Katie Moussouris es una investigadora estadounidense de seguridad informática , emprendedora y pionera en la divulgación de vulnerabilidades , y es mejor conocida por su trabajo continuo en la defensa de la investigación de seguridad responsable. Anteriormente miembro de @stake , creó el programa de recompensas por errores en Microsoft [1] y participó directamente en la creación del primer programa de recompensas por errores del Departamento de Defensa de EE . UU . Para piratas informáticos . [2] [3] Anteriormente se desempeñó como directora de políticas en HackerOne , una empresa de divulgación de vulnerabilidades con sede en San Francisco, California, [4]y actualmente es el fundador y CEO de Luta Security. [5]
Katie Moussouris | |
---|---|
Ciudadanía | americano |
Ocupación | Investigador de seguridad , CEO , Emprendedor |
Empleador | Luta Security HackerOne Microsoft Symantec @stake |
Conocido por | Programas de recompensas por errores , divulgación de vulnerabilidades |
Biografía
Moussouris se interesó por las computadoras a una edad temprana y aprendió a programar en BASIC en un Commodore 64 que su madre le compró en 3er grado. [6] [7] Fue la primera chica en tomar Ciencias de la Computación AP en su escuela secundaria. [6] Asistió a Simmons College para estudiar biología molecular y matemáticas y simultáneamente trabajó en el Proyecto del Genoma Humano en el Instituto MIT Whitehead . Mientras estaba en Whitehead, pasó de asistente de laboratorio a administradora de sistemas y, después de tres años, se convirtió en administradora de sistemas del Departamento de Aeronáutica y Astronáutica del MIT, donde ayudó a diseñar el sistema informático para un nuevo laboratorio que se abriría en 2000 . [6] Durante este tiempo también trabajó como administrador de sistemas en la Facultad de Ingeniería y Ciencias Aplicadas de Harvard . Se mudó a California para trabajar como desarrolladora de Linux en Turbolinux y comenzó su programa de respuesta de seguridad informática. [7] [8] Estuvo activa en la escena hacker de la costa oeste y se unió formalmente a @stake como tester de penetración en 2002 por invitación de Chris Wysopal . [9]
Symantec
Moussouris se unió a Symantec en octubre de 2004 cuando adquirió @stake . [10] [11] Mientras estuvo allí, fundó y administró Symantec Vulnerability Research en 2004, que fue el primer programa que permitió a los investigadores de Symantec publicar investigaciones sobre vulnerabilidades. [12]
Microsoft
En mayo de 2007, Moussouris dejó Symantec para unirse a Microsoft como estratega de seguridad. [11] Fundó el programa Microsoft Vulnerability Research (MSVR), anunciado en BlackHat 2008. [13] El programa ha coordinado la respuesta a varias vulnerabilidades importantes, incluida la falla de DNS de Dan Kaminsky , [14] y también ha buscado activamente errores en el software de terceros que afectan a los clientes de Microsoft (ejemplos posteriores de esto incluyen Project Zero de Google ).
Desde septiembre de 2010 hasta mayo de 2014, Moussouris ocupó el cargo de estratega senior de seguridad en Microsoft, donde dirigió el equipo de estrategia y alcance comunitario de seguridad de Microsoft como parte del equipo del centro de respuesta de seguridad de Microsoft (MSRC). [15] Ella instigó el premio Microsoft BlueHat para el avance de las mitigaciones de exploits, [16] que otorgó más de $ 260,000 en premios a los investigadores de BlackHat USA 2012. [17] El gran premio de $ 200,000 fue en ese momento el mayor pago en efectivo ofrecido por un proveedor de software. [18] También creó el primer programa de recompensas por errores de Microsoft, [1] que pagó más de $ 253.000 y recibió 18 vulnerabilidades en el transcurso de su mandato.
Norma de divulgación de vulnerabilidades ISO
Moussouris ha ayudado a editar el documento ISO / IEC 29147 desde aproximadamente 2008. En abril de 2016, ISO hizo que el estándar estuviera disponible gratuitamente sin cargo después de una solicitud de Moussouris y Art Manion del Centro de Coordinación CERT . [19]
HackerOne
En mayo de 2014, Moussouris fue nombrado Director de Políticas de HackerOne, una empresa de divulgación de vulnerabilidades con sede en San Francisco, California. [4] En esta función, Moussouris fue responsable de la filosofía de divulgación de vulnerabilidades de la empresa y trabajó para promover y legitimar la investigación de seguridad entre organizaciones, legisladores y responsables políticos.
Serie "Hack the ..."
Mientras estaba en Microsoft, Moussouris comenzó a discutir un programa de recompensas por errores con el gobierno federal ; continuó estas conversaciones cuando se mudó a HackerOne. [20] En marzo de 2016, Moussouris participó directamente en la creación del programa piloto "Hack the Pentagon" del Departamento de Defensa , organizado y examinado por HackerOne. [21] Fue el primer programa de recompensas por errores en la historia del gobierno federal de Estados Unidos. [22] Moussouris siguió el programa del Pentágono con "Hack the Air Force". HackerOne y Luta Security se han asociado para entregar hasta 20 desafíos de recompensas por errores durante tres años al Departamento de Defensa. [23]
Seguridad Luta
En abril de 2016, [24] Moussouris fundó Luta Security, [25] una consultoría para ayudar a las organizaciones y los gobiernos a trabajar en colaboración con los piratas informáticos a través de programas de recompensas por errores.
Compañero de New America
Durante 2015-2016 y 2016-2017, Katie Moussouris se desempeñó como becaria de ciberseguridad en New America , un grupo de expertos con sede en EE. UU . [26] [27]
Enmienda del Acuerdo de Wassenaar
En 2013, el Acuerdo de Wassenaar sobre controles de exportación de armas convencionales y bienes y tecnologías de doble uso se modificó para incluir "software de intrusión". Moussouris escribió un artículo de opinión en Wired criticando la medida como dañina para la industria de divulgación de vulnerabilidades debido a la definición demasiado amplia y alentó a los expertos en seguridad a escribir para ayudar a los reguladores a comprender cómo hacer los cambios correctos. [28] Fue invitada como experta técnica para ayudar directamente en las negociaciones del Acuerdo de Wassenaar de Estados Unidos y ayudó a reescribir la enmienda para adoptar exenciones de descontrol de uso final basadas en la intención del usuario. [29]
Explotar la investigación del mercado laboral
Moussouris fue investigadora visitante en la MIT Sloan School of Management e investigadora afiliada en el Centro de Ciencias y Asuntos Internacionales de Harvard Belfer , donde realizó una investigación económica en el mercado laboral para detectar errores de seguridad. Es coautora de un capítulo de un libro sobre el primer modelo de dinámica de sistemas de la economía de la vulnerabilidad y el mercado de explotación, publicado por MIT Press en 2017. [30]
Testimonio ante el Congreso
En 2018, Moussouris testificó ante el Subcomité de Protección al Consumidor, Seguridad de Productos, Seguros y Seguridad de Datos del Senado de EE. UU. Sobre la investigación de seguridad con fines defensivos. [31]
En 2021, Moussouris testificó ante el Comité de Ciencia, Espacio y Tecnología de la Cámara de Representantes de EE. UU. Sobre la mejora de la ciberseguridad de las cadenas de suministro de software. [32]
Anuncia Donecia Songsong Manglona Lab for Gender and Economic Equity
En 2021, Moussouris donó $ 1 millón de dólares para fundar el Laboratorio de Género y Equidad Económica de Anuncia Donecia Songsong Manglona, en Penn State Law, que lleva el nombre de su madre. El “Laboratorio de Manglona” comenzará con una clínica de litigio de equidad de género destinada a abordar la discriminación financiera en el lugar de trabajo mientras se promueve la equidad económica bajo la ley. [33]
Premios
En 2014, SC Magazine incluyó a Moussouris en su lista Women in IT Security. [12] También fue nombrada como una de las "10 mujeres en seguridad de la información que todos deberían saber", [34] y la "A la que hay que mirar" entre los premios Mujeres de influencia 2011. [35] En 2018, Forbes la incluyó entre las "50 mujeres más tecnológicas de Estados Unidos" . [36]
Presentaciones
- La noche de los vivos Borrador de ISO sobre divulgación de vulnerabilidades, [37] Simposio 2010.
- Los lobos de Vuln Street: el primer modelo de sistemas dinámicos del mercado de 0 días, [38] Conferencia RSA 2015 .
- Panel: Cómo el control de exportación del "software de intrusión" del Acuerdo de Wassenaar afecta a la industria de la seguridad, [39] BlackHatUSA 2015
- Balanceándose desde el Cyberlier: Cómo hackear como si el mañana no existiera sin volar hacia los lados de las regulaciones, [40] Kiwicon 2015
Publicaciones y articulos
- "No todos los hackers son malvados". Tiempo . Consultado el 4 de abril de 2016. [41]
- "Revelación de vulnerabilidad Deja Vu: perseguir el crimen no la investigación". Lectura oscura . Consultado el 4 de abril de 2016.
- "Mundo loco: la verdad sobre las recompensas de errores". Lectura oscura . Consultado el 4 de abril de 2016.
- "Cómo llegué aquí: Katie Moussouris". Publicación de amenazas . Consultado el 6 de abril de 2016.
- "Los piratas informáticos pueden ayudar". The New York Times . Consultado el 18 de junio de 2017. [42]
- "La administración debe continuar buscando cambios en los controles internacionales de exportación cibernética". La colina . Consultado el 18 de junio de 2017. [43]
- "Ha llegado el momento de piratear el planeta". Threatpost . Consultado el 24 de septiembre de 2017. [44]
Demanda de Microsoft
En septiembre de 2015, Moussouris presentó una demanda colectiva por discriminación contra Microsoft en un tribunal federal de Seattle . Ella alegó que las prácticas de contratación de Microsoft mantuvieron una práctica de discriminación sexual contra las mujeres en funciones técnicas y de ingeniería con respecto a las evaluaciones de desempeño , el pago, los ascensos y otros términos y condiciones de empleo. [45] [46]
Referencias
- ^ a b "Ex-Microsoft Bug Bounty dev obligado a descifrar la computadora portátil para el funcionario del aeropuerto de París" . Consultado el 4 de abril de 2016 .
- ^ "Pentágono lanza la primera 'recompensa de errores' de los federales para los piratas informáticos" . CON CABLE . Consultado el 4 de abril de 2016 .
- ^ "Hack the Pentágono: DoD lanza el primer programa federal de recompensas de errores" . Lectura oscura . Consultado el 4 de abril de 2016 .
- ^ a b "HackerOne asegura $ 9 millones, nombra a Katie Moussouris directora de políticas | SecurityWeek.Com" . www.securityweek.com . Consultado el 4 de abril de 2016 .
- ^ "Luta Security" . Luta de Seguridad, Inc . Consultado el 17 de junio de 2017 .
- ^ a b c "GeekGirl de la semana - julio de 1999" . GirlGeeks . Consultado el 13 de abril de 2019 .
- ^ a b McGraw, Gary (julio de 2015). "Charlas de Silver Bullet con Katie Moussouris" . Seguridad y privacidad de IEEE . 13 (4): 7-9. doi : 10.1109 / MSP.2015.89 .
- ^ Moussouris, Katie. "¡Las pruebas de penetración están muertas! ¡Larga vida a las pruebas de penetración!" (PDF) . HackFest 2014 . Instituto SANS . Consultado el 13 de abril de 2019 .
- ^ Fisher, Dennis. " ' Nada va a durar para siempre': una historia oral del LØpht, cuarta parte" . Descifrar . Duo Security . Consultado el 13 de abril de 2019 .
- ^ Rashid, Fahmida. "Hermanas en la seguridad: Saltos de fe de Katie Moussouris" . PCMagazine . PCMagazine . Consultado el 23 de septiembre de 2017 .
- ^ a b Naraine, Ryan. "Fundador de investigación de vulnerabilidades de Symantec se une a Microsoft" . Día cero . ZDNet . Consultado el 23 de septiembre de 2017 .
- ^ a b "2014 Mujeres en seguridad informática: Katie Moussouris" . Revista SC . Consultado el 4 de abril de 2016 .
- ^ Kaplan, Dan. "BLACK HAT: Microsoft para trabajar con terceros a través de vulns" . SC Media US . Haymarket Media, Inc . Consultado el 24 de septiembre de 2017 .
- ^ Lemos, Robert. "Formas de alianza para arreglar el defecto de envenenamiento de DNS" . SecurityFocus . Consultado el 24 de septiembre de 2017 .
- ^ Leggio, Jennifer. "100 cerebros: Katie Moussouris de Microsoft hace que la seguridad sea accesible | ZDNet" . ZDNet . Consultado el 4 de abril de 2016 .
- ^ DuPaul, Neil. "Microsoft BlueHat - 5 preguntas con Katie Moussouris" . Veracode . Veracode . Consultado el 23 de septiembre de 2017 .
- ^ Smith (seudónimo), Sra. "Ganadores del premio Microsoft BlueHat" . CSO Online . IDG Communications, Inc . Consultado el 23 de septiembre de 2017 .
- ^ Kamath, Maya. "Aquí está la lista de los pagos de 'Bug Bounty' más grandes del mundo por parte de empresas de tecnología" . TechWorm . TechWorm.net . Consultado el 23 de septiembre de 2017 .
- ^ Saarinen, Juha. "Estándar de divulgación de vulnerabilidades ISO ahora gratis" . iTnews . NextMedia Pty Ltd . Consultado el 24 de septiembre de 2017 .
- ^ Zetter, Kim. "Bug Bounty Guru Katie Moussouris ayudará a los piratas informáticos y las empresas a jugar bien" . CON CABLE . CON CABLE . Consultado el 24 de septiembre de 2017 .
- ^ Shinkman, Paul D. (1 de abril de 2016). "Para modernizar las fuerzas armadas, el Pentágono recurre a los piratas informáticos" . US News & World Report . Consultado el 4 de abril de 2016 .
- ^ " El programa piloto ' Hack the Pentagon' se abre para el registro" . Noticias del Departamento de Defensa de EE. UU . Departamento de Defensa de Estados Unidos. 31 de marzo de 2016 . Consultado el 24 de septiembre de 2017 .
- ^ O'Neill, Patrick Howell (26 de abril de 2017). "EE.UU. lanza el programa de recompensas de errores 'Hack the Air Force' - Cyberscoop" . Cyberscoop . Consultado el 24 de septiembre de 2017 .
- ^ Brook, Chris (14 de abril de 2016). "Katie Moussouris en piratear el Pentágono, abrazando a los piratas informáticos" . Publicación de amenazas . Consultado el 15 de agosto de 2016 .
- ^ "Luta Security" . Seguridad de Luta .
- ^ "Los becarios de ciberseguridad 2016-2017" . Becarios de ciberseguridad de New America 2016-2017 . Consultado el 19 de junio de 2017 .
- ^ "Los becarios de ciberseguridad 2015-2016" . Becarios de Ciberseguridad 2015-2016 .
- ^ Stevenson, Alastair (22 de julio de 2015). "Un pequeño cambio en este oscuro acuerdo de tráfico de armas podría acabar con la industria de la ciberseguridad" . Business Insider . Consultado el 13 de abril de 2019 .
- ^ Waterman, Shaun (20 de diciembre de 2017). "El lenguaje más reciente del Acuerdo de Wassenaar está haciendo muy felices a los investigadores de seguridad" . CyberScoop . Consultado el 13 de abril de 2019 .
- ^ "Katie Moussouris" . Instituto Nacional de Seguridad . Universidad George Mason . Consultado el 13 de abril de 2019 .
- ^ "AUDIENCIA EN EL SENADO DE EE. UU. - PROGRAMAS DE SEGURIDAD DE DATOS Y BUG BOUNTY: LECCIONES APRENDIDAS" . Blog de Hacker One .
- ^ "Sobre SolarWinds y más allá: mejora de la ciberseguridad de las cadenas de suministro de software" (PDF) .
- ^ "El pionero de la ciberseguridad da $ 1 millón para el laboratorio de equidad de género de Penn State Law | Penn State University" . news.psu.edu . Consultado el 6 de marzo de 2021 .
- ^ "Mischel Kwon" . www.eweek.com . Consultado el 4 de abril de 2016 .
- ^ Editor, Joan Goodchild y Senior. "Ganadores del premio Women of Influence 2011 nombrados" . CSO Online . Consultado el 4 de abril de 2016 .CS1 maint: texto adicional: lista de autores ( enlace )
- ^ "Katie Moussouris" . Forbes .
- ^ https://www.ncsc.nl/english/conference/conference-2010/speakers/katie-moussouris.html
- ^ "Los lobos de Vuln Street: el 1er modelo de sistemas dinámicos del mercado de 0 días - EE.UU. 2015 - Conferencia RSA" . www.rsaconference.com .
- ^ "Black Hat USA 2015" . www.blackhat.com .
- ^ https://www.kiwicon.org/the-con/talks/#e194
- ^ Moussouris, Katie. "No todos los hackers son malvados" . Time.com . Revista Time . Consultado el 19 de junio de 2017 .
- ^ Moussouris, Katie. "Los piratas informáticos pueden ayudar" . The New York Times . Consultado el 19 de junio de 2017 .
- ^ Moussouris, Katie. "La administración debe continuar buscando cambios en los controles internacionales de exportación cibernética" . thehill.com . La colina . Consultado el 19 de junio de 2017 .
- ^ Moussouris, Katie. "Ha llegado el momento de piratear el planeta" . Threatpost . Consultado el 24 de septiembre de 2017 .
- ^ Jane Mundy (21 de septiembre de 2015). "Microsoft acusado de discriminación contra la mujer" . Lawyersandsettlements.com . Consultado el 11 de diciembre de 2015 .
- ^ "Microsoft demandado en acción colectiva alegando discriminación sexual" . Reuters.com . 16 de septiembre de 2015. Archivado desde el original el 10 de diciembre de 2015 . Consultado el 11 de diciembre de 2015 .
enlaces externos
- Seguridad Luta
- HackerOne