Entro il 2022, la domanda di personale qualificato per la sicurezza informatica supererà l’offerta di 1,8 milioni di lavoratori. Cosa può fare l’industria per ridurre questa minaccia globale? Secondo Richard Buckland, scienziato informatico dell’Università del New South Wales (UNSW) di Sydney, la risposta è l’educazione. Sta sperimentando modi per addestrare i difensori in erba per due decenni. Nel 2016, lui e Commonwealth Bank hanno anche lanciato SecEDU, un programma per rafforzare il curriculum universitario, diffondere le loro pratiche ad altre università e scuole superiori e rendere tutti i loro corsi sulla sicurezza liberamente disponibili online. Ho incontrato Buckland all’UNSW per discutere dell’ingegneria del software e del futuro degli hacker white-hat. Questa intervista è stata redatta per brevità e chiarezza.
Cosa ti attira alla sicurezza informatica?
Per me, la sicurezza informatica è l’ultimo problema di ingegneria. Se stavi guidando qui oggi, se andassi oltre il Sydney Harbour Bridge, credo che nessuno si preoccupi del ponte. E questo è in parte dovuto al fatto che gli ingegneri civili hanno risolto il problema della costruzione di ponti. Ma la sicurezza non è un problema risolto. Se avessi un prodotto Windows, ogni settimana di martedì scaricherò le patch. E le patch sono un modo educato per dire correzioni di bug, e un bug è un modo educato di dire errore, e un errore è un modo educato di dire roba di massa. Non sappiamo come progettare la sicurezza.
Perché l’ingegneria della sicurezza è diversa?
Se dovessi scegliere una ragione, è la complessità. C’è anche questa natura asimmetrica per la sicurezza informatica. Per fare qualcosa di sicuro, devi difendere ogni punto, ma per attaccare con successo, devi solo trovare un piccolo punto. Come i vecchi castelli medievali: non importava quanto fossero spessi i muri, perché la gente avrebbe scavato dei tunnel, così avrebbero messo i fossati e gli aggressori avrebbero corrotto la persona che gestisce il cancello. Inoltre, è davvero divertente da attaccare. È la natura umana. Ai miei studenti piace così. Se do loro una regola, sto dando loro una sfida. Devi fare attenzione a non dargli regole.
Preferisci schiacciare gli insetti o diffondere la parola sulla sicurezza?
Mi piace risolvere bug particolari, ma la mia passione è l’educazione. E nella sicurezza, il problema più grande che dobbiamo affrontare è che non ci sono abbastanza persone di sicurezza in giro, con un fattore enorme. I miei studenti se ne sono andati da uno di loro e hanno ricevuto una Corvette come bonus alla firma. Le persone mi chiamano sempre e dicono: “Fammi entrare nella tua classe di sicurezza. Ho ottimi lavori per i tuoi primi dieci studenti. “E io dico:” Amico, non puoi nemmeno avere i miei studenti peggiori. Hanno già tutti posti di lavoro. “Quindi abbiamo questa cosa chiamata SECedu. Stiamo cercando di formare il maggior numero possibile di persone, ma anche di elaborare modi di allenamento e di pubblicizzarlo.
Che cosa hai imparato finora?
Per me, la più grande sorpresa è che per essere un buon ingegnere della sicurezza devi essere creativo e furbo, un po ‘sfacciato. Le migliori persone di sicurezza mettono in dubbio ogni regola. E il problema davvero delizioso che si pone è che tutto ciò che facciamo in uni, più o meno, riguarda la produzione di persone conformi alle norme industriali. Penso che impari la conformità all’asilo. [Si è espanso su questo in un modo più colorato ed elaborato, ma l’ho tagliato per spazio.] Quando li avrò, saranno seguaci delle regole. In realtà, se fai affari come al solito in un’università per insegnare la sicurezza informatica, in realtà non stai insegnando alle persone giuste le cose giuste, e probabilmente le persone giuste non entreranno nemmeno nell’università, e se sono all’università, loro ” Probabilmente annoiarsi e tornare a casa perché sono i pazzi.
È difficile tirare fuori il rascalismo o viene naturale una volta che lasci sciogliere gli studenti?
Penso che sia vicino alla superficie di tutti noi, e spesso c’è questo senso di gioia e gioia quando si rendono conto che è lecito. Ricordo che qualcuno consegnò qualcosa in anticipo una volta, e dissi: “Sono davvero deluso dal fatto che tu stia passando questo presto. Mi hai deluso, amico. La prossima volta voglio che sia un po ‘in ritardo. “Quindi solo piccole cose del genere per incoraggiarli.
Come si rende il rascalismo compatibile con un ambiente universitario?
È basato sui valori. Non voglio mai che qualcuno faccia qualcosa perché ho detto loro di farlo. Voglio che ci credano. Se uno dei miei studenti avesse mai fatto qualcosa di brutto e fosse entrato nei media, avrei dovuto interrompere il mio corso immediatamente. Ci sono solo tutti questi titoli da incubo che posso immaginare: “Uni Trains Hackers”, “UNSW prepara uno studente che ha fatto irruzione in banca l’altro giorno”. Penso che tu debba sapere come attaccare per difendere, quindi come posso insegnare alle persone ad attaccare e non farlo andare terribilmente, terribilmente sbagliato? Per prima cosa ho avuto tutte queste regole. Ma poi ho letto di questo pezzo di ricerca davvero interessante. Hanno mandato un sacco di soldi alla gente. Un gruppo, hanno minacciato le cose se non l’avessero restituito. Un altro gruppo, hanno detto, “Oh, per favore, rimandalo indietro”. Quando le persone si sono fidate, hanno raggiunto la fiducia. Così ho pensato, “Oh, sto sbagliando.” Mi è venuta in mente questa politica di buona fede, che non è solo fare nulla che possa portare discredito all’università o alla professione.
Perché gli attaccanti fanno i migliori difensori?
L’esempio che mi ha fatto capire che è stato quando insegnavo la sicurezza dei computer ai primi anni, li portavo giù in un foyer di notte e direi che voglio che tu identifichi tutti i meccanismi di sicurezza esistenti. Avrebbero notato il vetro spesso e l’illuminazione, i sensori e le telecamere. Alla fine ho detto, “Wow, voi ragazzi avete fatto un ottimo lavoro. Quanto pensi che sarebbe irrisolto? “E direbbero,” Molto difficile. “” Su una scala da uno a cinque? “” Quattro! Quattro e mezzo! Veramente buono! Il miglior design di sempre! “E direi,” Fantastico. Ora faremo una pausa per il tè la sera. Ci rivedremo tra dieci minuti. Oh, e se qualcuno può entrare, senza infrangere la legge, senza causare alcun danno, la prima persona che entra in una stanza ottiene un Mars Mars. “E qualcuno potrebbe sempre entrare. Ci sono voluti solo cinque minuti. Facendoli annoverare tutti i sistemi di difesa fisica, li stavo facendo pensare come un difensore. Ma non appena inizi a pensare come un attaccante, non ti preoccupi delle cose forti. Inizi a pensare, “Qual è la cosa debole?” Devi essere davvero scettico su tutto ciò che stai facendo.
Questa conversazione ha avuto luogo durante una borsa di giornalista in residenza presso l’UNSW con le spese di viaggio coperte dall’università.
