211service.com
Un CEO llamado Alien
Un collage con una foto de Sherri Davidoff emily haasch
Sherri Davidoff está tendida sobre la alfombra en su edificio de oficinas en el centro de Missoula, Montana. Vestida con un traje de negocios negro y botas de cuero con cordones de color naranja fluorescente y rosa, empuja un lazo de acero flexible de tres pies debajo del espacio debajo de la puerta de una oficina cerrada. Desliza el lazo hacia arriba por el otro lado de la puerta e intenta engancharlo en el pomo interior.
El dispositivo, conocido en los círculos de allanamiento de morada como una herramienta debajo de la puerta, llegó recientemente por correo, un regalo de un amigo en la comunidad de hackers. Davidoff, la directora ejecutiva de 38 años de la consultora de seguridad cibernética LMG Security y cofundadora y directora ejecutiva de la empresa de capacitación en seguridad cibernética BrightWise, está irrumpiendo en su propia oficina por diversión, solo para ver si puede.
Después de varios intentos, pasa la herramienta por el pomo de la puerta y tira.
La puerta se abre.
Tenía que conseguir uno de estos, dice, sacudiéndose los pantalones.
Davidoff, mejor conocida en algunos círculos por su nombre de hacker, Alien, se ha sentido atraída por el desafío de eludir las barreras convencionales desde que se mudó a Fifth East como estudiante de primer año hace casi dos décadas. Se especializó en ingeniería eléctrica e informática, pero dedicó gran parte de su tiempo al llamado Curso 19, el plan de estudios extraoficial en el que los estudiantes exploran a escondidas edificios del campus, túneles de vapor y, sí, cúpulas con la ayuda de ganzúas. juegos y linternas potentes.
El curso 19 se volvió más relevante para mi vida laboral que probablemente cualquiera de las clases que tomé, dice ella.
ametralladora ligera , que Davidoff fundó en 2009, brinda servicios de seguridad cibernética y capacitación para instituciones financieras, organizaciones de atención médica y fabricantes, así como para algunos clientes en el gobierno, el comercio minorista y otros sectores. La compañía se especializa en pruebas de penetración, imitando a los piratas informáticos de sombrero negro para exponer las vulnerabilidades de privacidad. Los empleados de LMG organizan ataques, intentando obtener acceso a correo electrónico confidencial y otros datos de propiedad. Luego escriben informes sobre sus éxitos y sugieren soluciones.
LMG también limpia después de filtraciones de información. Cuando las computadoras se ven comprometidas, sus consultores rastrean cómo los piratas informáticos obtuvieron acceso y siguen las huellas para saber qué información puede haber sido robada. También capacitan al personal y a los ejecutivos en seguridad cibernética y realizan auditorías de cumplimiento para garantizar que las empresas cumplan con las leyes estatales y federales.
Los ataques de alto perfil, incluido el allanamiento de los servidores del Comité Nacional Demócrata antes de las elecciones de 2016, han puesto más de relieve el delito cibernético y la privacidad de la información. También lo han hecho las noticias recientes de violaciones masivas de datos de consumidores, incluido el ataque de 2018 a Marriott que expuso la información personal de unos 500 millones de personas. Davidoff dice que todo eso ha sido una bendición para la industria de la seguridad cibernética, y que las pequeñas correcciones, como educar a los usuarios sobre las tácticas de los ataques de phishing, pueden evitar grandes pérdidas.
Puede ver cómo la seguridad cibernética puede cambiar el mundo, dice, refiriéndose al ataque de phishing en la cuenta de Gmail del presidente de la campaña de Hillary Clinton, que condujo a la publicación de correos electrónicos de la campaña por parte de WikiLeaks.
El aumento de la demanda de servicios de ciberseguridad ha llevado a una rápida expansión de la industria, con firmas de contabilidad y grandes contratistas gubernamentales ingresando al mercado. Las estimaciones varían, pero Global Market Insights lo sitúa en más de $ 120 mil millones. Y Davidoff espera que el negocio siga creciendo.
Durante la próxima década, la seguridad cibernética será más fácil a medida que las redes se estandaricen más, dice. Pero en este momento, cada empresa tiene que decidir cómo será su red.
Mamá hacker de montana
LMG Security está ubicado en un edificio al lado de una tienda de pesca con mosca a lo largo del río Clark Fork en el centro de Missoula. Ningún cartel anuncia la empresa. En el interior, un recorte de cartón de un Dwayne Johnson sin camisa, mejor conocido como The Rock, protege el vestíbulo. No hay indicios del trabajo que se lleva a cabo arriba. La falta de señalización no es por secreto. A Davidoff le preocupa que el público se confunda y aparezca en busca de soporte técnico. Si la gente necesita encontrarnos, saben dónde estamos, dice ella.
Missoula puede parecer un lugar extraño para ubicar una empresa de seguridad cibernética, pero Karen Sprenger, directora de operaciones de LMG, dice que la ubicación remota no ha dañado el negocio. El equipo de la compañía de alrededor de 30 empleados trabaja desde computadoras portátiles, ya sea que estén en la oficina o viajando desde el pequeño aeropuerto, que cuenta con un oso grizzly trofeo cerca del reclamo de equipaje, para ver a clientes de todo el mundo.
Pacific Coast Banking School en Seattle contrata regularmente a Davidoff para intentar piratear el sistema donde se guarda la información personal de los estudiantes. Los resultados de dichas pruebas suelen estar envueltos en secreto, ya que las organizaciones son reacias a publicar incluso las vulnerabilidades más pequeñas. Pero Gretchen Claflin, presidenta y directora ejecutiva de Pacific Coast, dice que las pruebas de penetración de Davidoff han hecho que las medidas de seguridad de la escuela sean aún más difíciles de romper.
Consejos de un hacker para proteger su organización
-
Como consultora de seguridad, Sherri Davidoff '02 ha sido testigo de muchas filtraciones de datos dañinas. En su próximo libro, Data Breaches, analiza algunos ejemplos de alto perfil. Muchos podrían haberse evitado si los empleados hubieran seguido estas tres simples reglas.
Piense antes de hacer clic.
El correo electrónico puede contener enlaces o archivos adjuntos que infectarán su computadora. Examínelos cuidadosamente, así como los enlaces en los sitios web, antes de hacer clic en ellos. Pase el mouse sobre un enlace para ver a dónde va. Verifique la dirección y la ortografía cuidadosamente. En caso de duda, ¡no haga clic! Siempre puede escribir la dirección principal del sitio web de destino y navegar hasta su destino.
Realice copias de seguridad con regularidad.
Haga una copia de seguridad de sus datos. Pruebe sus copias de seguridad. Guarde una copia de forma segura fuera del sitio siempre que sea posible. Repetir.
Utilice la autenticación de dos factores o de múltiples factores.
Cuando inicie sesión, verifique su identidad usando dos o más métodos, como una contraseña y una aplicación en su teléfono. La autenticación de dos factores es fácil de configurar con muchos proveedores, como Google y Office 365.
Esta última vez, nos complació haberlos eliminado de nuestro sistema con bastante rapidez, dice Claflin. Descanso más tranquilo por la noche.
Davidoff ocupó varios puestos de seguridad de la información antes de abrir LMG. Durante su último año en el MIT, trabajó con el departamento de sistemas de información de la escuela, donde creó una herramienta para analizar el flujo de tráfico a través de toda la red del Instituto. Después de un período de estudio de los estallidos de rayos gamma en el telescopio RAPTOR en Los Alamos National Lab, regresó a la seguridad de la red con un puesto de personal en un hospital y trabajo de personal y contrato con algunas de las firmas de seguridad cibernética más avanzadas.
En el camino, Davidoff aprovechó las habilidades del Curso 19 y realizó varias asignaciones de penetración física, incluida la de infiltrarse en oficinas ejecutivas en la industria financiera; una vez se fue con una computadora portátil sin seguridad. En otra prueba de seguridad, se hizo pasar por inspectora y se abrió camino hasta la bóveda de una sucursal de un banco importante.
La confianza es la clave, dice Davidoff. Antes de hacer su movimiento en el banco, revisó el edificio, notando cuándo la gerencia se iba para los descansos y qué momentos estaban tan ocupados que el personal estaría bajo presión y sería menos capaz de tomar buenas decisiones. Llegó vestida con un elegante traje, con una placa con su nombre hecha en Kinko's, y atacó rápido. Dejé en claro que era parte de la organización y actué un poco intimidante, dice ella. No les das tiempo para pensar.
En 2008, estaba lista para un cambio y se mudó a Missoula. Trajo algunos contratos privados de consultoría con ella, y eso eventualmente se convirtió en LMG.
Ser su propio jefe resultaría fundamental una vez que formara una familia. Llegué a un punto en el que tuve que renunciar o clonarme, dice sobre el momento poco después de que naciera su primer hijo. Me di cuenta de que no puedo estar de viaje como consultora itinerante. Pero puedo entrenar a la gente para que sean consultores itinerantes. Ahora que está criando a sus dos hijos (de cinco y siete años) y dirigiendo un negocio, es menos probable que Davidoff realice el trabajo de consultoría en las trincheras que alguna vez hizo, a menos que ocurra entre las 10 p.m. y las 2 a. m., su horario de trabajo preferido.
Cálculo del riesgo
La carrera de seguridad cibernética de Davidoff y las hazañas de piratería del MIT han comenzado a recibir atención fuera de la comunidad de piratas informáticos. Allanamiento de morada , un libro de Jeremy N. Smith, rastrea su carrera y el auge de la ciberseguridad en la década de 1990. Desde el lanzamiento del libro en enero, Davidoff ha aparecido en múltiples medios. en NBC Hoy dia programa, ella y el personal de LMG ejecutaron un ataque de phishing en el aire en una compañía de seguros de Missoula.
En la imaginación popular, los piratas informáticos son hombres encapuchados que viven en los sótanos de sus padres y luchan por comunicarse lejos de un teclado. Davidoff desafía ese estereotipo y sus colegas dicen que sus habilidades con las personas, tanto como sus habilidades tecnológicas, son responsables de su éxito.
Mucha gente quiere trabajar en esta industria porque puede ser lucrativa, dice Deviant Ollam, un experto en abrir cerraduras y consultor de seguridad con sede en Seattle que ha sido amigo de Davidoff durante más de una década. Pero las habilidades interpersonales y las habilidades blandas no son algo que se conozca como habilidades de hacker. Ese es un factor importante para aquellos que encuentran trabajo. Es la diferencia entre una persona con un proyecto y una persona con un negocio.
Ollam conoció a Davidoff por primera vez en 2007 en una convención de hackers, donde estaba mostrando un disfraz de cableman que usaba en tareas de seguridad. Sherri dijo: 'Necesito adquirir algunos de esos'. No fue por diversión, recuerda. Fue para un compromiso profesional real.
Davidoff está tan sorprendido como cualquiera de que la piratería informática, que comenzó como una aventura universitaria, se haya convertido en una profesión. Pero está decepcionada de que el término haya adquirido un significado más siniestro en la cultura popular. Me entristece cuando escucho la palabra 'hacker' usada con una connotación negativa, dice ella. Hackear en el MIT significaba hacer bromas de baja tecnología, dice, citando el famoso caso de 1994 del coche patrulla en la Gran Cúpula. Nunca significó robar o causar un daño real.
Otro cambio es más positivo. Davidoff dice que la cultura hacker se ha vuelto más inclusiva desde fines de la década de 1990, cuando las personas en conferencias y trabajos de consultoría asumieron que eras la novia o asistente de alguien. Incluso en el MIT, dice, solía ser una de las pocas mujeres que participaba en excursiones de piratería. Eso la hizo esforzarse mucho y quizás tomar riesgos que en retrospectiva eran peligrosos, en su búsqueda para acceder a lugares donde ningún otro hacker había estado nunca.
El MIT a finales de los 90 era un excelente lugar para tomar riesgos y aprender de ellos, dice: Lo que hacía especial al MIT era una cultura en la que te trataban como a un adulto, respetaban a los estudiantes y te animaban a explorar.
Hubo riesgos involucrados, dice, pero cree que aprender a calcular los riesgos y comprender con qué nivel de peligro estás dispuesto a vivir es la clave de la vida. Y lo mismo se aplica a la creación de un sólido plan de seguridad de la información. No puede asegurar completamente su red, dice ella. Pero como organización, debe poder decir: 'Nos sentimos cómodos con los riesgos que estamos tomando y no nos vamos a estresar por eso'.