Fokus på Dan Kaminsky Fellow 2023: Dr. Gus Andrews

Efter et indledende år med finansiering af intensivt arbejde med at skalere den måde, sikkerhedsforskere rapporterer og automatiserer open source-sårbarhedsrettelser, diversificerer Human Security Dan Kaminsky Fellowship sin støtte med et helt nyt område inden for sikkerhedsforskning i år. Denne gang giver stipendiet Dr. Gillian "Gus" Andrews økonomiske og datamæssige ressourcer til at finde måder at oversætte bedste praksis for trusselsefterretning til verden af ​​menneskerettigheder og borgerlige frihedsrettigheder.

Målet er at begynde at formalisere måder at spore koordinerede chikane-, stalking- og desinformationskampagner mod aktivister, journalister, menneskerettighedsarbejdere og ikke-statslige (NGO) ansatte, der sætter deres liv og frihed på spil.

Forfatter af Bevar roen og log på, Andrews er en digital læsefærdighedsekspert med dybe rødder i både menneskerettighedsfortalersamfund og cybersikkerhedsverdenen. Hun underviser på kandidatniveau på Columbia University's Teachers College om teknologi og kultur; teknologi og læsefærdigheder; antropologi; og uddannelse. Hendes forskning har ført hende ned ad professionelle veje med at udforske brugeradfærd og perfektionere design for at skabe bedre brugeroplevelser for en række organisationer, herunder Linden Labs, Open Internet Tools Project (OpenITP), Simply Secure og Thoughtworks. Samtidig med dette arbejde har hun også forfulgt ubarmhjertige personlige interesser i både menneskerettighedsaktivisme og cybersikkerhed.

På borgerrettighedssiden var Andrews involveret i nogle af de tidligste aktiviteter i bevægelsen Independent Media Center (Indymedia), som dukkede op i begyndelsen af ​​1990'erne og slutningen af ​​2000'erne for at lette kommunikationen om aktivisme omkring en række emner i en tid før blogs eller sociale medier. Som en del af denne deltagelse hjalp Andrews med at stifte New York City Indymedia, som tilfældigvis var samlokaliseret med 2600 Magazines hackerplads i New York. Den nærhed fik hende til at gnide albuerne med folk som Emmanuel Goldstein og 2600-besætningen, som igen fik hende til at deltage i Hackers on Planet Earth Conference (HOPE) regelmæssigt og til sidst førte til, at hun blev dybt forbundet i hackersamfundet.

Sidste år havde Andrews krydsbestøvet alle sine lidenskaber, da hun hjalp DISARM Foundation med at bygge et minimalt levedygtigt produkt til en trusselsintelligensramme til at spore desinformationskampagner på samme måde som MITER ATT&CK-rammerne. Dette fik hende til at fundere over, hvordan trusselsefterretningspraksis og discipliner potentielt kunne bruges til at hjælpe med at beskytte menneskerettighedssamfundet, hvilket igen ansporede hendes forslag til Human Security til dette års Dan Kaminsky Fellowship.

Kaminsky var Humans medstifter og en lidenskabelig fortaler for at gøre verden til et bedre sted gennem teknologi og for at finde innovative kraftmultiplikatorer, der gør det muligt elegant at løse nogle af internettets hårdeste omfattende problemer inden for privatliv og sikkerhed. I 2022 var Dan Kaminsky Fellow Jonathan Leitschuh, der skabte bølger med sin forskning i brugen af ​​pull-anmodninger til at automatisere og skalere rettelser i open source-software.

Andrews fik dette års stipendium med det mål at forske i, hvordan menneskerettighedssamfundet kan skabe mere formelle midler til at dele trusselsefterretningsoplysninger. Som en del af det vil hun også undersøge forbindelserne mellem traditionelle cybersikkerhedstrusselaktører og de trusselsaktører, der chikanerer og angriber menneskerettighedsarbejdere.

Dark Reading fangede for nylig Andrews for at diskutere hendes baggrund, de fremskridt, hun har gjort indtil videre i sin indledende forskning, hendes mål for resten af ​​stipendiet, og hvad hun håber, forskningen vil give på længere sigt. Her er nogle af højdepunkterne fra den Q&A-session.

Mål for fællesskabet

Andrews: Fellesskabet bestod i virkeligheden af ​​to komponenter. Den ene var at støtte det fællesskabs evne til at indsamle, dele og analysere og gøre brug af digital trusselsinformation i højere grad, end de har været, fordi de har et certifikat i deres gruppe, men det er en slags lavt niveau, hvad der rent faktisk bliver delt der. . Der er ikke så mange ting. Det var halvdelen af ​​forslaget. Og den anden del af forslaget var, at jeg søgte at sammenligne indikatorer for kompromis mellem desinformationskampagner og traditionelle cybertrusler og se, om det er fælles aktører, om der er fælles infrastruktur, sådan noget.

Leder efter links mellem dårlige skuespillere online

Andrews: Du har måske en kvindelig journalist, og hun er ude og udføre sit arbejde, men bliver angrebet af skyggekræfter eller store online-fællesskaber, folk koordinerer en slags kampagner til at sige: "Du skal ikke udføre dit arbejde, du skal blive hjemme. ” Og lave andre forfærdelige kønsbestemte angreb, nogle gange meget værre end det.

Mange af disse ting har en slags koordineret, uægte smag over sig. Der er en masse aktivitet, som tydeligvis har købt et botnet, nogen laver sådan en stor kampagne. Og så fra begyndelsen er en af ​​mine sanser for dette arbejde, at en af ​​måderne, jeg virkelig kunne hjælpe, er hvad hvis vi kan begynde at identificere kommandoen og kontrollen eller bare en hvilken som helst indikator for, hvad der foregår med dette, og se om det er noget, vi kan gøre for at støtte disse mennesker, der bliver angrebet. Og det er faktisk ikke noget, som dette samfund har haft kapacitet til at gøre så meget.

Jeg mener, især når det kommer til Rusland, jeg er klar over, at de bruger begge slags (chikaneteknikker). De vil have gårde med rigtige mennesker, og så vil der også være mere automatiserede ting. Jeg synes, det er værd at grave nærmere i det og se, hvad der er der.

Menneskerettighedsfællesskabet håber hun at kunne hjælpe

Andrews: Det er en interessant ting at beskrive, fordi det bogstaveligt talt er en løs tilknytning til NGO'er og så folk, der arbejder selvstændigt. Folk går på en måde ind og ud af at arbejde hos Facebook, arbejde hos Google, og så vil de komme tilbage og arbejde i NGO-området igen. Men som så mange ting i det digitale sikkerhedsområde, og især trusselsinformationsområdet, har vi opbygget en masse tillid gennem årene. Vi har alle mødt hinanden til konferencer, og vi siger: "OK, det her er en rigtig person. Vi stoler på dem."

For mig og for mange mennesker i dette samfund repræsenterer digital trusselsintelligens en masse opkvalificering. Der er bare ikke så meget i vejen for trusselsefterretninger der, og alle er virkelig interesserede i at gøre mere af det.

Hvordan en mediekendskabsforsker blev udnyttet i hackerfællesskabet

Andrews: Jeg begyndte at deltage i Hackers on Planet Earth-konferencerne, som et tilfældigt barn, der havde lavet en lille smule aktivistting. Men jeg begyndte at deltage i det og bare gå til hver eneste tale. Jeg ville sidde igennem alle samtalerne. Og der er ingen pauser mellem samtalerne, der er ingen pauser til frokost. HOPE er stadig den dag i dag en konference for 18-årige. Og du skal minde dem om, "gå i seng, spis et måltid og gå i bad." Det er stadig den konference, på trods af at Emmanuel nu er godt oppe i tresserne. Ja, HOPE er en meget slentre-op-og-du-vil-bare-lære-ting-konference. Så det var sådan, jeg lærte en masse ting.

Jeg begyndte at tale ved Hackers on Planet Earth-konferencen. Jeg kom faktisk ind på Matt Blazes panel et år. Og Matt og jeg har været venner siden da. Vi har faktisk været igennem meget sammen. Så jeg gjorde det på en måde afslappet uden for min doktorgrad i uddannelse.

Og jeg havde den slags underlige adskilte ting, hvor jeg var nødt til at holde mit hackerarbejde og mit uddannelsesarbejde adskilt i rigtig lang tid, i den grad, at da jeg dimitterede fra Teachers College, talte jeg med Renee Hobbs, som er som et ledende lys. af mediekendskab. Og hun kiggede på mit CV, der sagde: "Jeg kan ikke se din hjemmekonference. Der er ikke noget klart sted, hvor du har været." For jeg havde ikke talt om, at jeg på det tidspunkt havde gået til Hackers on Planet Earth-konferencen i 10 år.

Dette var alt sammen parallelt, indtil jeg tog dette job på Open Internet Tools Project i New America (i 2013), og så var jeg endelig i stand til at bringe disse ting sammen.

DISARM Foundation

Andrews: Sidste sommer arbejdede jeg med DISARM-fonden, som arbejder på at skabe en MITER ATT&CK-lignende ramme til grundlæggende at forstå desinformation.

Og jeg gennemgår MITRE ATT&CK, som viser sig at være lavet af Adam Pennington, som jeg bare kendte som en tilfældig fyr, der var på HOPE. Jeg anede ikke, hvem der udviklede MITRE ATT&CK. Så han og jeg har haft gode samtaler. Han har bragt mig op i fart. Jeg kiggede på MITER ATT&CK, og jeg tænkte: "20 års HÅB, og jeg forstår fuldstændig, hvad der sker med det her. Måske skulle jeg undersøge trusselsanalysen."

Så det er lidt af et spring og lidt af et stræk for mig, men jeg forstår, hvad alle angrebene er, og jeg ved, hvordan man taler med folk og bruger MITER ATT&CK-rammen til at være som: "Her er grunden til, at nogen måske brug denne teknik til at ændre denne teknik og derefter få yderligere adgang og eskalering af privilegier herovre." Det er en slags rodet vej, der endelig har bragt mig et sted, hvor jeg kan lave trusselsanalyse.

Er i øjeblikket på lyttetur

Andrews: Jeg laver stadig, hvad jeg tænker på lige nu som en lyttetur. Jeg er på en måde ved at pakke den del af det ind. Jeg laver virkelig også arbejdspladsetnografi, fordi min uddannelse er en antropologi til en vis grad også inden for uddannelse og gå, "I denne arbejdsgang, disse arbejdsgange om deling af information, hvad fungerer ikke for vores samfund, hvor er afbrydelserne? Er det et spørgsmål om, at folk ikke har kompetencerne? Er det et spørgsmål om, at de ikke har tid? Er det et spørgsmål om, at folk ikke har adgang? Er det et spørgsmål om manglende tillid?” Så prøver at finde ud af, hvad der skal gøres der.

Udfordringerne ved Threat Intel i menneskerettigheder

Andrews: Vi har ikke en netværksperimeter, fordi det er en hel flok tilfældige organisationer. Vi hører fra trusselslaboratorier i felten i steder som Sydamerika, som nogle gange har en journalist, der kommer ind, og de kan efterlade deres telefon hos os i det mindste længe nok til, at vi kan tage et billede, og så kan vi lave analysen.

Men for det meste er der steder i verden, hvor nogle af de mennesker, der kan komme ind med noget mistænkeligt, der sker på deres enhed, de kun har én enhed til hele deres familie, og deres levebrød afhænger af det. Og det er altså ikke noget, hvor du kan efterlade enheden i et stykke tid. Plus, der er et begrænset antal mennesker, der ved, hvordan man gør disse ting (i samfundet).

En anden af ​​vores udfordringer med kommunikation har virkelig været, hvor uformelle kommunikationskanalerne er. Lad os sige, at du har en flok syriske journalister, der dokumenterer grusomheder på gaden, og at de gør det på Facebook, og så siger Facebook, at "Dette overtræder vores gore-politik." Og tager den ned. Og de syriske journalister siger: "Vær venlig ikke at slette det. Det er faktisk dokumentation for krigsforbrydelser.”

Så det meste af det, der er sket, de fleste af kanalerne til at få det rettet, har været baseret på individuelle mennesker. De har været uformelle. Jeg var faktisk til en rigtig god session i sidste uge, og nogen fra Apple deltog, hvilket var rigtig godt, og hun sagde: "Vi arbejder på at formalisere den slags civilsamfundsforbindelser, og den måde, vi gør det på, er faktisk. modellerer det på vores Bug Bounty-program."

Sådan kommer du til en vej til bedre OSINT

Andrews: Jeg har følt, at det, der mangler, måske er en vis mængde open source-efterretningsarbejde (OSINT). Vi har organisationer, der udfører det arbejde. Der er nogle rigtig gode. Min favorit faktisk i disse dage er Global Disinformation Index, som virkelig samler en masse arbejde på, hvor annoncer understøtter hadefulde ytringswebsteder i et vist omfang, og derefter laver kampagner omkring det, der virkelig følger pengene. Og så har jeg stort set kompileret et regneark - fordi regneark er mit kærlighedssprog - af alle de mulige datasæt, som vi kunne bruge til at kigge på.

Det, jeg hører fra folk, er, at der er problemer omkring rapporteringsstrukturerne og at få tingene gjort omkring den slags ting. Jeg ender med at fokusere på den pipeline. Jeg arbejder allerede med en gruppe mennesker, der for det meste bare arbejder på en triage-arbejdsgang, som vi har, der ligner en hjemmeside, hvor folk kan gå og sige: "Hej, jeg har nogle problemer." Og vi sender dem ned i en pipeline af: "Gør disse ting, og tjek så ind med disse organisationer. De kan måske hjælpe dig.”

Jeg arbejder sammen med dem om deres dokumentationsworkflow og hjælper med at afklare, "Hvad er det, du skal samle for at fortælle folk, der gerne vil være i stand til at hjælpe dig?" Som du kan se, går jeg i mange retninger på én gang.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
• Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
• Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
• Kilde: https://www.darkreading.com/edge/spotlight-on-2023-dan-kaminsky-fellow-dr-gus-andrews