A percepção da realidade

Raghu Nandakumara 00:12

Caros ouvintes do Segment, bem-vindos de volta a outro episódio do nosso querido podcast, The Segment: A Zero Trust Leadership Podcast. Hoje, estou muito animada por ter a companhia do lendário Brett Johnson. Se você não sabe quem é Brett, apenas pesquisá-lo no Google provavelmente fornecerá alguns resultados para fornecer o histórico dele. Mas digamos que ele é uma lenda na comunidade do cibercrime. Eu diria que agora ele é um cibercriminoso reformado, educando e ajudando os agentes da lei a capturar os criminosos. Mas, certa vez, ele gostava de ser conhecido como o “padrinho do crime cibernético”. Então, com isso, sou bem-vindo a este programa — a primeira vez que apresentamos alguém que está na lista dos mais procurados dos EUA, Brett Johnson, Welcome to The Segment!

Brett Johnson 01:11

Muito obrigado. Eu agradeço. Não sei se sou lendário, diria mais famoso.

Raghu Nandakumara 01:17

Bem, a notoriedade de uma pessoa é a lenda de outra, então acho que é um pouco das duas coisas. Então, Brett, é ótimo ter você, e estou muito animada para falar com você. Sua história por trás é muito interessante, mas você já falou sobre isso em muitos podcasts e palestras TED, etc., que você fez. Mas um tema constante com o qual vou começar, e você repete isso, e eu tenho isso escrito aqui, você diz que a percepção da realidade é mais importante do que a própria realidade. Vamos começar por aí. Explique.

Brett Johnson 01:47

Claro, não importa qual seja a verdade. Importa do que eu posso te convencer, certo? E vemos que o interessante é que vemos isso agora mais do que nunca, mais do que nunca. Isso realmente importa? Realmente importa o que a equipe DOGE está fazendo, ou importa o que eles estão convencendo você de que estão fazendo e esse é o ponto principal? Agora, quando eu era um criminoso, o que isso realmente significava era, ei, não importa se eu realmente possuo aquela conta bancária. O que realmente importa é se eu conseguir convencer o atendimento ao cliente do seu banco de que sou você e que sou o dono da conta, isso é o que realmente importa. A verdade não importa em nada. Era disso que eu estava falando antigamente. Hoje em dia, porém, isso mudou e, se você pensar bem, se estiver enfrentando um ataque on-line, existem apenas três motivações para isso acontecer: é status, dinheiro ou ideologia. É status, estou tentando impressionar meus colegas criminosos. É dinheiro, estou tentando ganhar dinheiro. Ou você me irritou, e eu estou tentando te pegar. Se você pensar sobre essas motivações e pensar sobre essa afirmação, “A percepção da realidade é mais importante do que a própria realidade”. Isso importa, porque agora não se trata apenas de dinheiro. Agora é sobre diferentes ideologias. É sobre agendas políticas. Trata-se de convencer a população de que algo está certo ou errado, seja ou não, essa afirmação tem sido, caramba, desde quando comecei a dizer isso nos dias de Shadow Crew até hoje, essa afirmação, acho que agora é mais importante do que nunca.

Raghu Nandakumara 03:28

Sim, absolutamente certo. E eu acho que você acertou em cheio com um tipo específico de armamento da Internet, certo. E todos os tipos de plataformas de mídia, a armamento da IA, particularmente nessa área, certo? Ser capaz de criar uma percepção mais crível do que a realidade, que se soma à incerteza do mundo digital. Essa é a minha percepção, quais são seus pensamentos?

Brett Johnson 03:56

Estou feliz que você tenha mencionado a IA. Portanto, a percepção da IA desde sua implementação real, nos últimos dois anos, tem sido: ei, os criminosos a estão usando em massa. E, na verdade, isso não é verdade. Tem havido muita conversa sobre o lado criminal, mas, no que diz respeito aos casos de uso reais, não há muitos. Mas agora, dito isso, aqui está a coisa interessante que mencionei há alguns momentos, que são as motivações para ataques on-line: status, ideologia monetária. Pense nos negócios, no comprometimento do e-mail. Esse é um ataque baseado em dinheiro. Isso é algo que eu quero lucrar. Sou eu tentando convencer essa empresa a enviar um pagamento para mim em vez do beneficiário existente em seu sistema. Agora, uma das maneiras de fazer isso, a maneira mais popular e bem-sucedida de fazer isso, é usar um domínio Unicode e convencer que o novo endereço de e-mail é o endereço de e-mail real. Uma das coisas que é realmente eficaz, porém, é usar falsificações profundas, seja em áudio ou vídeo. Agora, é muito bem-sucedido e, se você pensar bem, e me desculpe por estar falando sobre isso, para eu te fraudar, eu tenho que chegar até essa vítima em potencial, seja em uma empresa ou em um indivíduo. Eu tenho que fazer com que a vítima em potencial confie em mim. Como a confiança funciona em um ambiente on-line. Bem, funciona por meio de ferramentas, tecnologia e, finalmente, engenharia social. Então, na tecnologia, confiamos inerentemente nesses telefones celulares, confiamos em nossos laptops, nossos desktops, confiamos nos sites que acessamos, no software que usamos, no hardware que usamos. Realmente não entendemos que os invasores usem uma variedade de ferramentas para manipular essa tecnologia, de modo que não vemos o número de telefone de onde estão ligando. Vemos o número de telefone de um cliente. Vemos o número de telefone de uma instituição financeira. Eles usam chamadas telefônicas falsas. Eles usam proxies SOCKS5 para que não saibamos se eles vêm de Gana, Nigéria ou Alabama, como eu. Nós os vemos vindo da Europa, de Nova York ou do Brasil. Então, eles usam essas ferramentas para manipular a tecnologia e isso tende a abrir a porta da confiança. Quando essa porta é aberta, vemos o quão bom é um vigarista mentiroso ou, se você trabalha com tecnologia, o quão bom é o engenheiro social desse atacante em manipulá-lo para que forneça informações, acesso, dados ou dinheiro. E é aqui que entram as falsificações profundas. Então, confiamos inerentemente nessa tecnologia. Inerentemente, confiamos que a chamada do Zoom é a pessoa que deveria estar lá. E nossos olhos estão nos fazendo pensar que, sim, esse é o CEO da empresa. Isso estabelece essa confiança, essas camadas de confiança. E isso convence aquele funcionário da folha de pagamento a enviar esse pagamento para quem agora, onde a IA está, na verdade, está começando a desempenhar um papel nisso. E a IA está sendo usada por criminosos em um grau em que estamos vendo ela aumentar a confiança e coisas do tipo. É no profundo processo de criação falsa que está se tornando realmente eficaz. Como as falsificações profundas existem historicamente, elas não existem em tempo real. Foi algo que foi gravado e depois apresentado à vítima. Mas, à medida que as falsificações profundas continuam progredindo e evoluindo, estamos chegando ao ponto em que as falsificações profundas ocorrerão em tempo real. Então, para um ataque baseado em dinheiro, você tem o CEO da sua empresa que está conversando em tempo real, sem demora alguma, conversando em tempo real com a folha de pagamento: “Preciso que você envie esse pagamento para essa nova conta bancária. Eles mudaram de endereço e façam isso agora”, bem, isso é muito eficaz e funcionará perfeitamente. Essa é apenas uma motivação para uma farsa profunda, porém, pense naquela farsa profunda que, você sabe, vimos nos Estados Unidos. Vimos os Estados Unidos explodirem durante o COVID porque, evidentemente, a polícia gosta de atirar em homens negros desarmados. Então, o país explodiu. Tivemos tumultos. Tivemos saques. O que acontece quando, no futuro, vemos um vídeo de policiais atirando em um indivíduo desarmado? A cidade explode e, alguns dias depois, parece que era uma farsa profunda. Acontece que o agressor tinha uma arma. O agressor estava atirando contra a polícia, mas a inteligência artificial conseguiu remover e editar o vídeo e criar um novo vídeo em que parecia que a polícia estava apenas assassinando arbitrariamente esse indivíduo. O dano já está causado nesse momento. Então, isso é o que veremos no que diz respeito ao Deep Face e à IA. Realmente vai acontecer. Aqui está minha preocupação. No momento, estamos vendo a criação de falsificações profundas e a detecção de falsificações profundas. É uma espécie de gato e rato. Então, veja, os atacantes revelam uma farsa profunda, talvez, ou talvez não, a empresa de segurança possa reconhecê-la assim. Se a empresa não o fizer, ela ajusta seu algoritmo, que agora identifica os falsos atacantes e os ajusta para frente e para trás, para frente e para trás. Eu realmente acho que chegamos ao ponto, potencialmente, em que a IA é capaz de criar falsificações tão boas que os mocinhos não conseguem detectar o fim dos danos causados. E por causa disso, eu realmente acho que temos uma chance muito boa, como sociedade, de chegar a um ponto em que não somos capazes de realmente confiar ou acreditar em nada. A percepção da realidade é mais importante do que a própria realidade. Isso não importa mais. Importa do que você pode convencer alguém.

Raghu Nandakumara 09:42

Quero dizer, esse tipo de progressão para esse estado futuro que você descreveu é extremamente preocupante, porque acho que a confiança é fundamental para tudo o que fazemos, de uma forma ou de outra. Sim. Seja no mundo real ou no mundo digital, certo? Acreditamos que existe um nível de confiança implícita do qual dependemos. Então, à medida que essa dependência, ou nossa capacidade de depender disso, diminui, como podemos combater isso, certo? Então, como poderíamos continuar a funcionar com confiança em um mundo onde não somos capazes de diferenciar entre realidade e ficção?

Brett Johnson 10:29

Para mim, tudo se resume a relacionamentos pessoais reais. Como você supera o comprometimento do e-mail comercial? Bem, você o derrota ao ter um relacionamento pessoal com esse CEO, não apenas on-line, mas “Ei, podemos conversar? Posso pegar o telefone e ligar de volta?” Posso ter isso? Temos essa frase secreta da velha escola que não foi discutida em nenhum outro lugar, exceto entre você e eu pessoalmente? Nós temos isso? Então, se torna isso, se torna uma volta às formas de segurança da velha escola. É mais do que isso, porém, você tem que perceber que a mídia social gosta de nos colocar em nossas próprias pequenas câmaras de eco. Não gosta que sejamos objetivos. Gosta que sejamos subjetivos. Gosta que discutamos um com o outro. Então, torna-se essa ideia de que você precisa se esforçar para ser objetivo, ter a mente aberta, aceitar, compreender e admitir quando está errado. O que é muito difícil se você estiver no Twitter, porque quando você admitir que está errado, os tubarões entrarão e comerão você vivo. Mas você tem que entender que esse não é o mundo real. Você sabe, vivemos em uma sociedade hoje em que, nas últimas gerações, fomos treinados para, ei, cuidar de A, número um. É você. Você sabe, você tem que cuidar de você, porque ninguém mais vai cuidar, mas não é assim que uma sociedade adequada e funcional funciona. Uma sociedade é exatamente isso: uma sociedade. Não são indivíduos; são todos cuidando uns dos outros. Porque quando cuidamos uns dos outros, todos se tornam melhores no final do dia, mais bem-sucedidos no final do dia e mais lucrativos no final do dia. Esse é o problema e quando cuidamos de nós mesmos, no final das contas, as coisas caem, esse é o problema. Quando eu era um criminoso, você sabe, e ainda me chamo de criminoso, mas quando eu estava ativamente infringindo a lei, uma das razões pelas quais entrei em uma vida de crime, e pensei muito nisso. Uma das razões pelas quais entrei em uma vida de crime é que eu queria ser capaz de controlar meu próprio destino. Eu não queria ter que depender de mais ninguém. E eu vou te dizer, quando você está cometendo um crime e ele é bem-sucedido, essa ilusão funciona perfeitamente. Com certeza, esse é 100% o caso. Mas quando tudo cai, e acontece, quando tudo cai, você cai no chão, descobre que a vida real depende de você trabalhar com todo mundo e confiar em outras pessoas. Você sabe, muitos homens, não gostamos de pedir coisas a outras pessoas. Não gostamos de confiar em outras pessoas. Mas a verdade é que quando eu, quando pude, quando tive a oportunidade de mudar minha vida, aproveitei essa oportunidade. A maneira como consegui fazer isso, sim, foi minha escolha. Mas, ao mesmo tempo, se eu não tivesse uma comunidade, a comunidade de cibersegurança, o FBI, meus amigos, familiares, associados, se eles não estivessem lá para me apoiar e denunciar minhas besteiras quando eu as tinha, eu ainda tenho algumas besteiras. Se eles não estivessem fazendo isso, eu nunca teria sido capaz de estar onde estou hoje. Eu voltaria à prisão por 20 anos. Estou absolutamente convencido disso, e é algo que nós, como sociedade, temos que entender que não é só a pessoa solteira, é o grupo que importa, e é ajudar uns aos outros que importa, porque é isso que devemos fazer.

Raghu Nandakumara 14:12

Então, fale sobre esse conceito de sociedade quando você estabeleceu ou dirigiu a Shadow Crew, houve muitas dessas propriedades de uma sociedade civil que surgiram na forma como a Shadow Crew operava dessa forma coletivamente, as pessoas estavam meio que ajudando umas às outras, quero dizer, sim, é claro que era para apoiar o cibercrime, mas havia muito desse tipo de confiança implícita dentro dessa comunidade?

Brett Johnson 14:42

Então, eu estava em Dubai e vou voltar para Dubai em alguns meses, mas eu estava dando uma palestra na parte de segurança da conferência GITEX em Dubai, e eu estava em um painel, e eu estava ouvindo todo mundo no painel, e eu estava sentado lá dizendo, você sabe, eles estão dizendo muitas coisas boas. E finalmente chegou a minha vez de falar, e eles me fizeram uma pergunta, e eu ignorei a pergunta completamente, e eu disse: “Ei,” e olhei para a platéia e pensei: “Ei, você quer saber por que os bandidos estão ganhando e vocês estão perdendo todos os dias?” E a resposta é, e ainda é a resposta hoje. Nós, os bandidos, somos melhores em compartilhar e colaborar do que vocês. Somos mais uma sociedade, como você acabou de mencionar, do que vocês. Vocês estão preocupados com os regulamentos. Você está preocupado com as vantagens competitivas e com você mesmo. Nós entendemos com Shadow Crew, e não é como se tivéssemos sentado e meio que planejado tudo. Nós não fizemos isso. O que fizemos foi: “Existe a gênese do crime cibernético moderno? Na verdade, são três sites”. É Counterfeit Library, Shadow Crew e Carter Planet. Eu administrava produtos falsificados e Shadow Crew, um sócio ucraniano meu, Dmitri Golov, fundou o planeta Carter, esses três sites. Não era alguém sentado e planejando coisas. Surgiram problemas à medida que essas coisas cresciam, e nós os resolvemos. E é assim que essas coisas acontecem. Uma das coisas que entendemos rapidamente com Counterfeit e Shadow Crew é que é importante compartilhar e trocar informações. É importante cuidar de seu colega criminoso. E a razão pela qual entendemos isso é que também entendemos rapidamente que, ei, estamos cometendo crimes e, se não cuidarmos uns dos outros, teremos muitos seguranças e, o mais importante, teremos muitos policiais aqui que vão nos prender e nos mandar para a prisão para sempre. Então, tornou-se muito importante cuidar de seus semelhantes. Sim, apesar de sermos criminosos, nós absolutamente cuidávamos um do outro. Nós nos ajudamos mutuamente a infringir a lei. Ajudamos uns aos outros, ajudamos a educar uns aos outros. Se tivéssemos, se tivéssemos problemas pessoais, geralmente lidaríamos com eles uns com os outros. Tornou-se uma comunidade real. E essa é uma das coisas interessantes que não estamos mais vendo. Você sabe, moramos em bairros hoje em que normalmente não conhecemos nosso vizinho, não falamos com eles. Mantemos nossas cortinas fechadas na frente para que não possamos ver para fora e ninguém mais possa ver para dentro; continuamos a nos isolar e a viver mais de nossas vidas on-line, em nossas pequenas câmaras de eco, onde nos recusamos até mesmo a ter a opinião oposta de outra pessoa. Se outra pessoa tem uma visão oposta de nós, de repente ela se torna nossa inimiga. E essa não é a maneira de crescer como pessoas. Não é a maneira de expandir seu conhecimento, seu horizonte, sua perspectiva ou visão para absolutamente nada. Mas, certamente, até hoje, se você olhar para as comunidades criminosas, seja no telegrama, na dark web ou mesmo na superfície da web, se você olhar para essas comunidades criminosas, você vê o núcleo da colaboração, da assistência, do cuidado mútuo, e é uma pena que isso esteja mais vivo no mundo do crime do que no mundo dos mocinhos.

Raghu Nandakumara 18:15

Isso é fascinante. É preocupante, porque acho que o que você aborda é que alguns desses valores que, historicamente, consideramos importantes para a sociedade, para uma sociedade produtiva, estão na verdade esquecendo no que chamamos de uma espécie de mundo legal, correto ou não criminal. Mas, no mundo do crime, algumas dessas qualidades essenciais são, na verdade, preservadas e, na verdade, praticadas com muito, muito rigor para ter sucesso. Acho que há uma lição por si só, particularmente em relação ao compartilhamento de informações e ao compartilhamento de conhecimento. Acho que isso é muito importante. É só assim que nos desenvolvemos. Então, quero voltar às motivações que você enfatiza repetidamente em relação ao cibercrime, certo? Status, ideologia, dinheiro. E eu acho que nós, todos nós meio que entendemos a moeda. Nós, até certo ponto, entendemos a peça ideológica. Mas eu adoraria saber sua perspectiva sobre status, ou, como eu diria, certo, quando você, como cibercriminoso, só quer flexionar um pouco seus músculos, certo? Apenas mostre, mostre as armas e mostre que você está se exercitando. Então, como você faria isso?

Brett Johnson 19:28

Então, entenda o que eu estou falando é, e você vê isso, você sabe, eu vejo o tempo todo no LinkedIn ou no Twitter, algum cara da segurança ou da polícia postando um vídeo de um garoto que está no Facebook ou no telegrama balançando pilhas de dinheiro, ou algum artista de rap falando sobre todas as fraudes que estão cometendo. E eles normalmente dizem que esse cara é um idiota. E a resposta é, sim, esse cara é um idiota, mas você não está realmente entendendo ou apreciando o que realmente está acontecendo lá. Você precisa entender que, embora essas comunidades criminosas tenham como objetivo garantir que todos tenham sucesso, essas comunidades criminosas também são cães grandes e cachorros pequenos; é exatamente isso que são. Então, é cachorro grande que come cachorro pequeno, e se você tem um status mais alto, isso significa que você é mais respeitado por cada membro dessa comunidade, e esse respeito, no final das contas, equivale a lucro. Então, pense bem e entenda que nem todos os criminosos são bons, e com isso quero dizer habilidosos. Então, eu ou eles absolutamente não sei nada. Eles estão comprando tudo da prateleira porque hoje em dia, não importa qual seja o crime. Você pode comprar todos os componentes de cometer esse crime na prateleira, prontos. Você pode pegar, comprar tutoriais. Você pode ter aulas de instrução ao vivo. Você não precisa entender nenhuma dinâmica do crime que está cometendo e ainda pode ter sucesso. Então, se você é um desses caras que não entende o crime que está cometendo, mas consegue roubar muito dinheiro, como conquistar o respeito dos membros dessa comunidade? Bem, a única coisa que resta é mostrar que sou capaz de roubar 30 PS5s, posso ganhar $30.000 por semana fazendo pedidos de seguro-desemprego e você renuncia ao dinheiro. E isso absolutamente importa no final do dia. Então, quando falo sobre isso, é possível fazer algo que ninguém mais dentro dessa comunidade pode fazer? Você pode criar ransomware? Você pode implantar ransomware? Porque isso é o que realmente importa. Você pode lançar ataques bem-sucedidos de engenharia social? Você pode lançar campanhas de phishing? Você pode fazer ataques masculinos e médios? Você pode criar e implantar botnets? Você pode usar detalhes de cartão de crédito roubados para fraudar a Amazon ou a Apple quando ninguém no planeta pode fazer isso? Se você puder, ganhará o respeito de todos dentro dessa comunidade, e esse respeito é importante. O que isso realmente significa é que você terá membros vindo até você pedindo seu conselho. Eles compartilharão mais informações com você. “Ei, acabei de descobrir que isso está funcionando na minha área, esse tipo específico de crime, e está funcionando contra essa empresa”, e então você pode tê-los offline, no sinal ou qualquer outra coisa, conversando com eles. “Ok, como isso está funcionando? Quais ferramentas você está usando?” Mas isso significa que você é mais lucrativo e mais experiente no final do dia. Então, quando esse respeito começa a crescer, mais pessoas entram e compartilham mais informações com você. Você pode então compartilhar isso com outras pessoas, primeiro de forma privada e depois mais publicamente, o que aumenta seu status geral, até que finalmente você começa a se tornar o topo da cadeia alimentar. Porque, novamente, é cachorro grande versus cachorro pequeno, e isso é o que importa. Então, status é uma dessas coisas que absolutamente importa e que ninguém realmente aprecia ou entende do lado dos mocinhos e, à medida que avançamos, se você pensar bem, se o cibercrime fosse um país hoje, teria a terceira maior economia do planeta. Isso é enorme, isso é enorme. E ignorar ou não entender a importância do status dentro desses tipos de grupos é, na verdade, ignorar o motivo pelo qual muitos desses crimes são cometidos.

Raghu Nandakumara 23:24

Quero dizer, isso é fascinante. E eu quero te perguntar, então, se você puder compartilhar, quais são algumas das principais coisas que você fez para conseguir aquele cachorro grande, esse status de padrinho na comunidade,

Brett Johnson 23:37

Tudo bem, então, caramba, por onde começar, por onde começar? Então, quando o cibercrime, como você sabe hoje, quando começou, eu realmente estava no andar térreo disso. O site era Counterfeit Library e já era um site existente. Eles tinham um fórum lá que estava extinto. Realmente, ninguém o estava usando. Fui um dos primeiros membros desse fórum. E a razão pela qual eu era membro desse fórum é que fui enganado. Eu não sabia absolutamente nada. Quer dizer, eu sabia como fazer fraudes no eBay e no PayPal. Eu não sabia realmente entender a dinâmica de muitos crimes cibernéticos neles. E eu estava procurando uma identidade falsa, um cara me enganou. Grande surpresa. Eu fiquei chateado. Ainda precisava de uma identidade falsa e encontrei essa biblioteca falsificada, que eles estavam lidando com diplomas e certificados falsificados, e essa foi a coisa mais próxima que consegui encontrar de um canal de crimes cibernéticos naquele momento. Então, entrei no fórum deles. Ninguém o estava usando e, literalmente, a única coisa que eu fazia era gemer e reclamar todos os dias por ter sido roubada. E mais ou menos na mesma época em que eu estava lá. Essas outras duas pessoas também estavam lá. Um era com o pseudônimo de Mr. X, ele estava fora de Los Angeles. O outro tinha o pseudônimo de Belzebu, ele era de Moose Jaw, Saskatchewan, de todos os lugares. Então, nos tornamos esse tipo de, você sabe, grupo de amigos. E um dia costumávamos usar o ICQ. Para trocar mensagens um para o outro. E um dia, Belzebu me coloca no ICQ e me envia uma mensagem. Eu usei o nome de usuário de Gollum. Ele disse: “Gollum!” Eu disse: “Sim, cara”. Ele disse: “Posso fazer uma carteira de motorista falsa para você”. E eu disse: “Bem, cara, faça isso.” E ele disse: “Não, vou te cobrar por isso.” Bem, naquela época, eu já tinha reclamado, gemido e reclamado tanto que os verdadeiros donos da Counterfeit Library gostavam de mim, eu o conhecia e nos dávamos muito bem. Ele diz: “Eu teria cobrado”. Eu disse: “Sim, você é pra caramba.” Ele diz: “Não, eu vou te acusar, cara.” Ele disse: “A razão pela qual eu quero cobrar é que, se você vai entrar nesse negócio, precisa ser capaz de confiar em alguém em algum momento”. Bem, eu estava tipo, tudo bem, então contei a ele. Eu disse: “Cara, vou te mandar $200 e quando você me enganar, vou ter sua bunda banida deste site, e não preciso mais me preocupar com você.” Ele diz: “Aposto”. Eu disse: “Ok”, então enviei 200 dólares e enviei minha foto. Algumas semanas depois, recebi uma carteira de motorista falsa em nome de Stephen Schwake. Um cara real trabalha até hoje, trabalha na folha de pagamento da ADP, e eu não sabia o que estava vendo. Para mim, foi a melhor carteira de motorista falsa do planeta. Acontece que não foi. Era aceitável, mas você só precisa ser aceitável para cometer fraude, e eu uso essa carteira de motorista para abrir contas bancárias, sacar cheques e todas essas outras coisas. O acordo foi que o Sr. X fez um cartão de previdência social muito bom ou aceitável. Belzebu obteve uma carteira de motorista de Ohio aceitável. Eu não sabia absolutamente nada naquele momento. Eu sabia como fazer fraudes no eBay e no PayPal. Então, o acordo era que Belzebu queria vender carteiras de motorista. O Sr. X queria vender cartões de previdência social. Eu não tinha nenhuma habilidade, Belzebu propôs que eu me tornasse revisor e eles venderiam os produtos. Eu seria esse revisor externo e independente. Qualquer pessoa que quisesse vender alguma coisa teria que me enviar uma cópia. Eu aprenderia a usá-lo, aprenderia o que era bom e o que não era. E isso construiria essa comunidade. E foi exatamente isso que aconteceu. Tornou-se isso, quase um campo de sonhos, se você o construir, eles virão, para atividades criminosas. Eu me tornei esse revisor. Cada produto e serviço passou por mim e, em determinado momento, foi exatamente isso que aconteceu. Cada negócio foi feito por Johnson. Então, eu me tornei esse, esse Deus de se eu desse uma aprovação, as pessoas ganhavam dinheiro. Se eu não o fizesse, as pessoas faliram. Então, é que eu sou o cara que construiu o mecanismo inicial de confiança que os criminosos usam, esse processo de revisão, de atestar as pessoas e o que isso significa nos canais de custódia. Eu sou o cara que inicialmente construiu isso. Eu sou o primeiro cara que vendeu contas bancárias roubadas, ou não roubadas, mas criou contas bancárias online. Comecei a criar roubo de identidade de declaração de imposto de renda. Então, a razão pela qual a declaração de imposto de renda de todos é adiada a cada ano é esse SOB que está falando com você agora. Tem, tem um hospedeiro. Eu sou o cara que trouxe todos os ucranianos para os Estados Unidos. Aquele associado que mencionei de Carter, planeta, Dmitri Golov. Ele viu o sucesso que estávamos tendo com a Counterfeit Library. Ele quer ser um spammer. Ele estava recebendo todos esses detalhes do cartão de crédito. E ele disse: “Eu me pergunto se as pessoas comprariam detalhes de cartões de crédito roubados”. Acontece que eles vão. Então, ele pega o telefone. Ele liga para seus amigos. Eles chamam de deles. Eles têm uma conferência física em Odessa. 150 desses criminosos aparecem e lançam o Carter Planet, que é a gênese do roubo moderno de cartões de crédito, como o chamamos. O problema com eles era que haviam cometido tantas fraudes no lado oriental da Europa que todos os cartões foram encerrados. Então, Dimitri veio até mim e disse: “Ei, precisamos ser capazes de sacar.” Então, eu sou o cara responsável por unir aquela relação ucraniana de língua inglesa entre cibercriminosos que durou. Bem, durou vários anos. Até certo ponto, ainda existe, mas o número de crimes pioneiros pelos quais sou responsável é, caramba, é, é muito. Quer dizer, eu poderia gastar muito tempo com isso. Há uma razão pela qual o Serviço Secreto me chamou de padrinho original da Internet, e esse não é um bom termo. E há uma razão pela qual eu estava na lista dos mais procurados dos Estados Unidos. Vou lhes dizer, meninos e meninas, qualquer um que esteja na lista dos mais procurados dos Estados Unidos. Você não é um cara bom nesse momento. Quero dizer, você é, você é um cara perigoso. Não é, não é nada do que se orgulhar.

Raghu Nandakumara 29:30

Eles não estão lá para te dar uma medalha, com certeza.

Brett Johnson 29:33

Não, tudo bem, eles estão lá para te colocar em metal.

Raghu Nandakumara 29:38

Então, vamos mudar, porque você forneceu muitas perspectivas sobre essencialmente o cibercriminoso e, em certa medida, sobre a mentalidade do atacante, certo? E eu acho que, voltando atrás, algo que você disse é, está certo? O cibercrime está simplesmente acontecendo, está aumentando em volume, está aumentando em valor. Tipo, o que é isso? Se você agora está do lado do defensor, certo, quais são os erros que os defensores estão cometendo de forma que parece que não estamos realmente melhorando na prevenção do crime cibernético?

Brett Johnson 30:13

Amigo meu, ele postou no LinkedIn ontem, e o que ele disse é meio que revelador. E eu venho me referindo a isso há alguns anos. Uma das razões pelas quais os cibercriminosos são extremamente bem-sucedidos é que, quando agimos, quando fazemos algo, o fazemos porque é assim que comemos. Se você não tiver sucesso, você não come naquele dia. Então, esses ataques de engenharia social que existem, há uma diferença entre como um bandido faz um ataque de engenharia social e um cara bom o faz. Você sabe, um cara legal, se você for para DEFCON ou Black Hat, você tem uma fazenda de engenharia social lá, e todo mundo está roubando os laptops de todo mundo e todas essas outras besteiras. Não é assim que a engenharia social realmente funciona. Como engenheiro social, se você está realmente fazendo isso para lucrar ou qualquer que seja a motivação do ataque, você está tentando fazer algo da menor maneira possível que faz com que a vítima em potencial pense que está apenas escolhendo fazer isso, e você não quer que ela descubra. Porque quando eles descobrem, os shows acabam. Então, você só tem esse espaço para atuar. Então, você quer que esse espaço em que eles estão inconscientes seja o maior possível. Então, do jeito que os mocinhos fazem alguma coisa, eu também faço a piada de que, ei, o DEFCON existe para que as pessoas possam falar sobre explorações e métodos de ataque que nenhum criminoso real jamais fará. Tudo bem, isso é uma piada, mas há muita verdade nisso também. E eu vejo isso o tempo todo, que as pessoas presumem que entendem como os criminosos pensam, que eu posso pensar como um criminoso. Bem, não, você não pode. Se você pudesse, você seria um criminoso. Essa é uma das coisas que eu acho que as pessoas realmente perdem. Isso não significa que você não possa prever o que eu posso fazer. Você pode, mas você tem que ter a mente aberta. Você tem que ser objetivo e não pensar que sabe tudo. E um dos problemas, eu também acho, é que muitas dessas empresas têm orçamentos extremamente grandes para segurança. Eu não acho que você precise ter um orçamento muito grande. Acho que um orçamento muito grande significa que temos que encontrar algo para fazer com todo esse dinheiro. E às vezes funciona e às vezes não, mas vamos gastar muito dinheiro de qualquer maneira. Acho que tudo isso junto, acho que a cibersegurança adequada e a proteção não são realmente voltadas para o público. Não é realmente romântico, são apenas os detalhes básicos de fazer as coisas que você precisa fazer. Temos mais de 8500 empresas de segurança no mercado. Temos muitos meios de comunicação de massa que pintam os atacantes como hackers, como gênios da computação. É capaz de invadir qualquer tipo de sistema de computador que quiser. Esse não é realmente o caso. Os ataques acontecem porque mais de 90% de todos os ataques usam exploits conhecidos. Sim, não são gênios da computação. São coisas sobre as quais nos falam há anos, sobre as quais não estamos fazendo nada. Isso causa o cenário de ameaças que existe. Mais de 90% dos ataques são a estrela das violações que começam com ataques de phishing. Então, está comprometendo o humano. Ele está procurando vulnerabilidades conhecidas. É entender essas coisas. É entender um atacante. A maioria dos ataques é baseada em dinheiro e a maioria dos ataques são ataques oportunistas. Estou procurando o acesso mais fácil que me dê o maior retorno sobre esse investimento criminoso. Se você entender isso, e colocar um pouco de segurança, você vai ficar bem. Mas você tem que fazer isso. Você não pode simplesmente ter um bilhão de dólares. Então, eu desses bancos tenho um orçamento de segurança de bilhões de dólares, e não vou te dizer qual banco, mas eu estava conversando com seu vice-presidente de ameaças. E eu perguntei a ela: “Ei, por que vocês ainda não foram atingidos pelo ransomware?” E ela disse: “Não sei. Vou perguntar.” Então, cerca de três semanas depois, ela volta e diz: “Bem, eu falei com meu chefe. Ele finalmente me responde e diz: “Bem, temos um orçamento de segurança de bilhões de dólares”. E eu disse: “Caramba, isso é muito.” E ela disse: “Sim”, e então ela disse: “Então ele fez uma pausa, olhou para mim e disse, e nós temos muita sorte.” E eu disse: “Caramba, sorte é uma estratégia.

Brett Johnson 34:38

Você sabe, se, por um lado, você está dizendo que está gastando um bilhão de dólares em segurança, e no instante seguinte, você está dizendo, e temos sorte, que algo provavelmente não está certo.

Raghu Nandakumara 34:50

Isso é brilhante, e tenho certeza de que, se eles tivessem economizado aquele bilhão de dólares e dependesse apenas da sorte, o resultado provavelmente ainda seria bastante semelhante, provavelmente semelhante.

Brett Johnson 35:02

Isso é o que é interessante. Então, você sabe, é realmente uma daquelas coisas de simplesmente se esforçar e não, você sabe, não pensar que você é uma superestrela, sim, não pensar que é um trabalho muito romântico. É realmente sobre os detalhes básicos das coisas. Sabe, eu vi um cara outro dia. Quando comecei a falar, havia dois. Na verdade, havia apenas dois criminosos reais que estavam falando, eu e Frank Avenue. Agora há vários outros, e alguns deles sabem do que estão falando. Então, eu ou eles não. Isso. Esse cara postou sobre conscientização sobre fraudes e treinamento de conscientização sobre segurança e deu os números de, você sabe, “empresas que fazem treinamento de conscientização sobre segurança encontram uma redução de 63% e, em um imposto, economizam 50% de dinheiro”. E ele não sabia do que estava falando, porque a conscientização sobre segurança e o treinamento de conscientização sobre fraudes funcionam desde que o treinamento seja contínuo. Não é algo que você faz por algumas semanas e é eficaz. Durante essas duas semanas, é efetivo e, em seguida, os números voltam ao que eram. Então, é entender que você tem que fazer as coisas da maneira certa. Não é só um show de cães e pôneis. Quando eu estava na prisão, fazíamos shows de cães e pôneis o tempo todo. É algo em que você precisa continuar e ter certeza de que está fazendo as coisas corretamente ao mesmo tempo.

Raghu Nandakumara 36:20

Acho que tudo isso é muito preciso e, vindo de sua experiência, acho que reforça muito do que continua sendo dito, mas acho que não foi suficientemente notado, certo? Porque o que você disse foi que isso não é como atacantes cibernéticos, criminosos cibernéticos são como viver fora da terra, certo? É o mesmo conjunto de explorações que eles, porque existem todos os kits de ferramentas para explorações conhecidas. Então, por que você criaria um novo kit de ferramentas para uma possível nova exploração quando você pode simplesmente reutilizar o que está disponível, certo? Custa menos, é menos do seu esforço. E novamente, certo, com sorte suficiente, você vai, você vai conseguir esse resultado, você vai sacar e você vai ser capaz de seguir em frente. Então, quando você disse, certo, não é fazer necessariamente coisas novas e sensuais, certo, mas ser capaz de ser brilhante no que há de mais básico, nos fundamentos da cibersegurança, certo? Essencialmente, é aí que está a maior oportunidade para os defensores. Essa lição está sendo ouvida?

Brett Johnson 37:32

Você sabe, são alguns lugares. São alguns lugares. Acho que isso está sendo ouvido cada vez mais, quanto mais públicas muitas dessas violações se tornam. Você pega, por exemplo, Colonial Pipeline. Oleoduto colonial. Por que isso aconteceu? Bem, isso aconteceu porque a Colonial Pipeline sabia que uma de suas senhas de VPN estava disponível em um canal obscuro da web. Eles sabiam disso e não fizeram nada a respeito. Eles não alteraram a senha. É por isso que isso acontece. Isso acontece porque você sabe que sua senha é solarwinds123, ou essa é uma das razões pelas quais isso acontece.

Brett Johnson 38:07

Então, é se, você sabe, assim, à medida que essas coisas se tornam mais públicas, e como entendemos, você sabe, a Colonial Pipeline tentou e a Experian tentou adiar um estagiário. Você sabe, evidentemente, o mesmo estagiário continua sendo contratado em todas essas empresas que sofrem violações, para ouvi-las contarem. Acho que, à medida que mais informações se tornam públicas e vemos como esses ataques são, geralmente não são ataques sofisticados, mas apenas ataques oportunistas. Acho que a compreensão de que, à medida que continuamos tendo conversas como essa, acho que a compreensão da consciência se espalha, ei, não são essas coisas sensuais, não são esses gênios da computação que operam nas sombras que ninguém consegue captar. Não é. São esses caras que estão escaneando essas coisas. Eles estão lendo livros brancos. Eles estão sendo diligentes em procurar acesso. Eles estão entendendo que, se estiverem em uma vertical e conseguirem comprometer uma empresa nessa vertical com esse ataque, provavelmente esse mesmo ataque funcionará nessas outras empresas na mesma vertical. Então, é entender essas coisas. É compreensão, é compartilhar e colaborar. Se eu sou uma empresa em uma vertical específica, como infraestrutura, financeira ou qualquer outra, e estou vendo minha empresa ser atingida por esse ataque específico. Se eu estiver compartilhando e colaborando com outras empresas na mesma vertical, isso significa que essas outras empresas podem se proteger antes que o ataque aconteça. Se eu não estiver fazendo isso, isso significa que estou tentando obter uma vantagem competitiva e, você sabe, implementarei a segurança aqui e deixarei meus outros concorrentes serem consumidos vivos. É, está submerso, é ter a mente aberta. É ser objetivo. Desde o início, entendemos que precisamos cuidar uns dos outros. É mais do que cuidar de nós mesmos.

Raghu Nandakumara 39:56

Nessa medida. Você pensa com muito do que é? Regulamentos, etc., que estão evoluindo com o tempo, e há uma grande importância sendo dada aos relatórios, relatórios de incidentes, relatórios de impacto e assim por diante. Você acha que isso está impulsionando uma cultura muito mais transparente? Você acha que as organizações se sentem mais confortáveis em denunciar ataques cibernéticos?

Brett Johnson 40:19

Não tenho certeza se eles estão mais confortáveis. O problema, considere as regulamentações, tendemos a ter pessoas introduzindo regulamentações que não entendem o setor que estão tentando regular. Você assistiu a algumas dessas audiências de criptomoedas que estavam acontecendo, você podia ver os olhos de vidro dos senadores e deputados que estavam pensando e eles vão regular as coisas? Oh meu Deus! Então, esse é um dos problemas. Outro problema é que a reportagem, embora eu seja totalmente a favor de que seja divulgada, também defendo que essas outras vítimas em potencial se protejam antes de serem divulgadas. Porque por que a Equifax foi atingida? A Equifax foi atingida porque a Apache anunciou um patch. A Equifax não os coloca; em 24 horas, eles são comidos vivos. Acho que é preciso reservar um tempo antes de se tornar público para que essas outras empresas implementem a segurança, porque uma atualização é apenas uma transmissão para cada criminoso do planeta dizendo a eles em qual porta bater. Sim, acho que precisa haver algum tipo de regulamentação em que uma empresa violada precise primeiro poder compartilhá-la com outras empresas em sua vertical. Essas outras empresas precisam agir imediatamente sobre isso, implementar a segurança adequada. E, nesse ponto, ela poderia ser tornada pública para que essas outras empresas não fossem vítimas do anúncio de uma violação.

Raghu Nandakumara 41:51

Acho que esse é um ponto muito bom porque, e você meio que falou sobre isso antes, na maioria das vezes, é que quando uma organização, uma vertical específica, é vítima de um ataque cibernético específico que está explorando uma vulnerabilidade específica, na maioria das vezes, esse mesmo tipo de conjunto de tecnologias está sendo usado pela grande maioria do grupo de pares. Então, você está certo. Então, como no caso do compartilhamento de informações, deveria ser como priorizar o compartilhamento dentro do seu grupo de colegas, mas também é quase como as regras da Chatham House, certo? Eles compartilham, mas não o tornam público até que tenhamos tempo suficiente para fazer nossa própria diligência e garantir que estejamos pelo menos protegidos, certo? Porque da próxima vez, um de nós estará aqui e compartilharemos com vocês, e vocês também se beneficiarão da mesma forma. Então, pouco antes de passarmos para a próxima coisa, certo? Então, vemos muito foco no momento e, na verdade, nos últimos anos, já que o MITRE codificou a estrutura de ataque, e vemos muito foco em táticas, técnicas e procedimentos. E minha perspectiva sobre isso é que as táticas dos atacantes realmente não mudam, certo? É o mesmo conjunto de táticas que são executadas repetidamente. As técnicas e os procedimentos podem ser alterados com base na tecnologia, com base na maturidade da organização que eles estão tentando atacar. Tipo, eu acho que essa compreensão dos TTPs é importante. Você acha que estamos excessivamente focados em TTPs versus similares? Voltar ao que você disse é abordar a causa raiz de por que esses TTPs são acessíveis, que é a falta do básico. Qual é a sua perspectiva?

Brett Johnson 43:27

Acho que, antes de tudo, você precisa abordar essas causas raízes, com certeza. Ao mesmo tempo, você sabe, como a conversa sobre IA, você sabe, nós temos, toda empresa quer ter algum tipo de componente de IA, e toda empresa quer dizer que os criminosos estão usando IA. Você pode fazer uma observação muito boa, e é isso que eu digo: digo que um criminoso ou atacante não mudará a forma como está atacando, a menos que algo o force a mudar isso. Sim, você sabe, por que eu faria isso? Por que eu começaria a usar a IA se eu já sou selvagem e extremamente bem-sucedido com o que estou fazendo? Eu não faria, eu não faria. Tem que haver algo que me obrigue a mudar. Sabe, para responder sua pergunta, acho que você precisa absolutamente, de qualquer forma, continuar com o TTP, isso. Eu não acho que isso seja uma coisa ruim. Mas entenda que há muita conversa estranha por aí sobre tentar vender um produto de segurança. Você sabe, é por isso que eu precisaria usar a IA. Na verdade, tenho um caso de uso para isso antes de você começar a apresentar esse argumento. Como eu disse agora, está sendo usado até certo ponto por criminosos. No entanto, há muito mais conversa do que uso. Entenda que a ideia do que está forçando um atacante a mudar agora e depois a jogar com o TTP a partir daí, mas a todo custo, faça os detalhes da segurança adequada. Você sabe que não pode exagerar que mais de 90% dos ataques são usados em explorações, não é? Isso não é Petya em poucas palavras. Você sabe, conecte isso e você estará mais seguro do que não.

Raghu Nandakumara 45:06

Sim, totalmente. E eu acho que isso é verdade, não pode ser repetido o suficiente. E acho que, na verdade, combinando esses dois, dois pontos que você fez, se você abordar esses 90%, você automaticamente forçará uma mudança no comportamento dos atacantes, porque essas coisas que vivem da terra, você meio que não usou essas palavras aqui, mas em conversas anteriores é que não há sofisticação técnica significativa na maioria dos impostos, certo? Eles estão vivendo da terra. Mas se dermos a eles, se limitarmos ou minimizarmos o quanto da terra eles podem viver, certo? Isso forçará uma maior sofisticação técnica, o que tornará as coisas mais difíceis ou nos dará mais maneiras de detectar e responder.

Brett Johnson 45:54

Você está certo. Eu realmente não abordei isso especificamente. Não somos gênios da computação. Tudo bem, alguns de nós são muito bons. Então, eu de nós até somos. Mas você não precisa ser um hacker, você não precisa ser um gênio da computação para vitimar uma empresa ou um indivíduo. Para ter sucesso, você não precisa fazer isso. O que eu tenho que fazer é compartilhar, trocar e colaborar uns com os outros. Essa é a única coisa que preciso fazer para ter muito sucesso. Entenda que, se você conseguir tirar da cabeça que esses atacantes são sofisticados e gênios da computação, esse ponto que praticamente nivela o campo de jogo, essa abertura, que permite que você tenha a mente aberta o suficiente para dizer, ei, esses caras não são gênios. Eles não são, eles não são realmente brilhantes. Quero dizer, alguns deles são, alguns deles não são. Mas quando você abre sua mente para isso, isso permite que sua mente comece a ser capaz de dizer: “Ei, eu posso resolver esses problemas”. Eu posso. São apenas as porcas e os parafusos. É, está examinando a paisagem e dizendo: Ei, acontece que eu tenho essas portas abertas das quais eles vêm reclamando há anos, que eu preciso fechar coisas assim. Acontece que eu estou, eu estou, eu estou permitindo o acesso remoto. Sim, sim, são coisas assim. Então, você conserta isso e você vai ficar bem. Honestamente, não é, não é muito complicado. Não é.

Raghu Nandakumara 47:17

Gosto muito de como você expressa isso, porque é pensar como um atacante, mas lembre-se de que o atacante está tentando fazer a coisa mais simples possível. Então, pense nas coisas simples que você precisa resolver, e isso lhe dará muito mais retorno. Acho que é isso que você está dizendo.

Brett Johnson 47:36

Sim, você começa por aí. Você começa aí. Não estou procurando se a maioria dos ataques é baseada em dinheiro, e sim, estou procurando o acesso mais fácil, e é por isso que você vem com essa abordagem de segurança em camadas. Entendendo que, se estou atacando você por uma razão ideológica, não me importa quanta segurança você tenha, estou procurando superar cada coisa que você tem. E isso é um problema, porque cada componente de segurança que você tem instalado pode ser ignorado se me esforçar o suficiente. Mas os ataques ideológicos são um tipo diferente de ataque. A maioria dos ataques é baseada em dinheiro ou em status. Então, isso significa que, nessa abordagem de segurança em camadas, você está tentando colocar tantas camadas que não vale a pena passar por elas. Vou encontrar outra vítima. Sim, e isso é o que importa.

Raghu Nandakumara 48:27

Sim, com certeza. Então, vamos mudar um pouco de rumo, não massivamente. Quando as organizações pedem seu conselho sobre como devem melhorar sua estratégia de segurança cibernética, certo? O que você normalmente oferece a eles como pérolas de sabedoria como ex-cibercriminoso?

Brett Johnson 48:47

Bem, estamos falando sobre isso agora. É compartilhar, trocar informações, e essa é uma das razões pelas quais gosto muito de conferências. Pelo menos em conferências, você pode conhecer outras pessoas que estão na mesma vertical em que você está, que trabalham nos mesmos tipos de cargos em que você trabalha. Embora existam regras que você não deveria compartilhar e colaborar, você pode pegar o telefone e dizer: “Ei, Bill, isso é o que estamos vendo aqui. Talvez, talvez você queira fazer algo sobre isso.” Então, você tem pelo menos a capacidade de fazer essas conexões e aquela rede que importa no final do dia. A outra coisa é entender, como eu disse há pouco, que não me importa qual é o produto turístico do Security Service que você criou. Existe, não há bala de prata. Não há. Você terá empresas de segurança que dirão: “Você só precisa do meu produto. Isso vai curar tudo.” Isso é o que chamamos de conversa sobre segurança cibernética. É a mesma coisa que dizer, eu ainda vou te respeitar pela manhã. Não, eles não vão. Então, entenda, entenda que é necessária essa abordagem em camadas, mas também entenda que você. Se você sabe por que está sendo atacado, status, dinheiro, ideologia, se sabe quem está te atacando, e há apenas sete tipos diferentes de atacantes, você tem criminosos, hacktivistas, terroristas, estados-nação, informantes, hackers para contratar, garotos roteiristas. Esses são os sete. Você sabe quem está te atacando. Você pode descobrir por que eles estão te atacando. A partir disso, o que eles estão procurando? Bem, eles estão apenas procurando informações, acessando dados ou dinheiro. Então, se você puder entender essas coisas, quem são, por que estão atacando o que estão procurando e projetar segurança em torno disso, o que essa pessoa está procurando? É que você não vai tentar criar segurança para algo que ninguém jamais atacará você, com certeza. Portanto, concentre-se no que eles estão procurando, em quem são e por que estão atacando a segurança do design. É entender seu lugar nesse espectro de crimes cibernéticos, porque você tem um. E a forma como vou te atacar, depende absolutamente de quem você é e do que você faz. Descubra isso. Projete a segurança, faça as porcas e parafusos. Sabe, eu não sou o cara com quem falei com um cara, caramba, foi, provavelmente foi há cinco anos. Ele trabalhou em uma instituição financeira e disse: “Ei, temos o Splunk”. Eu disse: “Sim”. Ele diz: “Eu não sei como usar o Splunk.” Eu disse: “Sim, é seu próprio idioma, não é?” Ele diz: “Sim, é muito difícil”. Eu disse: “Então, o que você está fazendo com isso?” “Bem, nós o conectamos a um computador e ele não está conectado a nada.” Esse é o cara que tem mais orçamento do que você precisa, você sabe, e o governo federal não gosta disso. Doar orçamentos e tudo o que a agência não usa precisa voltar atrás, para que a agência tente encontrar coisas em que gastar esse dinheiro. Muitas empresas são assim. Você sabe, é que se não usarmos o orçamento, eles vão cortar nosso orçamento no próximo ano. Essa é a maneira errada de pensar que você precisa superar essa mentalidade e entender que sua função é proteger o ambiente para você, seus clientes ou seus clientes. E ainda não estamos lá. Nós absolutamente não estamos lá. Mas é disso que eu falo, é que, você sabe, eu falo sobre, se os tipos de componentes, você sabe, se você está no setor financeiro, você tem esse componente de verificação de identidade, você entende como os atacantes podem superar isso? Então, você também precisa desses outros componentes para ter certeza de que está analisando as coisas, ou seja, está analisando os dados em geral. Como eu, trabalhei para a empresa há alguns anos, e eles me nomearam Diretor Criminal. Foi um truque. Foi absolutamente um truque. Eles negam até hoje que: “Oh, não, estamos falando sério. Você não era, era um truque.” Então, enquanto eu trabalhava lá, começamos a ver isso, esse homem do meio atacando, e é porque os atacantes lêem livros brancos. E eles também lêem white papers há anos e entenderam que, ei, existe essa pressão para se livrar das senhas, então você está vendo muitos tokens de sessão sendo roubados agora, muitos ataques de injeção de cookies. Foi esse ataque, e ainda hoje, esse ataque, que teve muito sucesso contra muitas instituições financeiras. E a razão pela qual funciona é porque essa instituição financeira está simplesmente confiando nesse cookie. Se você tem o biscoito, você tem que ser a pessoa certa. Mas se eles analisassem todos os dados disponíveis para essa conta, veriam uma mudança no dispositivo ou no IP ou veriam essas anomalias diferentes aparecerem. Então, eu também falo sobre analisar os dados, porque isso importa. Os dados lhe dirão a verdade sobre o ambiente e a transação que está acontecendo. Se você não está analisando os dados ou está apenas analisando pequenas partes dos dados gerais, está prestando um péssimo serviço a si mesmo e aos seus clientes, um desserviço. Então, ele também está analisando os dados.

Raghu Nandakumara 53:45

Então, você oferece algum conselho sobre, por exemplo, as principais estratégias que as organizações devem adotar, como, por exemplo, o topo da conversa que estávamos discutindo, o tipo de confiança e o que significa confiança. E nos últimos 10 a 15 anos, toda a estratégia Zero Trust se tornou uma espécie de destaque, por exemplo, quais são suas perspectivas sobre a estratégia certa para as organizações adotarem o Zero Trust, etc.?

Brett Johnson 54:10

Acho que estou absolutamente convencido da Zero Trust. Eu acho que, e falo sobre isso até certo ponto, é, eu mencionei que antes, para eu vitimizar você, eu tenho que estabelecer um certo grau de confiança. E eu realmente acredito nisso: todo novo engajamento entre o cliente e a organização deve ser do ponto de vista de Zero Trust. Você sabe, não é algo que: “Ei, já confiamos em você antes. Sabemos que esse login ou cookie foi válido desde a última sessão. Então, está chegando novamente. Você está pronto para ir.” Não, não deveria ser assim. É entender que, como atacante, é muito fácil para mim roubar um biscoito. É muito fácil para mim roubar uma identidade ou um número de cartão de crédito ou falsificar a impressão digital de um navegador e entrar assim. Então, é garantir que cada nova interação seja verificada. E isso remonta a Reagan, certo? Confie, mas verifique. Você sabe, sim, eu vou confiar em você, mas eu vou verificar cada coisa que você está dizendo. Isso é o que importa. Ao mesmo tempo, e isso é, isso é, essa é uma das coisas que continua sendo difícil para mim apreciar. Você não quer causar tanto atrito nesse ambiente a ponto de o cliente ir para outro lugar. Sim, isso se torna um grande problema. E, sim, você pode impedir todas as fraudes do mundo. A única coisa que você precisa fazer é fechar o site, ele o interromperá. É você que não quer você. Você quer ter esse equilíbrio entre segurança e atrito, mas esse equilíbrio absolutamente precisa pesar mais do lado da segurança. Tem que ser. Então, em segundo plano, trata-se de colocar as coisas em prática para que você possa prever quanta verificação precisa ser feita em cada interação que está ocorrendo. Você sabe, está vindo de um IP diferente do normal? Parece que está vindo de um proxy em potencial ou está sendo redirecionado de algum lugar? O que está acontecendo? É um dispositivo novo? É um dispositivo antigo que está chegando? Esse mesmo dispositivo ou mesmo intervalo de IP tem acesso a outras contas? Quantas vezes eles perderam a senha? É uma senha antiga que está sendo usada como uma solicitação de alteração de senha? Quero dizer, todas essas coisas podem ser feitas em segundo plano, antes que o cliente seja atingido por qualquer coisa que possa causar atrito adicional. Então, essas são as coisas que você precisa fazer. Faça, faça tudo o que puder em segundo plano para antecipar o potencial de fraude e, em seguida, aja nesse momento. É isso que se torna importante. Você sabe, houve um estudo feito outro dia sobre CAPTCHAs, basicamente que, quero dizer, eles criticaram fortemente os CAPTCHAs. E sejamos honestos, muitos CAPTCHAs estão por aí. Não há nada além de atrito para os mocinhos. E isso é, isso é algo com o qual você tem que ter cuidado, tudo bem. Então, está fazendo coisas em segundo plano para que você não precise atrasar esse cliente.

Raghu Nandakumara 57:14

Qual dessas fotos tem um ciclo? Sim, você acaba, estávamos falando sobre isso, então você acaba selecionando tudo, porque de repente tudo parece que faz parte de um ciclo, e então diz que está errado, tente novamente, certo? E é e então você está 40 minutos depois. Sim, sim, exatamente, exatamente. Tudo bem Você nos deu muito do seu tempo hoje, e poderíamos continuar para sempre. Brett, antes de terminarmos, por que você não nos deixa com uma anedota divertida com a qual todos nós poderíamos aprender?

Brett Johnson 57:45

Uma anedota divertida? Ok, sim, sim. Sabe, eu falei sobre confiança e o primeiro crime online real que eu cometi. E as pessoas podem ter me ouvido falar sobre isso antes, mas é uma espécie de microcosmo da forma como a maioria dos golpes funciona. Eu estava, eu estava em Lexington, Kentucky. Eu não estava me dando muito bem com fraudes de rua. Encontrei o eBay, gostei muito do eBay. Não sabia como ganhar dinheiro. E uma noite, eu estava assistindo Bill O'Riley como apresentador da edição interna. Eles estavam traçando o perfil de Beanie Babies, e o Beanie Baby de que estavam falando era Peanut, o elefante azul royal, vendido por $1.500. Então, comecei a procurar por Peanut. Não consigo encontrá-lo. Acabei comprando um Beanie Baby Elephant cinza por $8, passei por aqui e comprei um pouco de tinta azul, fui para casa e tentei pintar o garotinho. Acontece que ele era feito de poliéster. Não aguentaria muito bem a tinta. Tire-o daqui e parece que ele está com sarna. Mas eu roubei $1.500 para a senhora. Achei uma foto real na minha. Publicou isso. Ela pensou que eu tinha a coisa real. Ela vence a licitação. Eu roubei $1.500 para ela, e foi aí que aprendi a primeira lição do cibercrime. Ela sabia quem eu era, mas se você atrasar uma vítima por tempo suficiente, você continua adiando. Muitos deles ficam exasperados, jogam as mãos para o alto, vão embora e não denunciam o crime. Então, essa é realmente a primeira lição. A maioria das pessoas não denuncia o crime. A maioria das pessoas desiste. Tudo bem, então essa é a primeira lição. Mas também é entender que essa coisa também é um microcosmo da maioria desses golpes. Você tem uma vítima, aí, uma vítima em potencial que deseja algo. Eles estão querendo alguma coisa. Bem, esse desejo me permite, como criminoso, ganhar mais facilmente a confiança da vítima, para ter certeza de que ela está reagindo emocionalmente, não racional ou logicamente. Então, ela confiou na plataforma eBay. Ela confiou na tecnologia. Ela não entendia que eu estava usando uma ferramenta, a imagem de uma ferramenta real, para ganhar confiança, para abrir aquela porta de confiança. Uma vez que essa porta foi aberta, que bom engenheiro social? Sou um bom mentiroso em manipulá-la para me dar dinheiro? Que foi o que eu fiz. Então, o desejo da vítima, a tecnologia, as ferramentas, a engenharia social de estabelecer confiança on-line e, finalmente, aquela pessoa desistindo, indo embora e nunca denunciando o crime às autoridades. Tudo isso é uma espécie de microcosmo para a maioria desses golpes, seja em criptomoedas, no eBay ou no PlayStation 5 ou qualquer outra coisa. Todos esses golpes funcionam online. Entenda isso. Entenda que é um desejo. Você está querendo algo que desejar significa que você vai reagir mais emocionalmente do que logicamente ou racionalmente. É entender que, embora a plataforma exista, não há motivo para você confiar nela de forma inerente. O mesmo vale para a tecnologia Zero Trust. Você sabe, por que eu deveria confiar nisso? Há atacantes e predadores em todos os lugares. Essa é a anedota que eu usaria. Para entender essas coisas no mundo real, tendemos a ter uma consciência situacional muito boa. Sabemos quando estamos em um bairro ruim, quando as coisas estão prestes a estourar ou o que quer que seja. Isso não se traduz muito bem em um ambiente on-line, mas precisamos entender que os predadores estão por toda parte. E se entendermos isso, isso não é para levar sua vida à paranoia, mas é para reconhecer que, ei, os atacantes estão por toda parte. E se entendermos isso, nosso nível de conscientização aumentará e automaticamente ficará mais seguro por causa disso.

Raghu Nandakumara 1:01:19

Fantástico, quero dizer, acho que é o lugar perfeito para encerrar essa conversa em particular. Brett, foi um privilégio e uma alegria falar com você. Então, muito obrigado pelo seu tempo. Não, obrigado, sua e sua honestidade.

Brett Johnson 1:01:35

Eu agradeço. Muito obrigado, e adorei falar com você, de verdade. Muito obrigada.

Raghu Nandakumara 1:01:39

Obrigado por assistir ao episódio desta semana do segmento para obter ainda mais informações e recursos de confiança zero. Confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter na Illumio e, se gostar da conversa de hoje, poderá encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.

‍