Cómo entrenar Hackers éticos

Introducción 

Para 2022, la demanda de personal de seguridad cibernética calificado superará la oferta en 1,8 millones de trabajadores. ¿Qué puede hacer la industria para reducir esta amenaza global? Según Richard Buckland, científico informático de la Universidad de Nueva Gales del Sur (UNSW) en Sydney, la respuesta es educación. Ha estado experimentando con maneras de entrenar a defensores en ciernes durante dos décadas.

En 2016, él y Commonwealth Bank también lanzaron SecEDU, un programa para fortalecer el currículo de la universidad, difundir sus prácticas a otras universidades y escuelas secundarias, y hacer que todos sus cursos de seguridad estén disponibles gratuitamente en línea.

Me reuní con Buckland en UNSW para hablar sobre la ingeniería de software y el futuro de los hackers éticos. La entrevista realizada ha sido editada por brevedad y claridad.

¿Qué te atrae a la seguridad?

Para mí, la ciberseguridad o seguridad informática es el último problema de ingeniería. Si estuvieras conduciendo aquí hoy, si pasaras por el Sydney Harbour Bridge, creo que a nadie le preocupa el puente. Y eso es en parte porque los ingenieros civiles han resuelto el problema de la fabricación de puentes.

Pero la seguridad no es un problema resuelto. Si tuviera un producto de Windows, todas las semanas, los martes, le descargaría parches. Y los parches son una forma educada de decir correcciones de errores, y un error es una forma educada de decir vulnerabilidad, y un error es una forma educada de decir cosas masivas. No sabemos cómo diseñar la seguridad.

¿Por qué es diferente la ingeniería de seguridad?

Si tuviera que elegir una razón, es la complejidad. También existe esta naturaleza asimétrica a la ciberseguridad. Para hacer algo seguro, tienes que defender todos los puntos, pero para atacar con éxito, solo tienes que encontrar un pequeño punto.

Al igual que los antiguos castillos medievales: no importaba cuán gruesas fueran las paredes, porque la gente cavaba túneles, por lo que ponían fosos y los atacantes sobornaban a la persona que opera la puerta. Además, es muy divertido atacar. Es la naturaleza humana. A mis estudiantes les gusta eso. Si les doy una regla, les doy un desafío. Tienes que tener cuidado de no darles reglas.

¿Prefieres corregir errores o difundir información sobre seguridad?

Me gusta resolver errores particulares, pero mi pasión es la educación. Y en seguridad, el mayor problema al que nos enfrentamos es que no hay suficiente gente de seguridad, por un factor enorme.

Mis alumnos se van de la universidad, uno de ellos tiene un Corvette como bonificación. La gente me llama todo el tiempo y me dice: “Déjame entrar en tu clase de seguridad.

Tengo excelentes trabajos para tus diez mejores estudiantes “. Y yo digo:” Hombre, ni siquiera puedes tener a mis peores estudiantes. Ya todos tienen trabajo”. Así que tenemos esta cosa llamada SecEDU. Estamos tratando de capacitar a la mayor cantidad de personas posible, pero también buscamos formas de capacitación y luego publicamos eso.

¿Qué has aprendido hasta ahora?

Para mí, la mayor sorpresa fue que para ser un buen ingeniero de seguridad necesitas ser creativo y un pícaro, un poco descarado. Las mejores personas de seguridad cuestionan cada regla. Y el problema realmente exquisito que plantea es que todo lo que hacemos en la universidad, más o menos, se trata de producir personas que cumplan con los requisitos industriales.

Creo que aprendes reglas en el jardín infantil. [Él expandió esto de una manera más colorida y elaborada, pero lo corté por espacio.] Cuando los tengo, ya son seguidores de las reglas.

Realmente, si haces negocios como siempre en una universidad para enseñar seguridad informática, realmente no le estás enseñando a las personas correctas las cosas correctas, y probablemente las personas adecuadas ni siquiera se unirán a la universidad, y si están en la universidad, probablemente me aburriré y me iré a casa porque están locos.

¿Es difícil sacar al astuto o es natural una vez que les das espacio a los estudiantes?

Creo que está cerca de la superficie en todos nosotros, y a menudo hay una sensación de júbilo y alegría cuando se dan cuenta de que es permisible. Recuerdo que alguien entregó algo temprano una vez, y dije: “Estoy realmente decepcionado de que estés entregando esto temprano. Me decepcionaste, hombre. La próxima vez quiero que sea un poco tarde “. Así que, hago pequeñas cosas como esas para animarlos.

¿Cómo haces compatible la astucia con un ambiente universitario?

Está basado en valores. Nunca quiero que nadie haga algo porque les he dicho que lo hagan. Quiero que crean en ello. Si alguno de mis alumnos alguna vez hizo algo malo y se metió en los medios de comunicación, tendría que detener mi curso de inmediato.

Puedo imaginar todos estos titulares de pesadilla: “Estudiante universitario ataca un sitio”, “UNSW entrena a un estudiante que hackeó un banco el otro día”. Creo que necesitas saber cómo atacar para poder defender, así que ¿cómo puedo enseñar a las personas a atacar y no tener que actuar terriblemente, terriblemente mal?

Primero tuve todas estas reglas. Pero luego leí sobre esta investigación realmente interesante. Enviaron un montón de dinero a la gente. Un grupo, amenazaron si no lo devolvían. Otro grupo, dijeron: “Oh, por favor, envíenlo de vuelta”. Cuando se confió en la gente, se saltaron a la confianza. Así que pensé, “Oh, lo estoy haciendo mal e implementé una política de fe, que es simplemente no hacer nada que pueda llevar a la universidad o la profesión a ningún tipo de desprestigio.

¿Por qué los atacantes se hacen los mejores defensores?

El ejemplo que me hizo darme cuenta por primera vez fue que cuando solía enseñar seguridad informática a los primeros años, los llevaba a un vestíbulo de un edificio por la noche y le decía que quería que identificara todos los mecanismos de seguridad existentes.

Notarían el vidrio grueso, la iluminación, los sensores y las cámaras. Al final de eso dije: “Vaya, ustedes han hecho un muy buen trabajo. ¿Qué tan difícil crees que sería entrar? “Y ellos decían:” Muy difícil “.” ¿En una escala de uno a cinco? “” ¡Cuatro! ¡Cuatro y medio! ¡Realmente bueno! ¡El mejor diseño de todos los tiempos! “Y yo diría:” Impresionante.

Ahora vamos a tener nuestro descanso para el té por la noche. Nos reuniremos de nuevo juntos en diez minutos. Ah, y si alguien puede entrar, sin violar la ley, sin causar ningún daño, la primera persona que ingrese obtiene una muy buena recompensa “. Y alguien siempre pudo entrar.

Solo tardó unos cinco minutos. Al hacer que enumeraran todos los sistemas de defensa física, los estaba haciendo pensar como un defensor. Pero tan pronto como empiezas a pensar como un atacante, no te preocupas por las cosas difíciles. Empiezas a pensar: “¿Qué es lo fácil?” Necesitas ser realmente escéptico sobre todo lo que estás haciendo.