Bir gün bir bilgisayar bilimcisi, kimsenin almak istemediği bir telefon aldı – tasarladığı o süper harika yazılım aracı az önce hacklendi. Bu ona kariyerini değiştirmesi ve siber güvenlik uzmanı olması için ilham verdi ve bunu yaparken eski işinde geliştirdiği becerilerin yeni işi için paha biçilmez olduğunu gördü.
Özel YouTube kanalımız için siber güvenlik uzmanı ve startup kurucu ortağı Bojan Simic ile konuştuk. Bu, konuşmanın düzenlenmiş versiyonunun bir dökümüdür – orijinal görüntüye erişmek için lütfen bu makalenin altındaki bağlantıya tıklayın.
Bize siber güvenliğe nasıl girdiğinizi ve bu kararın sizi bugün nereye götürdüğünü anlatarak başlayabilir misiniz?
Yazılım mühendisi olarak işe başladım. O alanda birkaç yıl çalışarak gerçekten harika bir uygulama üzerinde çalıştım. Ve bu, insanların performans değerlendirmelerini çevrimiçi yapmalarına izin verdiğimiz bir Fortune 100 müşterisi içindi – ondan önce kağıt üzerinde her şeyi kalemle yapan insanlardı.
Böylece bu uygulamayı oluşturduk. Tahmin edebileceğiniz gibi, performans inceleme bilgileri, özellikle yönetici liderlik düzeyine ulaştığında oldukça hassastır. Bu uygulamayı devreye aldık, çok büyük bir başarıydı: insanlar onu genel olarak sevdi. Birkaç ay sonra, korkunç bir telefon aldım: “Hey, bizim için yazdığınız ve herkesin beğendiği uygulama? Sadece hacklendi.”
Ve bu, beni siber güvenlik kariyer yörüngesine sokan bir şeydi, çünkü o noktada sadece kilitlendim ve bugün olduğum yere gelene kadar kazdım ve kazdım.
Bundan bahsetmişken, şimdi kendi girişiminizi yönetiyorsunuz. Bana bundan biraz daha bahseder misin?
Evet, New York merkezli bir siber güvenlik girişimi olan HYPR’nin CEO’su ve CTO’suyum. Parolaları ve paylaşılan sırları ortadan kaldırma konseptine odaklanıyoruz. Ve gerçekten de bu harika bir deneyim: Bir startup kurduğunuzda, en parlak insanlardan bazılarını işe alırsınız ve gerçekten zor sorunları çözersiniz. Ve şifre sorununu çözüyoruz. İnternette hepimizin ortak olarak sahip olduğu çok az şeyden bazılarını düşünün – bir arama motoru, tarayıcı, şifre kullanmak gibi.
Korkunç şifre!
Tabii ki! Kimse onları sevmiyor, ama oradalar.
“Herkesin şifresiz bir duruma gelmesi birkaç yıl alacak. Tıpkı insanların bugün ata binmesi gibi, şifrelerin her zaman bir yeri olacak – yüz yıl önce olduğu gibi birincil ulaşım şekli değil.”
Siber güvenlik şirketi HYPR’nin kurucu ortağı Bojan Simic
Bir atılıma ne kadar yakınsınız?
Her türlü siber güvenlik atılımında, her zaman erken benimseyenler vardır – ve bu gerçekten her teknoloji için geçerlidir. Ve bizim için, ilk benimseyenler, şifre kullanmaya devam ederlerse en çok kaybedecek olan işletmelerdir. Bugün çoğunlukla finansal hizmetlerle çalışıyoruz – çok para taşıyan ve bu nedenle en büyük saldırı vektörü olan şifreden kurtulmak isteyen şirketler. Verizon veri ihlali raporu geçen hafta yayınlandı ve siber güvenlik saldırılarının %60-70’i hala yanlış kullanılan veya yapılandırılan bir kullanıcı adı veya şifreyle başlıyor.
Herkesin şifresiz bir durumda olması birkaç yıl alacaktır, inanıyorum. Parolaların her zaman bir yeri olacak, tıpkı insanların bugün hala ata binmesi gibi – sadece yüz yıl önce olduğu gibi birincil ulaşım modu değil. Şifreyi de aynı şekilde düşünüyoruz.
Günden güne bu işte size gerçekten ilham veren başka bir şey var mı?
Benim için asla eskimeyen şeylerden biri, parolasız bir kullanıcı deneyiminin bir gösterimini ilk gördüklerinde insanların yüzlerini görmektir: işe gitmek, bilgisayarınıza girmek için bir parola kullanmak zorunda olmamak, bir parola kullanmak zorunda olmamak. bir VPN’de veya herhangi bir web tabanlı tarayıcı uygulamasında oturum açmak ve günün sonunda bir şifre girmeden dizüstü bilgisayarınızın kapağını kapatabilmek. Bu, beş, yedi yıl önce asla mümkün görünmeyen bir şeydi – ancak bugün birçok işletme için mümkün.
Sizinle daha önce siyah şapkalı bir hacker olmanın cazibesine direnmekten bahsettiğimde, Amerika’daki hayatınızı, ailenizin aslen memleketi olan Balkanlar’da geçirmiş olabileceğiniz ile karşılaştırarak kendinizi temelli tuttuğunuzu söylemiştiniz. . Bazı ülkelerin diğerlerine göre daha az fırsatı var ve dünyada çok fazla eşitsizlik var. Özellikle metaverse ve kripto para birimini düşünüyorum: bunun düz bir oyun alanı olduğundan bahsediyorlar. Sizce bu gelişmeler dünyada iyilik için bir güç olabilir mi?
Bir startup kurucu ortağıyla konuşuyorsunuz – ben sonsuz bir iyimserim, bu yüzden bunun iyilik için bir güç olacağına inanmak zorundayım! Bence herkesi, alabilecekleri bilgiler açısından ne kadar çok şeye maruz bırakırsak, dünya için o kadar iyi olur. En tehlikeli şeylerden biri eğitim eksikliğidir ve hangi ortam olursa olsun – ister metaverse, internet, dergi veya gazete olsun – insanların eğitilmesi gerekir. Ve sonra akıllı insanlar, iyi insanlar, sahip oldukları kaynaklar göz önüne alındığında kendileri için en iyi kararları verecekler.
Ve evet, bunlardan bazıları etik olmayan bilgisayar korsanları olacak ve bazıları kötü niyetli şeyler yapacak, ama bence iyiler galip gelecek, çünkü dışarıda yaratıcılıklarını gösterme fırsatına sahip olmayan harika insanlar var.
Sektörünüzün içinden veya dışından herhangi biriyle bire bir görüşme şansınız olsaydı bu kim olurdu?
Satoshi Nakamoto, sırf uygulamalı bir kriptografi ineği olduğum için! Bunun kim olduğunu bilmeyenleriniz için, Bitcoin teknik incelemesini yazan isimsiz kişidir. Ama eğer hayatta değilse o zaman derim ki – ve sadece tamamen dürüst olması gerekiyorsa – [North Korean dictator] Kim Jong Un. Ben biraz siyaset bağımlısıyım, bu yüzden bu zihniyeti anlamayı çok isterim.
Alışılmadık hobileriniz var mı, insanları şaşırtabilecek işten uzakta yapmaktan hoşlandığınız şeyler var mı?
Eskiden amatör bir boksördüm ve bu hala biraz hobi. Diğeri ise ben büyük bir gerçek zamanlı strateji video oyunu ineğiyim. Bir seferde haftalarca oynuyorum İmparatorluk Çağı veya Yıldız Gemisibenim favorilerimden ikisi.
Becerilerini geliştirmek ve belki de siber güvenlik ve pentesting alanında kariyer yapmak isteyen genç, hevesli bilgisayar korsanları – onlara ne tavsiye edersiniz?
Öncelikle izniniz olmadan yapmayın. Özellikle de yakalanma şansınızın çok yüksek olduğu bir Batı ülkesindeyseniz. Ve ikincisi, dışarıda bir milyon bug-ödül programı var. Bunların hepsine katılın ve neler yapabileceğinizi görün. Becerilerinizi kanıtlayın ve gerçekten öğrenmek için zaman ayırın.
Yazılımın nasıl çalıştığını öğrenin. Siber güvenlik alanına yeni başlayan pek çok genç, onlara deyimiyle “senaryo çocuğu” diyorlar, sadece araçların neden çalıştığını ve yazılımın nasıl oluşturulduğunu gerçekten anlamadan, genel olarak nasıl çalıştığını öğreniyorlar. Siber güvenliğe girmeye çalışıyorsanız, zamanınızın yarısını ayırın ve yazılım yazmaya başlayın. Çünkü bir yazılım mühendisinin başına geçebilirseniz, yasal olarak yaptığınızı varsayarsak, bilgisayar korsanlığı uygulamaları konusunda daha fazla ilerleme kaydedebileceksiniz!
“Siber güvenlik alanındaki çoğu insanın yazılım mühendisliği geçmişi yok ve bu benim için şok ediciydi çünkü bunun gerekli olduğunu düşünüyorum.”
Bojan Simic, siber güvenlik uzmanı ve eski yazılım mühendisi
Ve tabii ki böyle başladınız, çünkü bir yazılım geliştiricisiydiniz – bu becerilerin sonraki kariyer değişikliğiniz için sizi çok iyi durumda tuttuğunu varsayıyorum?
Tabii ki. Siber güvenliğe ilk başladığımda inanılmazdı: Örneğin, meslektaşlarımın çoğu ağ alanındandı ve yazılımın nasıl yazıldığını veya nasıl çalıştığını gerçekten bilmiyorlardı. İnsanların yazılımları nasıl yazdıklarını ve kullandıkları en iyi uygulamaları ve genellikle nerede kısayolları kullandıklarını bildiğim için yaptığım işte başarılı oldum. Bunu kullanabildim ve işimin bu bölümünde başarılı oldum.
Diğer siber güvenlik uzmanlarının buna arka plan bilgisi olarak sahip olmaması biraz şaşırtıcı…
Çoğu siber güvenlik çalışanı, yazılım mühendisliği geçmişine sahip olma eğiliminde değildir ve bu benim için şok ediciydi çünkü bunun gerekli olduğunu düşünüyorum. Teknolojinin çoğu oldukça iyi düşünülmüş ve bunlarda güvenlik açıklarının bulunması nadirdir, ancak yazılımın uygulama katmanında insan hatası her yerdedir! Ve yazılım oluşturmayı bilen insanlar, eğer bu siber araçları nasıl kullanacaklarını bilirlerse, bundan faydalanabilirler.
Tercih eder misin…
Sonra Bojan’a siber dünyayla ilgili daha hafif, hızlı ateşlenen sorular sorduk. Belki biraz tempoyu yükseltmek için, ya da belki sadece…
Kafanıza silah dayamak zorunda kalsaydın, siyah şapkalı bir hacker mı olurdun yoksa hırsız mı?
Zaten günde en az sekiz saat bilgisayar başında geçiriyorum – yani hırsız diyebilirim.
Ya tüm cihazlarınız için aynı şifreyi kullanmalısınız ya da en sevdiğiniz cihazı bir dakika musluk suyu altında çalıştırmalısınız…
Soğuk musluk suyu, hiç sorun değil!
Ya bir stablecoin’de 1.000 dolar ya da rastgele seçilmiş bir merkezi olmayan kripto para biriminde 5.000 dolar ödersiniz….
Rastgele seçilmiş merkezi olmayan kripto para birimi – özellikle son zamanlarda olanlarla! [The collapse of stablecoin TerraUSD]
Evet, bu soru daha önce olduğu gibi ısırığın yarısını taşımıyor! Sıradaki… Hayatının geri kalanında her gün, basmakalıp hacker tarzında kapüşonlu bir sweatshirt giymek mi yoksa bir daha asla giymemek mi istiyorsun?!
Hayatımın geri kalanı. Mesleğim ve içinde bulunduğum sektör göz önüne alındığında, bu o kadar da sıra dışı olmazdı!
Yalnızca bir siber güvenlik aracınız olsaydı, hangisi olurdu: antivirüs mü yoksa VPN mi?
VPN. Antivirüs size herhangi bir gizlilik sağlamaz. Ve benim için, bu nedenle VPN. Ayrıca, antivirüsün etkinliği tartışmalıdır.
Biyometrik kimlik doğrulamayı mı yoksa donanım belirteçlerini mi tercih edersiniz?
Biyometrik. Çünkü bir şeyleri kaybetme konusunda son derece iyiyim.
Evet, sanırım gözlerini kaybetmeyeceksin – ya da umarım yine de kaybetmezsin! Mac veya Windows kullanmayı mı tercih edersiniz?
Mac.
Beyin için bir bilgisayara mı yoksa robot sesine mi sahip olmayı tercih ederdiniz?
(gülüyor) Zaten tür olarak oraya gidiyoruz diye, beyin için bilgisayar diyebilirim.
Test bölümü: Siber mi yoksa sokak mı?
Son olarak, aşağıdaki isimlerden hangisinin siber suç çetelerine, hangilerinin eski moda sokak haydutlarına ait olduğunu söyleyebilmesi için Bojan’ı sorguladık.
Conti?
Fidye yazılımı.
Doğru! Uzay Korsanları?
Fidye yazılımı.
Evet, son zamanlarda Rus havacılık endüstrisini hackleyen Asya kökenli olduğu düşünülen bir grup. Tamam, sıradaki… Firma mı?
Adli.
Doğru, bu 1960’larda Birleşik Krallık’ta çok ünlü olan Kray Twins’di. KaraMadde mi?
Siber Suç.
Doğru. MS-13?
Siber suç dışı.
İyi! Kovan mı?
Siber.
Kolay! Karanlık taraf?
Aynı.
Evet. Son fakat en az değil… Haydutlar mı?
bu kurgu değil mi [version of a] gerçek çete mi?
Tuzak soru! Haydutlar bir motorcu çetesi ve Hell’s Angels’ın uzun süredir rakipleri. Ancak aynı zamanda bir siber güvenlik şirketi tarafından tanımlanan bir fidye yazılımı grubuna verilen isimdir. [CYE] ki röportaj yaptım. Her neyse, bu sorularla iyi bir spor yaptığınız ve bizimle konuşmak için zaman ayırdığınız için teşekkürler!
Bana sahip olduğunuz için teşekkür ederim, bu bir zevkti!
“>Cybernews’den daha fazlası:
“Biraz ödev yap!” siber yazar film yapımcılarına anlatıyor
Şifresiz bir gelecek görebilir miyiz?
Kimlik 3.0? Meta veri deposunda gizlilik nasıl korunur
Mahremiyet senin tacınsa, neden onu parlak nesnelerle değiştiriyorsun?
Abone olmak bizim için haber bülteni