framtid för oss alla. Ett område som många tänker på är området AI.

Och det är något som, du vet, verkligen är avgörande för att förstå att vi faktiskt kan vara i en kapprustning när det kommer till AI-teknik och specifikt AI för cybersäkerhet, både på den offensiva och defensiva sidan. Men medan kapprustningen faktiskt blir verklighet, är det i kapplöpningen att rekrytera talangen, de människor som faktiskt kan skapa nästa generation ett system. Och det är ett område där jag för närvarande tror att USA har en fördel. Och om du vill behålla den fördelen måste du fortsätta att investera i den sortens know-how och den sortens talang och bygga upp de outsiderhackers som faktiskt kan vara morgondagens framtida försvarare.

Elizabeth: Så Keren, var kan folk få mer information om de vill lära sig mer om några av de saker du har pratat om idag?

Häftigt: Så jag är väldigt lätt att hitta på nätet. Jag heter Keren Elazari. Men i hackervärlden är jag känd som Keren E. Alla E:n stavas med tre. Så du kan antingen gå till min hemsida, K3R3N3.com. Du hittar mig på LinkedIn. Du kan se mitt TED-talk på Ted.com: 'Hackare är internets immunsystem'. Det finns en mängd olika innehåll som jag lägger ut på YouTube. Och du är mycket välkommen att kolla in Tel Aviv Cyber ​​Week. Och BSides Tel Aviv, BSidestlv.com är webbplatsen du vill besöka, om du vill komma och uppleva hackergemenskapen som vi har här i vackra soliga Tel Aviv.

Elizabeth: Underbar. Tack så mycket för att du är med oss ​​här på Business Lab.

Häftigt: Tack, Elizabeth.

Elizabeth: Det var allt för det här avsnittet av Business Lab... Jag är din värd, Elizabeth Bramson-Boudreau. Jag är VD och utgivare för MIT Technology Review. Vi grundades 1899 vid Massachusetts Institute of Technology. Och du kan hitta oss i tryckt form på webben, vid dussintals liveevenemang varje år och nu i ljudform. För mer information om oss och showen, kolla in vår hemsida på technologyreview.com. Den här showen är tillgänglig var du än får dina poddar.

Om du gillade det här avsnittet hoppas vi att du tar dig tid att betygsätta och recensera oss på Apple Podcasts. Business Lab är en produktion av MIT Technology Review.

Vår seniorredaktör är Mindy Blodgett. Det här avsnittet producerades av Collective Next med redaktionell hjälp från Emily Townsend. Särskilt tack till vår gäst, Keren Elazari.

Tack för att du lyssna. Vi kommer snart tillbaka med vårt nästa avsnitt.

Dölj