Mot et bakteppe av cyber-angrep som beløper seg til fullverdig sabotasje, Facebook chief security officer Alex Stamos brakt en tankevekkende melding til hackere og sikkerhet eksperter samlet på Black Hat-konferansen i Las Vegas. I effekt, sa han, det er på tide å vokse opp.
For mange sikkerhetseksperter, han som er foreslått, er fokusert på “virkelig sexy, vanskelige problemer” som ikke løse felles sårbarheter som tillater malware angrep for å skape kaos. Og for mange sikkerhets-minded hackere synes å ha til hensikt å demonstrere nylig oppdaget hacks, som for eksempel å lage en MINIBANK spytte ut penger eller ta fjernkontrollen til en Internett-kontrollerte bilen, snarere enn shoring opp mer trivielle forsvar.
Mens en del av som gjenspeiler den sunne intellektuelle nysgjerrighet av hackere, og det er også drevet av markedsføring og økonomiske insentiver, Stamos sa. “Jeg setter pris på showmanship, men vi trenger litt mer omtanke, litt mindre showmanship i vårt felt,” sa han til journalister etter sin tale.
Global angrep, alvorlig skade
Siden Mai har verden blitt rystet av to store internasjonale cyber-angrep – ransomware-WannaCry og en sannsynlig statsstøttet angrep kalt NotPetya som spres ut i Ukraina. Disse og andre nyere digitale angrep har lammet sykehus, forstyrret handel, forårsaket strømbrudd og blandet seg inn med de nasjonale valgene.
Stamos seg selv var tidligere chief security officer i Yahoo, som i fjor avslørte brudd på mer enn en milliard brukerkontoer som dateres tilbake til 2013 og 2014.
Black Hat, nå er inne i sitt 20. år, har modnet siden det Stamos, en langvarig deltaker på datamaskinen security conference, beskrevet som “edgy og grenseoverskridende temaer” tidlige dager. Det har vokst mer profesjonelle og bedrifter over tid.
Stamos kalt for en kultur for endring blant hackere og mer vekt på forsvar – og grunnleggende digital hygiene – over den spennende jakten på uoppdagede sårbarheter. Og han kalte for mangfoldet er en industri som går skjevt hvit og mannlige, og generelt viser mer empati for folk som sikkerhet fagfolk har til oppgave å beskytte.
“Det er urettferdig for oss å si at brukerne skal bli bedre,” sa Stamos, utfordrende sitt yrke for å finne bedre måter å hjelpe folk med å løse de mest vanlige sikkerhetsproblemer, for eksempel gjenbruk av passord , e-phishing-forsøk , og ikke oppdatere enheter for å oppdatere med mindre bugs.
Å bygge en vegg, metaforisk
Stamos annonsert at Facebook er å investere $1 millioner kroner (rundt Rs. 6.4 crores) for å oppmuntre defensiv sikkerhet forskning gjennom en kommende konkurranse.
Han avslørte også at selskapet vil bidra $500,000 til en Harvard-Universitetet-basert tverrpolitisk valget-sikkerhet prosjektet. Dette arbeidet vil bli co-ledet av tidligere presidentvalget tjenestemenn for Demokrat Hillary Clinton og Republikanske Mitt Romney. Facebook og konkurrenten Google vil bidra til å skape en informasjon-deling og analyse hub som Stamos sa kan hjelpe lokale tjenestemenn og kampanjer forhindre angrep.
Stamos er ikke den eneste som ringer for en bredere fokus på defensive teknikker.
“Vi skal feire forsvar,” sa konferanse deltaker Amit Yoran, administrerende DIREKTØR i Columbia, Maryland-baserte sikkerhetsselskapet Holdbart, og en tidligere cyber-sikkerhet offisielle under administrasjon av President George W. Bush. “Vi har fokus på trusselen om dagen, angrepet av dagen, i stedet for å fokusere på de grunnleggende problemene.”
Men noen av deltakerne – Stamos blant dem – også påpeke at det er en feil-squashing hacker ethos fortsatt spiller en viktig grunnleggende rolle i å hjelpe til å forstå hva som må fikses.
“Hver eneste hacker kommer til å starte ved å angripe og prøver å hacke ting,” sa Jaime Blasco, en chief scientist i San Mateo, California-basert Alienvault, som har blitt prøver å invadere systemer siden han var en 12-åringen som vokser opp i Spania. “Jeg tror ikke det er ille. Hvis du ønsker å være en god forsvarer, du har å forstå hackere, og du har til å ha vært en av dem å vite hva du arbeider med.”