Un PDG appelé Alien

Un collage avec une photo de Sherri Davidoff

Un collage avec une photo de Sherri Davidoff Emilie Haasch





Sherri Davidoff est étendue sur le tapis de son immeuble de bureaux au centre-ville de Missoula, dans le Montana. Vêtue d'un costume noir et de bottes en cuir à lacets orange et rose fluo, elle pousse une boucle en acier flexible de trois pieds sous l'espace sous une porte de bureau verrouillée. Elle fait glisser la boucle de l'autre côté de la porte et tente de l'accrocher à la poignée de porte intérieure.

L'appareil, connu dans les cercles d'introduction par effraction comme un outil sous la porte, est récemment arrivé par la poste, un cadeau d'un ami de la communauté des pirates. Davidoff, PDG de 38 ans de la société de conseil en cybersécurité LMG Security et cofondatrice et PDG de la société de formation en cybersécurité BrightWise, fait irruption dans son propre bureau pour s'amuser, juste pour voir si elle le peut.

Après plusieurs tentatives, elle place l'outil autour de la poignée de porte et tire.



La porte s'ouvre.

Je devais juste en acheter un, dit-elle en époussetant son pantalon.

Davidoff, qui est mieux connue dans certains cercles sous son nom de hacker, Alien, a été attirée par le défi d'échapper aux barrières conventionnelles depuis son arrivée dans Fifth East en tant qu'étudiante de première année il y a près de deux décennies. Elle s'est spécialisée en génie électrique et en informatique, mais a passé une grande partie de son temps sur le soi-disant cours 19, le programme officieux dans lequel les étudiants explorent subrepticement les bâtiments du campus, les tunnels à vapeur et, oui, les dômes à l'aide d'un crochetage. ensembles et lampes de poche puissantes.



Le cours 19 est devenu plus pertinent pour ma vie professionnelle que n'importe lequel des cours que j'ai suivis, dit-elle.

LMG , que Davidoff a fondée en 2009, fournit des services et des formations en cybersécurité aux institutions financières, aux organisations de soins de santé et aux fabricants, ainsi qu'à certains clients du gouvernement, du commerce de détail et d'autres secteurs. La société est spécialisée dans les tests d'intrusion, imitant les pirates informatiques afin d'exposer les vulnérabilités de la vie privée. Les employés de LMG orchestrent des attaques, tentant d'accéder à des e-mails sensibles et à d'autres données propriétaires. Ils rédigent ensuite des rapports sur leurs succès et suggèrent des correctifs.

LMG nettoie également après les violations d'informations. Lorsque les ordinateurs sont compromis, ses consultants suivent la manière dont les pirates ont accédé et suivent les empreintes pour savoir quelles informations ont pu être volées. Ils forment également le personnel et les cadres à la cybersécurité et effectuent des audits de conformité pour s'assurer que les entreprises respectent les lois nationales et fédérales.



Des piratages de haut niveau, y compris le cambriolage des serveurs du Comité national démocrate avant les élections de 2016, ont mis davantage en lumière la cybercriminalité et la confidentialité des informations. Il en va de même pour les nouvelles récentes de violations massives des données des consommateurs, y compris l'attaque de Marriott en 2018 qui a révélé les informations personnelles de quelque 500 millions de personnes. Davidoff dit que tout cela a été une aubaine pour l'industrie de la cybersécurité et que de petites corrections, comme l'éducation des utilisateurs sur les tactiques des attaques de phishing, peuvent éviter des pertes importantes.

Vous pouvez voir comment la cybersécurité peut changer le monde, dit-elle, faisant référence à l'attaque de phishing sur le compte Gmail de la présidente de campagne d'Hillary Clinton, qui a conduit à la publication d'e-mails de campagne par WikiLeaks.

L'augmentation de la demande de services de cybersécurité a conduit à une expansion rapide de l'industrie, avec des cabinets comptables et de grands entrepreneurs gouvernementaux entrant sur le marché. Les estimations varient, mais Global Market Insights l'évalue à plus de 120 milliards de dollars. Et Davidoff s'attend à ce que les affaires continuent de croître.



Au cours de la prochaine décennie, la cybersécurité deviendra plus facile à mesure que les réseaux deviendront plus standardisés, dit-elle. Mais à l'heure actuelle, chaque entreprise doit décider à quoi ressemblera son réseau.

Maman pirate du Montana

LMG Security est installé dans un bâtiment à côté d'un magasin de pêche à la mouche le long de la rivière Clark Fork au centre-ville de Missoula. Aucune enseigne n'annonce l'entreprise. À l'intérieur, une découpe en carton d'un Dwayne Johnson torse nu, mieux connu sous le nom de The Rock, garde le hall. Rien n'indique les travaux en cours à l'étage. L'absence de signalisation n'est pas pour le secret. Davidoff craint que le public ne soit confus et ne se présente à la recherche d'un support technique. Si les gens ont besoin de nous trouver, ils savent où nous sommes, dit-elle.

Missoula peut sembler un endroit étrange pour implanter une entreprise de cybersécurité, mais Karen Sprenger, directrice de l'exploitation de LMG, affirme que l'emplacement éloigné n'a pas nui aux affaires. L'équipe d'environ 30 employés de l'entreprise travaille à partir d'ordinateurs portables, qu'ils soient au bureau ou qu'ils voyagent depuis le petit aéroport - qui présente un grizzli trophée près de la zone de récupération des bagages - pour voir des clients du monde entier.

La Pacific Coast Banking School de Seattle engage régulièrement Davidoff pour tenter de pirater le système où sont conservées les informations personnelles des étudiants. Les résultats de ces tests sont généralement entourés de secret, car les organisations hésitent à rendre publiques même les petites vulnérabilités. Mais Gretchen Claflin, présidente et chef de la direction de Pacific Coast, affirme que les tests de pénétration de Davidoff ont rendu les mesures de sécurité de l'école encore plus difficiles à déchiffrer.

Conseils d'un pirate informatique pour protéger votre organisation

  • En tant que consultante en sécurité, Sherri Davidoff '02 a été témoin de nombreuses violations de données préjudiciables. Dans son livre à paraître, Data Breaches, elle dissèque quelques exemples très médiatisés. Beaucoup auraient pu être évités si les employés avaient suivi ces trois règles simples.

  • Pensez avant de cliquer.

    Les e-mails peuvent contenir des liens ou des pièces jointes qui infecteront votre ordinateur. Examinez-les attentivement, ainsi que les liens sur les sites Web, avant de cliquer dessus. Passez votre souris sur un lien pour voir où il va. Vérifiez bien l'adresse et l'orthographe. En cas de doute, ne cliquez pas ! Vous pouvez toujours saisir l'adresse principale du site Web cible et naviguer jusqu'à votre destination.

  • Sauvegardez régulièrement.

    Sauvegardez vos données. Testez vos sauvegardes. Conservez une copie en toute sécurité hors site dans la mesure du possible. Répéter.

  • Utilisez une authentification à deux ou plusieurs facteurs.

    Lorsque vous vous connectez, vérifiez votre identité à l'aide de deux méthodes ou plus, telles qu'un mot de passe et une application sur votre téléphone. L'authentification à deux facteurs est facile à configurer avec de nombreux fournisseurs, tels que Google et Office 365.

Cette dernière fois, nous avons été ravis de les avoir exclus assez rapidement de notre système, dit Claflin. Je me repose plus facilement la nuit.

Davidoff a occupé plusieurs postes dans le domaine de la sécurité de l'information avant d'ouvrir LMG. Au cours de sa dernière année au MIT, elle a travaillé avec le département des systèmes d'information de l'école, où elle a créé un outil d'analyse des flux de trafic sur l'ensemble du réseau de l'Institut. Après avoir étudié les sursauts gamma sur le télescope RAPTOR du Los Alamos National Lab, elle est revenue à la sécurité des réseaux avec un poste dans un hôpital et du personnel et des contrats avec certaines des entreprises de cybersécurité les plus avancées.

En cours de route, Davidoff s'est appuyé sur les compétences du cours 19 et a entrepris plusieurs missions de pénétration physique, notamment en se faufilant dans les bureaux de direction du secteur financier; elle est partie une fois avec un ordinateur portable non sécurisé. Lors d'un autre test de sécurité, elle s'est fait passer pour un inspecteur et s'est frayée un chemin dans le coffre-fort d'une succursale d'une grande banque.

La confiance est la clé, dit Davidoff. Avant de déménager sur la rive, elle a fermé le bâtiment, notant quand la direction partait pour des pauses et quelles heures étaient si occupées que le personnel serait sous pression et moins en mesure de prendre de bonnes décisions. Elle est arrivée vêtue d'un costume pointu, avec un badge nominatif fabriqué chez Kinko, et a frappé vite. J'ai précisé que je faisais partie de l'organisation et j'ai agi légèrement intimidant, dit-elle. Vous ne leur laissez pas le temps de réfléchir.

En 2008, elle était prête pour un changement et a déménagé à Missoula. Elle a apporté quelques contrats de consultation privés avec elle, et cela s'est finalement transformé en LMG.

Être son propre patron s'avérerait essentiel une fois qu'elle aurait fondé une famille. J'ai atteint un point où j'ai dû soit arrêter de fumer, soit me cloner, dit-elle à propos de l'époque peu après la naissance de son premier enfant. J'ai réalisé que je ne pouvais pas être sur la route en tant que consultant itinérant. Mais je peux former des gens pour qu'ils deviennent des consultants itinérants. Maintenant qu'elle élève ses deux enfants (âgés de cinq et sept ans) et qu'elle dirige une entreprise, Davidoff est moins susceptible d'effectuer le travail de conseil dans les tranchées qu'elle a fait autrefois, à moins que cela ne se produise entre 22 heures et 5 heures. et 2 heures du matin, ses heures de travail préférées.

collage

Calcul du risque

La carrière de Davidoff dans la cybersécurité et les exploits de piratage du MIT ont commencé à être remarqués en dehors de la communauté des pirates. Introduction par effraction , un livre de Jeremy N. Smith, retrace sa carrière et l'essor de la cybersécurité dans les années 1990. Depuis la sortie du livre en janvier, Davidoff a fait plusieurs apparitions dans les médias. Sur NBC Aujourd'hui show, elle et le personnel de LMG ont exécuté une attaque de phishing en direct contre une compagnie d'assurance de Missoula.

Dans l'imaginaire populaire, les hackers sont des hommes en sweat à capuche qui vivent dans le sous-sol de leurs parents et peinent à communiquer sans clavier. Davidoff défie ce stéréotype, et ses collègues disent que ses compétences en relations humaines, autant que ses compétences techniques, sont responsables de son succès.

Beaucoup de gens veulent travailler dans cette industrie parce que cela peut être lucratif, explique Deviant Ollam, un expert en crochetage et consultant en sécurité basé à Seattle qui est ami avec Davidoff depuis plus d'une décennie. Mais les compétences humaines et les compétences non techniques ne sont pas connues sous le nom de compétences de hacker. C'est un moteur majeur pour ceux qui trouvent du travail. C'est la différence entre une personne avec un projet et une personne avec une entreprise.

Ollam a rencontré Davidoff pour la première fois en 2007 lors d'une convention de hackers, où il exhibait un déguisement de câbleur qu'il utilisait pour des missions de sécurité. Sherri a dit: 'Je dois en acquérir quelques-uns.' Ce n'était pas pour s'amuser, se souvient-il. C'était pour un vrai engagement professionnel.

Davidoff est aussi surpris que quiconque que le piratage, qui a commencé comme une aventure universitaire, soit devenu un métier. Mais elle est déçue que le terme ait pris un sens plus sinistre dans la culture populaire. Cela me rend triste d'entendre le mot 'hacker' utilisé avec une connotation négative, dit-elle. Le piratage au MIT signifiait faire des farces de basse technologie, dit-elle, citant le célèbre cas de 1994 du croiseur de police sur le Grand Dôme. Cela n'a jamais signifié voler ou causer un préjudice réel.

Un autre changement est plus positif. Davidoff dit que la culture des hackers est devenue plus inclusive depuis la fin des années 1990, lorsque les gens lors de conférences et d'emplois de consultant supposaient que vous étiez la petite amie ou l'assistante de quelqu'un. Même au MIT, dit-elle, elle était généralement l'une des rares femmes à participer à des excursions de piratage. Cela l'a incitée à se pousser fort, et peut-être à prendre des risques qui, avec le recul, étaient dangereux, dans sa quête pour accéder à des endroits qu'aucun autre hacker n'avait jamais été.

Le MIT à la fin des années 90 était un excellent endroit pour prendre des risques et apprendre d'eux, dit-elle : Ce qui rendait le MIT spécial, c'était une culture où ils vous traitaient comme un adulte, et ils respectaient les étudiants et vous encourageaient à explorer.

Il y avait des risques, dit-elle, mais elle croit qu'apprendre à calculer les risques et à comprendre le niveau de danger avec lequel vous êtes prêt à vivre est la clé de la vie. Et il en va de même pour la création d'un plan de sécurité de l'information solide. Vous ne pouvez pas sécuriser complètement votre réseau, dit-elle. Mais en tant qu'organisation, vous devez être en mesure de dire : 'Nous sommes à l'aise avec les risques que nous prenons et nous n'allons pas nous en préoccuper.'

cacher