Alguma vez você já se perguntou o que um pesquisador de segurança que o dia todo? De investigação de software malicioso até engenharia social, pesquisa em segurança é mais do que um trabalho de tempo integral - é o seu modo de vida. No ano passado, nós vimos que pesquisa de segurança atingiu a grande mídia à medida que mais organizações continuam a ser atingido com malware, botnets e muito mais.
Hoje vamos ver o ponto de vista de Bill Smartt, Pesquisador de Segurança da AlienVault Labs, para descobrir mais sobre o que é preciso para se tornar um pesquisador de segurança em 2014 ...
Hoje vamos ver o ponto de vista de Bill Smartt, Pesquisador de Segurança da AlienVault Labs, para descobrir mais sobre o que é preciso para se tornar um pesquisador de segurança em 2014 ...
Como você se tornou um pesquisador na área de Segurança?
Eu estudei ciência da computação na Universidade de San Francisco para obter um entendimento básico de como pensar em uma maneira algorítmica para resolver problemas. Antes de se formar, eu estava participando de uma de Assembly sobre chamadas de sistema Linux. Durante esta aula, descobrimos que depois que um usuário faz logoff, as placas de rede dos computadores do laboratório não limparam todos os dados nos computadores desktop Fedora Linux da Dell. O que isto significa é que se você logado, abrir um socket raw, e ler o buffer da placa de rede, você será capaz de ler os dados de rede do usuário anterior. Agora, isso não quer dizer que encontramos nada "suculento", mas foi uma vulnerabilidade interessante. O que me impressionou foi a maneira que meu professor continuou a aula, sem pausa. Foi nesse momento que bandeiras vermelhas subiram e minha curiosidade foi provocada. Então, em 2010, eu fui ao meu primeiro Def Con em Las Vegas e minha vida nunca mais foi a mesma ...Que habilidades ou talentos particulares são essenciais para ser eficaz como um pesquisador? Como você aprendeu essas habilidades? Todos em programas de treinamento formal?
A ferramenta mais importante para qualquer pesquisador de segurança é saber como usar eficazmente google como um recurso. A primeira parte é saber o que e como procurar e a segunda parte é para absorver a informação que é apresentada. Este é o mesmo conjunto de habilidades para qualquer tipo de pesquisador - seja médico, financeiro ou até mesmo uma pesquisa de mercado. A maioria dos meus estudos de segurança foi desenvolvido através de uma aprendizagem auto-dirigida. Um dos aspectos da pesquisa de segurança, que torna-se um desafio é a natureza descentralizada dos recursos. Embora a segurança tornou-se um tema muito quente na mídia, tanto dos mais recentes e maiores resultados são escondidos em listas (por vezes privados) de discussão, blogs, registros de chat IRC e conversas do twitter. Ser capaz de ligar para essas conversas e ter a mente aberta são bases essenciais para se tornar um pesquisador de segurança. A capacidade de usar um computador para várias horas de cada vez, também é útil.
O que é um dia normal para você?
Há um tempo considerável gasto mantendo-se alinhado com a mídia, as mais recentes ameaças na internet, twitter, com rajadas de pesquisa altamente técnico entre os dois. Leva a uma boa investigação, nem sempre acontecem às 8:00 horas da manhã de segunda-feira. Incidentes acontecem quando eles acontecem e como pesquisador você deve amar a perseguição suficiente para responder, independentemente da hora ou dia. Então eu acho que a resposta curta é, não há dias normais.
Como é sua mesa de trabalho? Por exemplo, que equipamento você usa e quantos monitores?
Quantos o meu patrão vai me dar. Brincadeira, eu tenho um drive externo cheio de VMs com versões do Linux, Windows. Indo todo o caminho de volta para o Windows 98, monitores de tela dupla apenas para me manter ocupado e um laptop realmente poderoso com uma grande quantidade de RAM. Eu também tenho uma estante de livros forrado com temas que vão desde conceitos básicos de Ciência da Computação para análise de malware e tudo mais.
Que ferramentas você prefere usar em suas pesquisas?
Como a maioria dos geeks de computador, cada um na sua. Pessoalmente eu uso principalmente OSX no nível físico. Mas, como um pesquisador de segurança, provavelmente eu gastao tanto tempo dentro de máquinas virtuais como eu faço o meu sistema operacional hospedeiro. Uma das minhas ferramentas mais valorizada é a minha grande variedade de máquinas virtuais contendo várias versões de sistemas operacionais, pacotes de idiomas, service packs, versões do kernel e arquiteturas. Tendo estes diferentes ambientes na mão para experimentar é muito útil quando se observa o comportamento do malware.
Além disso, eu tento usar todos os serviços sandboxing que eu posso - Você realmente não pode confiar em uma sandbox, por isso é sempre bom verificar o maior número possível. Tendo uma grande variedade de sandboxes acessíveis é realmente importante. Eu também uso Pastebin de vez em quando, se eu estou pesquisando um IP ou linhagem específica de malware. Mas quando se trata de serviços gratuitos, eu passo a maior parte do meu tempo em VirusTotal - um serviço gratuito que você pode usar para analisar arquivos suspeitos e URLs.
Se eu olhar por cima do seu ombro durante algum momento do seu dia, o que eu veria na tela?
Ou uma confusão de dados (código sendo compilado, binário, codificação desconhecida), bloco de notas, ou alguma rede utilitários online. (ver abaixo)
Você trabalha com uma equipe ou sozinho?
A pesquisa é normalmente feita individual, no entanto, há o compartilhamento de informações em todo o processo. Problemas não resolvidos não costumam durar muito tempo na internet e muitas vezes é uma corrida entre os pesquisadores a publicar os resultados. Esta é a principal razão para a natureza esporádica de pesquisa de segurança. Se não houvesse tanta pressão para ser o primeiro, a colaboração provavelmente seria mais prevalente, mas na maioria das investigações de pesquisa, o benefício da colaboração não compensam o tempo perdido compartilhando. No entanto, as investigações de longo prazo costumam apresentar mais de uma oportunidade para colaborar.
O que você faz quando não está trabalhando?
Certamente não é o seu típico "segunda a sexta". Falhas aparecem e quando aparecem é como diz o ditado, "a primeira ave que chega leva a minhoca". Se você quer ser bem sucedido neste setor, você precisa viver e respirar pesquisa de segurança. Por exemplo, eu estava recentemente em férias com minha família no Havaí. Ao invés de deitar e relaxar com um bom romance de ficção, eu passava horas lendo um livro sobre criptografia de curva elíptica na praia ... Isso é mais do que um emprego a tempo integral, é uma paixão de vida pra mim.
Qual é o processo típico de analisar um malware?
Ela realmente depende do contexto. Se o objetivo é a realização de "investigação de segurança", então qualquer visão sobre o malware é considerado progresso. No entanto pesquisadores de malware seguem pistas por motivos mais específicos, por exemplo, se um pesquisador estava tentando rastrear um autor do malware particular, ele/ela só pode estar à procura de pistas sobre o que escreveu o malware e não tem interesse em que ele realmente faz. Então, novamente, ele realmente depende de duas coisas: as metas ou resultados esperados da pesquisa e também, simplesmente, onde a investigação leva-o - às vezes você pode identificar a infra-estrutura de C&C, mas não identificar o verdadeiro autor.
O que você considera como sucesso em pesquisa de segurança?
Minha única resposta a esta questão seria: isso varia muito. Na maioria das vezes, simplesmente ser capaz de entender e tirar conclusões sobre o quem, o quê, quando, onde e por quê. Qualquer informação que você pode reunir além de apenas "Eu fui hackeado", é um progresso. A maior força por trás de como o sucesso é definido é circunstancial para o objetivo do pesquisador. Por exemplo, se você está trabalhando para uma empresa que está realizando investigações internas para Resposta a Incidentes (IR), o objetivo é não só para identificar o ofensor, mas também para julgar, se possível.
Por outro lado, se você é um hobby de pesquisa de segurança ou recém-chegado, o objetivo é tipicamente para ganhar credibilidade. Para mim, a situação ideal seria capaz de identificar a origem, motivação, efeitos do ataque, e como eles foram capazes de retirá-lo ... Mas isso é geralmente difícil de fazer.
Traduzido e adaptado por mim.
Fonte: Alien Vault
0 comentários:
Postar um comentário