Bis zum Jahr 2022 wird die Nachfrage nach qualifiziertem Cybersecurity-Personal um 1,8 Millionen Arbeiter das Angebot übertreffen. Was kann die Industrie tun, um diese globale Bedrohung zu reduzieren? Laut Richard Buckland, einem Informatiker an der Universität von New South Wales (UNSW) in Sydney, lautet die Antwort auf Bildung. Seit zwei Jahrzehnten experimentiert er mit Möglichkeiten, angehende Verteidiger zu trainieren. 2016 gründeten er und die Commonwealth Bank außerdem SecEDU, ein Programm zur Stärkung des Lehrplans der Universität, zur Verbreitung ihrer Praktiken an anderen Universitäten und Gymnasien sowie zur Online-Verfügbarkeit aller Sicherheitskurse. Ich habe mich mit Buckland auf der UNSW getroffen, um über Software-Engineering und die Zukunft von White-Hat-Hackern zu diskutieren. Dieses Interview wurde aus Gründen der Kürze und Klarheit bearbeitet.
Was zieht Sie zur Internetsicherheit an?
Cybersicherheit ist für mich das ultimative Engineering-Problem. Wenn Sie heute hier gefahren wären, wenn Sie über die Sydney Harbour Bridge gefahren wären – ich glaube, niemand macht sich Sorgen um die Brücke. Das liegt zum einen daran, dass Bauingenieure das Problem der Brückenherstellung gelöst haben. Sicherheit ist jedoch kein gelöstes Problem. Wenn ich ein Windows-Produkt hätte, würde ich an einem Dienstag jede Woche Patches herunterladen. Und Patches sind eine höfliche Art, Fehlerbehebungen zu sagen, und ein Fehler ist eine höfliche Art, Fehler zu sagen, und ein Fehler ist eine höfliche Art und Weise, massive Sachen zu sagen. Wir wissen nicht, wie man Sicherheit schafft.
Warum unterscheidet sich Sicherheitstechnik?
Wenn ich einen Grund wählen musste, dann ist es die Komplexität. Es gibt auch diese asymmetrische Natur der Internetsicherheit. Um etwas abzusichern, musst du jeden Punkt verteidigen, aber um erfolgreich anzugreifen, musst du nur einen kleinen Punkt finden. Wie die alten mittelalterlichen Burgen: Es war egal, wie dick die Mauern waren, denn die Menschen gruben Tunnel aus, legten Wassergräben an, und Angreifer bestachen die Person, die das Tor bedient. Es macht auch Spaß zu attackieren. Es ist die menschliche Natur. Meine Schüler mögen das. Wenn ich ihnen eine Regel gebe, fordere ich sie heraus. Sie müssen vorsichtig sein, um ihnen keine Regeln zu geben.
Bevorzugen Sie es, Fehler zu beseitigen oder die Sicherheit zu verbreiten?
Ich löse gerne bestimmte Fehler, aber meine Leidenschaft ist die Erziehung. Und in Bezug auf die Sicherheit ist das größte Problem, dem wir gegenüberstehen, dass es nicht genug gute Sicherheitsleute gibt. Meine Schüler verlassen uni – einer von ihnen erhielt eine Corvette als Unterschriftenbonus. Die Leute rufen mich ständig an und sagen: „Lass mich in deine Sicherheitsklasse kommen. Ich habe tolle Jobs für Ihre zehn besten Schüler. “Und ich sage:„ Mann, Sie können nicht mal meine schlechtesten Schüler haben. Sie haben alle schon Jobs. “Wir haben also dieses Ding namens SECedu. Wir versuchen, so viele Menschen wie möglich zu schulen, erarbeiten aber auch Trainingsmöglichkeiten und veröffentlichen diese dann.
Was hast du bisher gelernt?
Für mich war die größte Überraschung, dass man für einen guten Sicherheitsingenieur kreativ sein muss und ein Gauner, ein bisschen frech. Die besten Sicherheitsleute stellen jede Regel in Frage. Und das wirklich leckere Problem ist, dass alles, was wir an uni mehr oder weniger tun, darauf abzielt, Menschen zu produzieren, die die Anforderungen an die Industrie erfüllen. Ich denke, Sie lernen Compliance im Kindergarten. [Er hat dies farbiger und ausgefeilter ausgeführt, aber ich schneide es aus Platzgründen.] Wenn ich sie bekomme, sind sie die Regelanhänger. Wenn Sie an einer Uni wie üblich Geschäfte machen, um Cybersecurity zu lehren, dann lehren Sie den richtigen Leuten wirklich nicht die richtigen Dinge, und wahrscheinlich kommen die richtigen Leute nicht einmal in die Uni, und wenn sie an der Uni sind, dann ‘ Ich werde wahrscheinlich langweilig und nach Hause gehen, weil sie die verrückten sind.
Ist es schwer, Gauner zu finden, oder kommt es von selbst, wenn Sie die Schüler loslassen?
Ich denke, es ist in allen von uns nahe an der Oberfläche, und oft gibt es dieses Gefühl von Freude und Freude, wenn sie erkennen, dass es zulässig ist. Ich erinnere mich an jemanden, der früher einmal etwas reichte, und ich sagte: „Ich bin wirklich enttäuscht, dass Sie dies früh abgeben. Du hast mich im Stich gelassen, Mann. Nächstes Mal möchte ich, dass es etwas spät ist. “Also nur kleine Dinge, um sie zu ermutigen.
Wie macht man Gauner mit einem universitären Umfeld vereinbar?
Es basiert auf Werten. Ich möchte nie, dass jemand etwas tut, weil ich ihm gesagt habe, es zu tun. Ich möchte, dass sie daran glauben. Wenn einer meiner Schüler irgendetwas schlecht gemacht hätte und in die Medien geraten wäre, müsste ich meinen Kurs sofort beenden. Ich kann mir nur all diese Albtraum-Schlagzeilen vorstellen: “Uni trainiert Hacker”, “UNSW trainiert einen Studenten, der am anderen Tag in die Bank eingedrungen ist.” Ich denke, Sie müssen wissen, wie man angreift, um sich zu verteidigen Menschen beibringen, anzugreifen und nicht schrecklich schief laufen zu lassen? Zuerst hatte ich alle diese Regeln. Aber dann habe ich über diese wirklich interessante Forschung gelesen. Sie haben eine Menge Leute Geld geschickt. Eine Gruppe, sie bedrohten Dinge, wenn sie es nicht zurückschickten. Eine andere Gruppe sagte: “Oh, bitte senden Sie es zurück.” Als die Leute vertraut wurden, stiegen sie auf. Also dachte ich: „Oh, ich mache es falsch.“ Ich habe mir eine gute Politik des Glaubens ausgedacht, nämlich nichts zu tun, was die Uni oder den Beruf in irgendeiner Weise in Verruf bringt.
Warum machen Angreifer die besten Verteidiger?
Das Beispiel, das mir zum ersten Mal klar machte, war, als ich in den ersten Jahren Computer-Sicherheit lehrte, ich sie nachts in ein Gebäude-Foyer brachte und ich würde sagen, dass Sie alle Sicherheitsmechanismen identifizieren sollten. Sie würden das dicke Glas und die Beleuchtung, die Sensoren und die Kameras bemerken. Am Ende sagte ich: „Wow, ihr habt wirklich gute Arbeit geleistet. Wie schwer glauben Sie, es wäre ein Einbruch? “Und sie würden sagen:„ Sehr schwer. “„ Auf einer Skala von eins bis fünf? “„ Vier! Viereinhalb! Wirklich gut! Bestes Design aller Zeiten! “Und ich würde sagen:„ Super. Jetzt machen wir unsere abendliche Teepause. Wir treffen uns in zehn Minuten wieder. Oh, und wenn jemand einbrechen kann, ohne gegen das Gesetz zu verstoßen, ohne Schaden zu verursachen, erhält der erste Eindringling eine Marsbar. “Und jemand konnte immer hineingehen. Es dauerte nur fünf Minuten. Indem ich sie dazu brachte, alle physischen Verteidigungssysteme aufzuzählen, brachte ich sie dazu, wie ein Verteidiger zu denken. Sobald Sie jedoch wie ein Angreifer denken, machen Sie sich keine Sorgen um die starken Dinge. Sie fangen an zu denken: „Was ist das Schwache?“ Sie müssen wirklich skeptisch sein bei allem, was Sie tun.
Dieses Gespräch fand während eines Stipendiums für Journalisten bei der UNSW statt, wobei die Reisekosten von der Universität übernommen wurden.
