आज की दुनिया में, जहां बड़े और छोटे व्यवसाय साइबर हमलों और डेटा उल्लंघनों से काफी हद तक प्रभावित होते हैं, साइबर सुरक्षा पर खर्च आसमान छू रहा है। उद्यम अपने साइबर सुरक्षा को सुरक्षित रखने के लिए लाखों डॉलर खर्च कर रहे हैं। और जब हम साइबर सुरक्षा और सूचना सुरक्षा के बारे में बात करते हैं, तो जॉर्जिया वेइडमैन उद्योग में कुछ प्रमुख नामों में से एक है जो दिमाग में आता है।
जॉर्जिया वीडमैन एक एथिकल हैकर, पेनेट्रेशन टेस्टर, शेविरा इंक / बल्ब सिक्योरिटी एलएलसी के सीईओ और पुस्तक "पेनिट्रेशन टेस्टिंग: ए हैंड्स-ऑन इंट्रोडक्शन टू हैकिंग" के लेखक हैं।
यहाँ आइवरी पर हमारी टीम के साथ जॉर्जिया वेडमैन का एक विशेष साक्षात्कार है जहाँ हमने उनसे और साइबर सुरक्षा से संबंधित कुछ प्रश्न पूछे हैं:
Q1 - हाय जॉर्जिया, हम आपके पास आने के लिए सुपर-हर्षित हैं और यह जानकर आप पूरी तरह प्रभावित हुए हैं कि आपने बहुत कम समय में कितना हासिल किया है। क्या आप इस infosec उद्योग के लिए लाता है? एथिकल हैकर के रूप में आपने अपनी यात्रा कैसे शुरू की?
मैं सामान्य 18 के बजाय 14 बजे जल्दी कॉलेज चला गया। और मैंने एक गणित की डिग्री ली क्योंकि मैं कंप्यूटर वैज्ञानिक नहीं बनना चाहता था। मेरी माँ एक थी और क्या किशोरी अपने माता-पिता की तरह बनना चाहती है?
लेकिन तब मैं वास्तव में सिर्फ स्नातक की डिग्री और कोई कार्य अनुभव के साथ 18 पर नौकरी नहीं पा सकता था, मुझे कंप्यूटर विज्ञान में मास्टर डिग्री करने के लिए कहा गया था, और वे मुझे पैसे देने जा रहे थे! वह मेरे माता-पिता के साथ रहने से बेहतर था।
इसलिए मैंने मास्टर्स कार्यक्रम में प्रवेश किया और विश्वविद्यालय में एक साइबर डिफेंस क्लब था। साइबर डिफेंस क्लब के कप्तान वास्तव में दिलचस्प लग रहे थे और मैं उनके बारे में अधिक जानना चाहता था। इसलिए, साइबर सुरक्षा के बारे में कुछ भी न जानते हुए, मैं साइबर डिफेंस क्लब में शामिल हो गया और हमने मिड-अटलांटिक साइबर डिफेंस प्रतियोगिता में भाग लिया। ठीक है, मुझे पता चला कि साइबरसिटी आदमी की तुलना में अधिक दिलचस्प थी, लेकिन मैंने यह भी पाया कि मैं अपने जीवन के साथ क्या करना चाहता था।
Q2- आपकी पुस्तक "प्रवेश परीक्षण" लिखने के पीछे आपकी प्रेरणा और प्रेरणा क्या थी?
मैं वह पुस्तक लिखना चाहता था जो मेरी इच्छा थी कि मेरे पास तब हो जब मैं infosec में शुरू कर रहा था। जब मैंने पहली बार शुरुआत की थी और ट्यूटोरियल के रास्ते में उपलब्ध चीज़ों के बारे में जानने की कोशिश कर रहा था, तो मुझे पहले से पता था कि मैं शब्दकोश में सभी शब्दों को देखने के तकनीकी समकक्ष के रूप में काम कर रहा हूं। फिर बच्चों के शब्दकोष में उन शब्दों से भी अंदाजा लगाया जा सकता है कि काम करने के दौरान चीजें कितनी कम काम करती हैं।
मदद मांगते समय, मुझे स्पष्टीकरणों के बजाय "गेट ऑफ एनबीबी, " या "ट्राइ हार्ड!" से बहुत कुछ मिला। मैं उन लोगों के लिए इसे आसान बनाना चाहता था जो मेरे बाद आए और मेरी किताब के साथ उस अंतर को भर दिया।
Q3- जैसा कि नाम से दिलचस्प है, हमें अपनी कंपनी बल्ब सुरक्षा के बारे में बताएं और यह सब कैसे शुरू हुआ?
मैं वास्तव में दो कंपनियों Shevirah इंक और Bulb Security LLC है। जब मैंने Smartphone Pentest Framework का निर्माण करने के लिए DARPA साइबर फास्ट ट्रैक अनुदान प्राप्त किया, तब मैंने Bulb शुरू किया और बाद में स्वतंत्र रूप से अनुदान के लिए आवेदन करने के लिए दुस्साहस करने के लिए फटकार लगाई।
अनुसंधान परियोजनाओं के अलावा, मैंने इस बिंदु पर पैठ परीक्षण, प्रशिक्षण, रिवर्स इंजीनियरिंग, यहां तक कि पेटेंट विश्लेषण का एक परामर्श व्यवसाय भी बनाया। अपने प्रचुर समय में, मैं मैरीलैंड यूनिवर्सिटी कॉलेज और तुलाने विश्वविद्यालय के प्रोफेसर भी हूं।
मैंने शेविरा तब शुरू किया जब मैं मोबाइल और थिंग्स पैठ परीक्षण, फ़िशिंग सिमुलेशन, और निवारक नियंत्रण सत्यापन में अपने काम को विकसित करने के लिए माच 37 स्टार्टअप एक्सीलेटर में शामिल हो गया, ताकि दूसरे शोधकर्ताओं को उद्यमों को अपने मोबाइल की बेहतर समझ प्राप्त करने में मदद करने के लिए मेरी पहुंच का विस्तार हो सके। IoT सुरक्षा आसन और इसे कैसे सुधारें।
Q4- ठीक है, हमें सबसे रोमांचक समय के बारे में बताएं जब आपको वास्तव में पेनेट्रेशन टेस्टर के रूप में अपनी नौकरी पर गर्व महसूस हुआ हो।
हर बार जब मैं अंदर जाता हूं, विशेष रूप से एक नए तरीके से, पहली बार की तरह ही भीड़ होती है। मुझे यह भी गर्व होता है कि ऐसे ग्राहक दोहराए जा रहे हैं जिन्होंने न केवल वह सब कुछ तय किया जो हमने पहली बार पाया, बल्कि अपनी सुरक्षा मुद्रा को भी जारी रखा है क्योंकि नई कमजोरियों और हमलों को परीक्षणों के बीच के समय में जाना जाता है।
एक ग्राहक को न केवल देखने के लिए कि मैं क्या करने के लिए इस्तेमाल करता था, बल्कि पूरे उद्यम के लिए एक अधिक परिपक्व सुरक्षा मुद्रा का निर्माण करता हूं, इसका मतलब है कि मैंने इसे दिखाने के बजाय एक बहुत अधिक प्रभाव डाला है जिससे मैं डोमेन व्यवस्थापक प्राप्त कर सकता हूं एलएलएमएनआर विषाक्तता या इटरनलब्यू।
Q5- जो लोग एथिकल हैकिंग और पेनेट्रेशन टेस्टिंग के क्षेत्र में अपनी जर्नी शुरू करना चाहते हैं, उनके लिए आप क्या सुझाव या करियर सलाह देना चाहेंगे? यह उस विषय के लिए कोई भी ऑनलाइन पाठ्यक्रम सुझाव, प्रमाण पत्र या शैक्षिक डिग्री हो सकता है।
मैं अपनी पुस्तक, पेनेट्रेशन टेस्टिंग की सिफारिश करूंगा: निश्चित रूप से हैकिंग का परिचय। मेरा सुझाव है कि स्थानीय हैकर बैठकों या सम्मेलनों में शामिल होना चाहिए जैसे कि स्थानीय डीईएफ कांग्रेस समूह अध्याय या सुरक्षा बीएसई। यह उद्योग में संभावित आकाओं और कनेक्शनों को पूरा करने का एक शानदार तरीका है। मैं एक शोध परियोजना या कक्षा करने का भी सुझाव दूंगा।
यह वह प्रतियोगिता है जिसने मुझे पहले स्थान पर #infosec दिया। देश भर के क्षेत्रों के साथ-साथ क्षेत्रीय विजेताओं के लिए भी एक प्रतियोगिता होती है। अपने आउटरीच डॉलर और स्वयंसेवक घंटे लगाने के लिए एक अच्छी जगह। https://t.co/TcNLC7r8tV
- जॉर्जिया वेइडमैन (@georgiaweidman) 28 फरवरी, 2019
बहुत से लोग सोचते हैं कि सुरक्षा अनुसंधान काले जादू है जो बूटलोडर के आंतरिक कामकाज के बारे में कौशल की आवश्यकता है, लेकिन, ज्यादातर मामलों में, यह मामला नहीं है। यहां तक कि अगर आप अभी शुरू कर रहे हैं, तो हर किसी के पास एक कौशल सेट है जो उस क्षेत्र के अन्य लोगों के लिए सहायक होगा जो वे साझा कर सकते हैं। हो सकता है कि आप Word में फ़ॉर्मेट करने में महान हों या लिनक्स सिस्टम एडमिन के रूप में वर्षों का अनुभव हो?
Q6- क्या आप हमारे दर्शकों को कुछ सुरक्षा सॉफ्टवेयर, ऐड-ऑन, एक्सटेंशन आदि का सुझाव देना चाहते हैं जो उनकी ऑनलाइन गोपनीयता और सुरक्षा के बारे में चिंतित हैं? क्या अधिकतम ऑनलाइन सुरक्षा के लिए कोई मूर्खतापूर्ण तरीके हैं?
यह देखते हुए कि मेरे व्यवसाय का हिस्सा निवारक समाधानों की प्रभावशीलता को मान्य कर रहा है, मुझे यकीन है कि आप समझ जाएंगे कि मुझे साक्षात्कार में विक्रेता अज्ञेय बने रहना है। यह ध्यान रखना महत्वपूर्ण है कि मूर्खतापूर्ण सुरक्षा जैसी कोई चीज नहीं है। वास्तव में, मेरा दृढ़ता से मानना है कि निवारक सुरक्षा विक्रेताओं की मार्केटिंग रणनीति, "यदि आप हमारे सॉफ़्टवेयर को स्थापित करते हैं (या हमारे नेटवर्क पर अपना बॉक्स डालते हैं), तो आपको सुरक्षा के बारे में चिंता करने की ज़रूरत नहीं होगी, " आज हम जिस हाई प्रोफाइल ब्रीच को देखते हैं।
उद्यम, इन तथाकथित विशेषज्ञ विक्रेताओं द्वारा सूचित किया गया है, सुरक्षा समस्या पर बहुत पैसा फेंकते हैं लेकिन पैचिंग और फ़िशिंग जागरूकता जैसी चीजों को अनदेखा करते हैं क्योंकि उनके विक्रेताओं ने कहा कि उनके पास यह सब शामिल है। और, जैसा कि हम समय और समय फिर से देखते हैं, कोई भी निवारक समाधान सब कुछ नहीं रोक देगा।
Q7- हैकर के दृष्टिकोण से, किसी को हैक करना कितना मुश्किल हो जाता है यदि उनके पास अपने स्मार्ट डिवाइस पर वीपीएन चल रहा हो? वीपीएन कितने प्रभावी हैं? क्या आप किसी का उपयोग करते हैं?
इन दिनों के अधिकांश हमलों की तरह, अधिकांश मोबाइल हमलों में कुछ प्रकार की सामाजिक इंजीनियरिंग शामिल होती है, अक्सर शोषण की एक बड़ी श्रृंखला के हिस्से के रूप में। निवारक उत्पादों के साथ के रूप में, वीपीएन निश्चित रूप से कुछ हमलों के खिलाफ और निश्चित रूप से ईवेर्सड्रॉपिंग के खिलाफ सहायक हो सकता है, लेकिन, जब तक मोबाइल उपयोगकर्ता दुर्भावनापूर्ण एप्लिकेशन, प्रबंधन प्रोफाइल आदि डाउनलोड कर रहे हैं और अपने स्मार्ट उपकरणों पर दुर्भावनापूर्ण लिंक खोल रहे हैं, एक वीपीएन ही हो सकता है। इतनी दूर जाओ।
मैं उपयोगकर्ताओं को वीपीएन का उपयोग करने के लिए प्रोत्साहित करूंगा, विशेष रूप से सार्वजनिक नेटवर्क पर, साथ ही साथ अन्य सुरक्षा उत्पादों को भी। मैं बस चाहूंगा कि उपयोगकर्ता उनकी सुरक्षा के लिए इन उत्पादों पर पूरी तरह भरोसा करने के बजाय उनकी सुरक्षा मुद्रा के बारे में सतर्क रहें।
Q8- स्मार्ट उपकरणों के तेजी से उछाल और आईओटी के क्षेत्र में अविश्वसनीय विकास के साथ, आपको क्या लगता है कि संभावित सुरक्षा खतरे और कमजोरियां हैं जो सबसे अधिक संभावना टैग के साथ होंगे?
मैं मोबाइल और IoT के खिलाफ खतरों को अधिक प्रवेश और निकास बिंदु वाले पारंपरिक उपकरणों के समान देखता हूं। विंडोज कंप्यूटर पर, रिमोट कोड निष्पादन हमलों का खतरा होता है, जहां उपयोगकर्ता को हमले के सफल होने के लिए कुछ भी नहीं करना पड़ता है, क्लाइंट-साइड हमले जहां उपयोगकर्ता को एक दुर्भावनापूर्ण फ़ाइल खोलने की आवश्यकता होती है, यह एक वेब पेज, एक पीडीएफ, पीडीएफ है। निष्पादन योग्य, आदि सामाजिक इंजीनियरिंग हमले और स्थानीय विशेषाधिकार वृद्धि भी हैं।
पैच गायब हैं, पासवर्ड अनुमान लगाने में आसान हैं, थर्ड पार्टी सॉफ्टवेयर असुरक्षित है, सूची चलती है। मोबाइल और IoT में हम केवल वायर्ड या वायरलेस कनेक्शन के बजाय उन्हीं समस्याओं से निपटते हैं, जिनमें अब हमारे पास मोबाइल मॉडम, ज़िगबी, ब्लूटूथ, नियर फील्ड कम्युनिकेशन, बस कुछ ही संभावित हमलावर वैक्टरों के नाम के साथ-साथ किसी को बायपास करने के लिए रास्ते हैं। डेटा हानि की रोकथाम तैनात। यदि गोपनीय डेटा को एक समझौता किए गए मोबाइल डिवाइस द्वारा डेटाबेस से छीना जा रहा है और फिर सेलुलर नेटवर्क पर एसएमएस के माध्यम से भेजा जाता है, तो नेटवर्क परिधि में दुनिया की सभी निवारक तकनीक इसे पकड़ नहीं पाएगी। इसी तरह, हमारे पास पहले से कहीं अधिक तरीके हैं कि उपयोगकर्ता सामाजिक रूप से इंजीनियर हो सकते हैं।
अब केवल ईमेल और एक फोन कॉल के बजाय हमारे पास एसएमएस, सोशल मीडिया जैसे व्हाट्सएप और ट्विटर, क्यूआर कोड, असंख्य तरीकों की सूची एक उपयोगकर्ता को कुछ दुर्भावनापूर्ण और चालू करने या खोलने के लिए लक्षित हो सकती है।
Q9- क्या आपके सामने कोई सुरक्षा सम्मेलन हैं? यदि हाँ, तो वे क्या हैं?
मुझे नई जगहें देखना और नए लोगों से मिलना भी पसंद है। इसलिए मैं सम्मेलन करने के लिए हमेशा विदेशी भूमि की यात्रा करने के लिए तैयार हूं। इस साल मुझे मुख्य रैस्टकॉन के लिए आमंत्रित किया गया है! जमैका में। पिछले साल मेरे पास सल्वाडोर, ब्राज़ील जाने का एक शानदार समय था, जिसमें रोडसेक सम्मेलनों में से एक था। इस वर्ष भी मैं कार्बन ब्लैक कनेक्ट की कुंजी दे रहा हूं, जो मेरे लिए एक अच्छा स्थान है क्योंकि मैं व्यापार जगत में उतना ही जाना जाता हूं जितना कि मैं अनंत दुनिया में हूं। गर्म और भीड़-भाड़ वाले लास वेगास में होने के बावजूद, इनफ़ोसिस समर कैंप (ब्लैकहैट, डेफ़कॉन, बीएसडेसएलवी, और एक ही समय में अन्य घटनाओं को इकट्ठा किया गया) उद्योग के बहुत सारे लोगों को पकड़ने और वे क्या कर रहे हैं, यह देखने का एक शानदार तरीका है। सेवा मेरे।
Q10- आपकी भविष्य की क्या योजनाएं हैं? क्या आप दूसरी किताब लिख रहे होंगे? दूसरी कंपनी की स्थापना? मौजूदा स्केलिंग? जॉर्जिया वेइडमैन अपने जीवन में आगे क्या करना चाहते हैं?
मैं वर्तमान में पेनेट्रेशन टेस्टिंग के दूसरे संस्करण को समाप्त कर रहा हूं: हैकिंग का परिचय। मैं निश्चित रूप से भविष्य में अतिरिक्त शुरुआती-अनुकूल तकनीकी किताबें लिखना चाहूंगा। हालाँकि मैंने अभी तक केवल कुछ ही एंजेल निवेश किए हैं, लेकिन मुझे उम्मीद है कि मैं भविष्य में अन्य स्टार्टअप संस्थापकों में निवेश करने में सक्षम होऊंगा, विशेष रूप से मेरे जैसे तकनीकी संस्थापकों और इन्फोसिस में महिलाओं और अल्पसंख्यकों का समर्थन करने के लिए और अधिक करने के लिए।
मैंने एक स्टार्टअप करने से बहुत कुछ सीखा है, लेकिन मैं उस दुर्लभ नस्ल में से एक भी हूं जो वास्तव में सिर्फ सुरक्षा अनुसंधान करना चाहता है। स्टार्टअप के बाद मैं खुद को सिर्फ थोड़ी देर के लिए सुरक्षा अनुसंधान करने की कल्पना करता हूं। पूरी तरह से तकनीक से संबंधित नहीं है, लेकिन अगर आप सोशल मीडिया पर मेरा अनुसरण करते हैं, तो आपने देखा होगा कि मैं घुड़सवारी की घटनाओं में प्रतिस्पर्धा करता हूं, इसलिए इस साल मेरे घोड़े टेम्पो और मुझे वर्जीनिया हॉर्स शो एसोसिएशन फाइनल जीतने की उम्मीद है। लंबे समय तक, मैं अधिक समय और संसाधनों को समर्पित मालिकों और बचाने वाले समुद्री कछुओं के साथ बचाव घोड़ों के मिलान के लिए समर्पित करना चाहता हूं।
“ आप केवल निवारक उत्पादों के साथ सुरक्षा को ठीक नहीं कर सकते। परीक्षण सुरक्षा का एक आवश्यक और अक्सर अनदेखी हिस्सा है। एक वास्तविक हमलावर आपके संगठन में कैसे टूटेगा? क्या वे आपके निवारक समाधान को बायपास कर पाएंगे? (संकेत: हाँ।) "- जॉर्जिया वीडमैन
