Adam Laurie es Director de Seguridad y Director de The Bunker Secure Hosting Ltd. Adam siempre ha estado interesado en las computadoras. Su perfil incluye trabajar como programador de computadoras en el PDP -8 y otros ordenadores mini, varios Unix, DOS y microcomputadoras basadas CP / M , ya que surgieron en los años ochenta . Adam Laurie dio al mundo primero extractor de CD nunca, ' CDGRAB ' . A medida que Internet ha evolucionado , Adán y (su hermano ) Ben se interesaron en proyectos de código abierto , y ellos vienen con ' Apache- SSL' - que pasó a convertirse en el servidor web seguro estándar de facto . Desde entonces Adam participa activamente en reventar varios mitos acerca de las tecnologías inalámbricas , dispositivos de infrarrojos y protocolos bluetooth . Últimamente, Adán dio a conocer su más reciente investigación sobre RFID y las diferentes amenazas a la privacidad . Adam también lanzó una pitón biblioteca " RFIDIOt " para acceder y leer dispositivos RFID . Adam y Ben también fue pionera en el concepto de los centros de reutilización de los militares de datos (alojados en refugios nucleares subterráneos ) Servicios de hosting como seguras. Adam ha sido un miembro superior del personal en DEFCON desde 1997, y también actuó como miembro del personal durante los primeros años del Sombrero black Reuniones informativas .
Omer : Adam , por favor preséntese .
Adam : Bueno, comenzó con las computadoras en los años ochenta , cuando mi padre era el editor de una revista de informática en el Reino Unido . Así que antes de que las computadoras y las ventanas que vemos hoy en día, que solía llevar consigo computadoras micro , lo que parece ser muy interesante para los niños. Yo y mi hermano solía jugar con estas máquinas y luego mi padre se las llevé a la revista . Así que casi presenciado toda la evolución de las computadoras.
Omer : ¿Desde cuanto tiempo ha estado asociado con eventos como black Hat y DefCon ?
Adam : La primera DefCon que asistí fue DefCon IV . Luego asistí a la DefCon V de nuevo y se convirtió en un " matón " allí y no ha habido ninguna interrupción desde entonces. Así , es casi más de 10 años . Cuando Sombrero black primero comenzó , un montón de matones que trabajan para DefCon también trabajó para Sombrero black , pero no fue hasta hace un par de años . Tan pronto como se convirtió en un evento comercial pública , contrataron personal por el trabajo que matones solían hacer.
Omer : Usted escribió el primer extractor de CD , ¿cómo te sientes al respecto? RIAA y otras asociaciones de grabación y deben ser una gran admiradora tuya ?
Adam : (Risas ), el problema es que cuando escribí el primer extractor de CD " CDGRAB " , el disco duro era tan caro y es usado para llenar todo el espacio de disco duro. Así que el mercado era realmente una estupidez , porque sería simplemente llenar todo el disco duro y que le costaría 30 veces más que un CD . Así que cuando escribí la herramienta no había uso comercial de los mismos , hasta que años más tarde, cuando alguien se acercó con los estándares de compresión y espacio en el disco duro tiene más barato.
Omer : ¿Sigue manteniendo la herramienta ' CDGRAB '?
Adam : En realidad no. Fue escrito incluso antes de que Windows era un ambiente popular. Era una herramienta de línea de comandos en un principio, pero hicimos una versión de Windows también. Fue programado en C. Luego nos detuvimos su mantenimiento, que nos distraemos con el fenómeno de Internet , así que nos pusimos a buscar en otras ideas.
Omer : Usted también ha sido una parte del proyecto Apache- SSL, que más tarde se convirtió en el estándar de- facto de la web segura. ¿Cómo la idea vino a la vida?
Adam : En realidad, es la idea de mi hermano. He estado involucrado en las últimas etapas para hacer la prueba , la liberación y la documentación. Fue Ben Laurie que realmente codifica el Apache- SSL. La idea llegó incluso antes de la internet. Tuvimos direcciones de correo electrónico , incluso antes de la web era muy famoso . Empezamos con los tablones de anuncios ( Fidonet ) y luego, cuando llegó Internet , no había una empresa en el Reino Unido , llamado " demonio " , que en realidad era sólo grupo de gente charlando en los tablones de anuncios, antes de que formaron esta empresa . Así que sólo estaban charlando que si 100 de nosotros podría reunirse, puede ser que podíamos comprar una línea arrendada dedicada a un proveedor de servicios, y sólo tendremos que poner un poco de módems allí y entonces usted puede simplemente marcar y seguir a la Internet . Fuimos uno de los primeros grupos en el Reino Unido , que agruparán los recursos en conjunto para obtener en el Internet y que la compañía más tarde se convirtió en uno de los más grandes proveedores de servicios en Reino Unido . No tiene nada que ver con nosotros , éramos sólo los primeros clientes. Luego empezamos a hacer los proyectos de internet y nos dimos cuenta de que no hay ningún servidor web de código abierto segura a través de Internet . EE.UU. tiene algunas restricciones fronterizas sobre el uso de la criptografía. Fuera de los EE.UU. no se puede conseguir un servidor web criptográfica. Así que nos fuimos al gobierno del Reino Unido y nos preguntó que cuáles son las reglas para el uso de la criptografía en el Reino Unido son . Ellos respondieron que su poco una zona gris , todavía no estamos seguros , pero sólo llevar un registro de todo lo que envíe a través y que no debería ser un problema. Pensamos que no es algo muy práctico. Pero, afortunadamente, a continuación, la Universidad de Cambridge y la Universidad de Oxford se adelantaron y dijeron que vamos a hacer la distribución para usted, escribir el código y luego publicarlo en nosotros. Lo pondremos en nuestros servidores públicos. Así que técnicamente esto los usuarios sobre el software que hace y si tienen cualquier desafío legal a la cara , no tienen grandes departamentos jurídicos que pueden hacer frente a esto.
Omer : ¿Fue esta una asociación formal con la Universidad de Oxford y la Universidad de Cambridge?
Adam : En realidad no. Era una asociación informal. Era sólo un acuerdo. Mi hermano escribió el código , que publicamos a ellos, y lo puso en sus servidores web. Y luego se convirtió en el estándar de- facto de la web, ya que era el único en todo .
Omer : ¿Estabas chicos esperaba que fuera tan grande?
Adam : Nunca esperábamos que fuera tan grande.
Omer : Usted también ha sido responsable de encontrar algunos bugs críticos bluetooth ? ¿Qué fue eso ?
Adam : Bueno, yo descubrió Azul snarfing , en realidad es un problema que se encuentra en los teléfonos Bluetooth que se pueden explotar para sacar libros de teléfono y otra información sin el conocimiento del propietario . El problema fue bastante amplia difusión y se trataba de algunos de los teléfonos de negocios muy populares como el Nokia 6310i . No fue un gran problema de comunicación con los fabricantes de teléfonos celulares , debido a que no estaban acostumbrados a la idea de que alguien se acercaba a ellos y diciendo que usted tiene un problema . Así que , ya sabes, toda la idea de la divulgación completa y la filosofía de código abierto son bastante ajeno a ellos . Al principio , trataron el problema con la sospecha de que ¿por qué nos dicen o que estoy tratando de chantajear a ellos. Por lo tanto, realmente no entienden que todo lo que queremos es conseguir que el problema sea solucionado . Queremos utilizar la tecnología , aquí está el agujero de seguridad , y así es como se reproducirlo, sólo seguir adelante y arreglarlo.
Omer : ¿Se ha fijado ahora?
Adam : Tiene en la mayoría de los teléfonos ahora . De hecho, aproximadamente un año más tarde , nos organizaron eventos de seguridad del bluetooth . En realidad es una buena cosa que hacer . Todos los fabricantes se reúnen en el hotel , hacer las pruebas de interoperabilidad , y se ejecutan a través de los procedimientos de seguridad . No hay compensación en ese nivel, donde todo está pensado para que funcione correctamente . Hicimos esto por alrededor de 18 meses y fue todo un éxito . Encontramos muchos problemas y lo arreglaron antes de que llegue a la calle. Pero luego se suspendió el programa y no creo que lo están haciendo ninguna específica de seguridad pruebas más, por lo que no esperan más problemas.
Omer : Últimamente te has inspirado por RFID . Háblenos de ello.
Adam : Bueno . Hay dos áreas que busco en . Uno de ellos es el que se utiliza la RFID como un token de autenticación como que tiene sistemas de entrada de puertas . Por lo tanto, el problema no es que toda la etiqueta está haciendo está dando hacia fuera apenas un número de identificación , que afirman que es único, al igual que su llave de la puerta es única, pero puede ser , por supuesto, va a copiar. La industria está tratando de decirnos que una llave electrónica es de alguna manera mágica diferente y no se puede copiar. Así que he demostrado que estas de RFID pueden ser copiados con bastante facilidad y una buena copia abrirán la puerta y no es perfectamente segura para utilizar la tecnología. En realidad no era una situación bastante interesante hace poco, cuando había una compañía que amenazó con demandar por infracción de patentes si revelaban cómo sus sistemas de trabajo o si se demuestra un dispositivo que puede clonar las llaves de la puerta . Así que lo que he estado haciendo es utilizando la tecnología propia de fabricante contra ellos. Así que lo que hago es que en vez de construir la emulación , tomo una etiqueta de puerta existente y reprogramado a fingir ser otra etiqueta o incluso pretender ser testigo de autenticación de otro fabricante. Así que lo que encontré fue métodos originales que el fabricante utiliza para programar las etiquetas de puerta en el primer lugar y qué protocolos qué usar.
Omer : dispositivos de infrarrojos Has arruinado , entornos wi - fi exploradas , reventado bluetooth y ahora desmitificando RFID . ¿Por qué estás en contra de la tecnología? ( En el buen humor )
Adam : (Risas ) Yo no estoy en contra de la tecnología. Estoy en contra de la tecnología utilizada inapropiadamente . Creo que la tecnología es grande . La razón por la que quería que lo repararan bluetooth es que me gustó la tecnología y que quería ser capaz de confiar en él. Yo no quiero que me hace inseguro y lo mismo es con RFID . Creo que la idea es peligroso que las etiquetas son mágicamente única y no pueden ser clonados , por supuesto que se pueden clonar.
Omer : ¿Por qué crees que hay una brecha entre el desarrollo de productos y la seguridad de los productos? Administradores pésimo y dispositivos mal configurados es una cosa, pero los protocolos intrínsecamente defectuosas , pilas con errores e implementaciones de segunda categoría es otra. ¿Qué crees que podría ser la razón ?
Adam : Bueno, yo creo que es por lo general el costo . Los fabricantes sólo están buscando maneras de aumentar los ingresos y hacer una seguridad adecuada es a menudo una cosa esperada y que diría que bien , nos preocuparemos de eso más tarde , si se convierte en un problema. Así que la seguridad del sistema es la segunda consideración y por el tiempo que se convierte en un problema , ya es demasiado tarde porque ya está desplegada . En esta etapa se deben dejar y hacer lo que deberían haber hecho en primer lugar. Pero la cultura está cambiando. El Internet ha pasado por un largo y doloroso proceso de aprender eso. El Internet que solía ser los mismos proveedores de software y nunca siempre libera los parches que Microsoft lo está haciendo ahora . El viejo Microsoft diría que no hay problemas , el juego hacia abajo y esperar que nadie se entere , desacreditar a la persona que encontró el problema en primer lugar . Pero se dieron cuenta que realmente comprometerse con el código abierto , e incluso la comunidad hacker es una buena cosa para cada uno . Es la hora de revelar los problemas y lograr que fijan y su mucho mejor admitir al público que usted tiene un problema, tratar con él con rapidez en lugar de tratar de encubrirlo y entonces el público se enteró de que tiene un problema alguna forma y luego basta con ver mal . Usted realmente se ven bastante bueno si usted dice " Sí, tenemos que mal, pero aquí está la solución " . Todo el mundo va a perdonar y olvidar, porque saben que donde no habrá sistema complejo , no habrá problemas.
Omer : En los últimos tiempos , la ética de la divulgación completa ha sido cuestionada . Hay presiones corporativas y políticas más sobre los investigadores de seguridad , especialmente si usted recuerda la controversia de Michael Lynn año pasado. ¿Cuál es su opinión sobre esto ?
Adam : Bueno otra vez creo que es muy peligroso que el mundo comercial se está tan arraigada en las normas que rigen lo que podemos hacer en el mundo de la seguridad , las normas sobre la ingeniería inversa y así sucesivamente. Cuando las leyes comienzan a realizar copias de seguridad filosofías que si hay algo mal , no deberíamos hablar más bien entonces usted debe solucionarlo. No se permite a nadie hablar de ello ; nadie está autorizado para solucionarlo , porque , en teoría, nadie sabe que está ahí y lo que encontramos es que la divulgación completa funciona en realidad . Los fabricantes arreglar las cosas si usted divulga públicamente el hecho de que tienen un problema. Si no lo hace , ellos tienden a no porque no se necesitan y que pueden ahorrar el dinero. Pero los malos supieran sobre el problema. Si el grupo de aficionados, que no tienen nada que ganar, puede encontrar problemas , entonces también lo puede puñado de criminales , que tienen mucho que ganar , motivados financieramente , tienen las organizaciones , tienen la habilidad, que van a encontrar el problema . Así que su mejor defensa contra el que se va a animar a la gente a buscar los problemas y para hacer frente a los problemas en lugar de castigarlos por esto. Creo que esto es lo más peligroso que hacer . Ellos han estado publicando acerca de las llamadas " herramientas de hackers " , pero lo que es una herramienta hacker? Si escribo una herramienta que puede atrapar a los clones de la etiqueta de la entrada de la puerta , es que una herramienta hacker o es que una herramienta que la industria está utilizando de todos modos para programar las etiquetas en el primer lugar y si tengo miedo a publicarlo porque se procesó entonces el problema no se arregla porque nadie siquiera se da cuenta de ello otro entonces los malos.
Omer : ¿Cómo funciona su laboratorio parece?
Adam : Imagine una gran pila de cables y alambres de azar , ya sabes, el laboratorio científico loco básicamente. Colecciono un montón de hardware y cada vez que veo un dispositivo que me lo pensaría que podría ser útil, lo compro . Me tomo un montón de electrónica de pilas de basura , así que si veo una cinta vieja , sólo voy a rasgar la cinta magnética y la uso en alguna parte. Sigo haciendo un montón de cosas al azar . Tengo un laboratorio muy caótico , 3 o 4 ordenadores portátiles lanzando alrededor, aparecido ordenadores por todas partes .
Omer : Gracias por su tiempo Adam usted. Se ha divertido hablando con usted .
Adam : Gracias a ti también.
Entrevista concluyó .
Soluciones Ausric - Manchester basado Web Diseño y Desarrollo de la empresa. Ofrecemos mucho más , por ejemplo, Logo Design , Soporte , Soporte de red, seguridad y gestión de desastres .
Diseño y desarrollo web Manchester
No hay comentarios:
Publicar un comentario