Lernen Sie Window Snyder kennen, den Vorreiter, der dazu beigetragen hat, das Internet und Milliarden von Geräten zu sichern

Jul 05, 2023

Nachdem die Band „Seven Steps to Heaven“ von Miles Davis gespielt und eine überschwängliche Einführung durch den Schulleiter gegeben hat, steht Window Snyder vor einer Halle voller rund 800 Schüler ihrer alten High School, um einen Alumni-Preis entgegenzunehmen. Einige der Schüler haben einen Plastiklöffel an der Nase, Teil eines traditionellen Schuljahresendspiels – im Grunde ein Fangenspiel – für Senioren namens „Assassin“. Die meisten von ihnen haben den besonderen Gast im Blick.

Snyder ist emotional. Sie zögert und es fällt ihr schwer, mit ihrer Rede zu beginnen. Sobald sie das tut, spricht sie darüber, wie sehr sie mit Schwierigkeiten zu kämpfen hatte, als sie hierher kam, nach Choate Rosemary Hall in Wallingford, Connecticut, nachdem sie 1989 ihre Mutter und ihr Leben in Kalifornien verlassen hatte.

Snyder erinnert sich, dass ihr Berater sie einmal gefragt habe: „Sind Sie sicher, dass dies der richtige Ort für Sie ist?“ Vielleicht bist du zu Hause glücklicher, woanders.“

Aber Snyder war sich sicher und es hat sich ausgezahlt.

„Ich habe noch nie in meinem Leben so hart für etwas gearbeitet. Und nachdem ich Choate verlassen hatte, war nichts mehr schwer“, erzählt Snyder den Schülern. „Und das liegt nicht daran, dass ich keine harten Dinge getan habe. Ich wusste, wie man schwierige Dinge erledigt.“

Das ist vielleicht eine Untertreibung.

In ihrer fast 25-jährigen Karriere im Bereich Cybersicherheit gehörte Snyder zu einer Gruppe von Menschen, die Microsoft in den frühen Tagen des Mainstream-Internets dazu drängten, Cybersicherheit endlich ernst zu nehmen, indem sie die Idee vertraten, dass Sicherheit Teil des Softwareentwicklungszyklus sein muss – wurde später nicht weiter entwickelt – und spielte eine wichtige Rolle bei der Entwicklung der ersten Versionen der Windows-Betriebssysteme, die diese Idee umsetzten. Sie trug auch dazu bei, das Unternehmen davon zu überzeugen, dass externe Forscher, die unbedingt auf Mängel in Microsoft-Produkten hinweisen wollten, tatsächlich Verbündete und keine Feinde waren.

Nachdem Snyder dazu beigetragen hatte, Windows, das Betriebssystem, das von Hunderten Millionen Menschen auf der Welt verwendet wird, zu sichern – und nachdem er bei einem anderen Sicherheitsberatungsunternehmen gearbeitet und das Sicherheitsteam von Mozilla geleitet hatte, zu einer Zeit, als Benutzer Firefox als sichere Alternative zum Internet Explorer betrachteten – wechselte Snyder zu Microsoft damals größter Konkurrent.

In Cupertino leitete sie die Datenschutz- und Sicherheitsteams von Apple. Dort setzte sie sich im Rahmen eines Projekts namens „Apple verfügt nicht über Ihre Daten“ erfolgreich dafür ein, die Verschlüsselung standardmäßig auf allen von Apple hergestellten Computern, iPhones und iPads sowie iMessage zu aktivieren und so den Grundstein für das Unternehmen zu legen Ruf als Cybersicherheitsriese.

Beim Cloud-Computing-Unternehmen Fastly baute Snyder das Sicherheitsteam auf und half dabei, ihrer Aussage nach rund 10 % des Internetverkehrs zu sichern, der damals über die Infrastruktur von Fastly lief. Sie hat auch bei Intel und dem Zahlungsunternehmen Square gearbeitet und begann ihren Einstieg beim legendären und bahnbrechenden Cybersicherheits-Startup @stake.

„Die Leute wissen nicht, dass Window dafür verantwortlich ist, so viele positive Sicherheitsverbesserungen bei Großkonzernen in Gang zu bringen, die den Weg für andere Konzerne ebneten, in ihre Fußstapfen zu treten“, sagt Katie Moussouris, eine Veteranin der Hacking-Szene und jetzt CEO und Gründerin von Luta-Sicherheit.

„Es ist nicht nur ihre Arbeit bei Microsoft, sie hat mit ihrer Arbeit dort im Grunde die Sicherheit für das gesamte Internet revolutioniert“, fügt Moussouris hinzu. „Sie ist für mehr technische und soziale Veränderungen innerhalb von Softwareunternehmen verantwortlich als jeder andere, den ich kenne.“

„Viele der großen Unternehmen, die jetzt Dinge tun, die ihnen im Nachhinein offensichtlich erscheinen, liegen daran, dass sie eingegriffen hat und geändert hat, was sie getan haben“, sagt Dave Aitel, ein bekannter Cybersicherheitsexperte, der mit Snyder bei @ zusammengearbeitet hat. Einsatz. „In ihrem Vermächtnis geht es darum, große Unternehmen zu verändern und große Schiffe zu bewegen.“

Wer sie kennt oder mit ihr zusammengearbeitet hat, nennt Snyder „bahnbrechend“, „intelligent“, „beeindruckend“, „technisch“, „brillant“, „zielstrebig“, „nachdenklich“, „unerbittlich“, „bemerkenswert“, „wahnsinnig klug“. „, „professionell“, „ein Anführer“, „bescheiden“ und „wie ein Schwan – an der Oberfläche so anmutig, aber darunter paddelt er höllisch.“

Wie sie jedoch in ihrer Rede bei Choate zugab, war es nicht immer einfach, dorthin zu gelangen, wo sie ist.

🔒🔒🔒

Ein Bild von Window Snyder und Katie Moussouris, etwa 2007.Bildnachweis:Katie Moussouris (geliefert)

Snyder wurde 1975 in New Jersey als Sohn eines amerikanischen Vaters und einer in Kenia geborenen Mutter geboren. Ihre Entschlossenheit und Liebe zur Technologie habe sie von ihrer Mutter Wayua Muasa geerbt, erzählt mir Snyder.

Muasa, der in Machakos im ländlichen Kenia aufwuchs, gehörte zum Akamba-Volk und wuchs in einfachen Verhältnissen auf. Als sie aufwuchs, teilte Muasa beispielsweise denselben Pullover mit ihrer Schwester. Sie trug es morgens und ihre Schwester trug es dann nachmittags, wenn sie zur Schule ging. Jahre später erhielt sie Mitte der 1960er Jahre ein Stipendium für ein Universitätsstudium in Boston und kam in die USA, als die Bürgerrechtsbewegung gerade aufkam.

„Sie hat unglaublich hart gearbeitet, um sicherzustellen, dass ich alle Möglichkeiten habe, die mir für meine Ausbildung zur Verfügung standen“, sagte Snyder.

Als sie Snyder großzog, wechselte Muasa von der Lehrtätigkeit zur Arbeit als Mainframe-Softwareentwicklerin. Nachdem sie sich selbst das Programmieren beigebracht hatte, schrieb Muasa in COBOL, einer 1959 erfundenen Programmiersprache. Als Snyder fünf Jahre alt war, brachte Muasa einen Texas Instruments 99/4A mit nach Hause, einen damals beliebten Heimcomputer.

„Ich habe diese wundervollen Erinnerungen daran, wie sie mit einem Stapel – nur einem riesigen Stapel grüner Balkenausdrucke – am Küchentisch saß. Und abends blättert sie mit einem Bleistift am Küchentisch durch und blättert Fehler durch“, sagt Snyder.

Computer waren seit ihrer Kindheit Teil von Snyders Leben. Als sie aufwuchs, sagte sie, habe sie auf den Computern ihrer Mutter grundlegende Programmierungen durchgeführt. Als sie nach Choate kam, waren Computer keine große „Neuheit“ und fühlten sich einfach wie „ein Werkzeug“ an. Sie pflegte also andere Interessen und hatte andere Ambitionen als den Einstieg in die Technik.

„Ich dachte, ich würde Schriftstellerin werden, ich war sehr begeistert von Literaturkursen, und ich war begeistert von den Künsten, und ich interessierte mich für Theater und sang“, sagt Snyder.

Snyder sagt, dass sie sich während der High School auch mit Fotografie beschäftigte, einen Großteil ihrer Freizeit im Fotolabor verbrachte und als Bildredakteurin für das Jahrbuch tätig war.

Doch dann ging sie Anfang der 1990er Jahre ans Boston College, wo sie sich für ein Informatik- und Mathematikstudium entschied. Auch wenn sie anfangs keine Ahnung hatte, dass es da draußen noch andere gab, die sich für Hacking interessierten, blühte zu dieser Zeit die Hackerszene in der Stadt auf, insbesondere rund um den MIT-Campus.

Snyder besuchte zunächst Bulletin Boards und dann IRC-Chatkanäle wie #NewHackCity und begann mit einem Computer der Digital Equipment Corporation (DEC) zu spielen, auf dem Ultrix lief, ein Betriebssystem, das für die Bedienung durch mehrere Benutzer konzipiert war.

Damals hatte Snyder vielleicht ihre erste Hacker-Inspiration.

„Meine Frage war: Was hält meine Daten von denen aller anderen getrennt? Was hält meinen Prozess vom Kernel getrennt?“ Snyder erinnerte sich, dass sie sich diese Frage gestellt hatte und bezog sich dabei auf den Kernteil des Computers, der fast alle anderen Prozesse steuert, die auf der Maschine laufen.

Dies führte dazu, dass sie davon besessen war, DEC-Computer zu studieren und auseinanderzunehmen – so sehr, dass sie ihre Katze später Digital Equipment Corporation nannte, die 2016 nach beeindruckenden 20 Jahren verstarb.

„Ich habe einfach so viele Informationen über das Betriebssystem in mich aufgenommen, wie ich konnte, habe an Betriebssystemkursen teilgenommen und etwas über diese Dinge gelernt und dann Tools entwickelt, um zu versuchen, diese Sicherheitsmechanismen zu umgehen“, sagt Snyder.

Um wirklich zu verstehen, wie diese Computer funktionierten, musste sie sie in die Hände bekommen, was nicht einfach war, da sie bereits etwas veraltet waren. Einige davon fand sie bei eBay, andere auf dem MIT-Flohmarkt, wo eine Gruppe junger Hacker namens „L0pht“ – die heute als eine der einflussreichsten Hackergruppen in den USA gilt – oft herumhing und selbst gekaufte Hardware verkaufte Ich brauche es nicht.

In seinem jüngsten Buch erinnert sich Cris Thomas, der als Space Rogue bekannt ist und eines der Gründungsmitglieder von L0pht war, daran, Snyder auf dem Flohmarkt getroffen zu haben. Thomas schreibt, dass er und die anderen mehrere von DEC hergestellte Computer besaßen, für die sie wenig Verwendung hatten, darunter ein MicroVAX II-Modell aus dem Jahr 1985. Zu dieser Zeit verfügte die Gruppe über ein Internet-Schwarzes Brett – einen Vorläufer von Online-Foren –, auf dem sie sich befanden würden posten, welche Hardware sie zum Flohmarkt mitbringen würden. Snyder sah jedoch einen Beitrag auf einem anderen Schwarzen Brett, in dem der MicroVAX II ihre Aufmerksamkeit erregte.

„Sind Sie die Jungs vom VAX?“ Thomas erinnert sich, dass Snyder gefragt hat, als sie auf sie zukam.

Thomas schrieb, dass er verblüfft sei, da Snyder nicht wie die meisten Leute auf dem Flohmarkt aussehe.

„Zuerst war ich ein wenig fassungslos, weil ich nicht verstand, was sie wollte; Ich hatte von VAX gehört und dachte an eine der riesigen, die es immer noch auf der L0pht gab, und sie passte nicht ganz zu den zerrissenen Jeans, dem schmutzigen T-Shirt und der Cyberpunk-Ästhetik der meisten anderen Leute mit schwarzen Lederjacken im The Flea“, schrieb er.

Trotz ihres Aussehens war sie eine von ihnen, eine Hackerin. Damals war sie unter dem Online-Namen RosieRiv oder Rosie the Riveter bekannt, eine Feministin und Empowerment-Ikone.

🔒🔒🔒

Es dauerte nicht lange, bis Snyder vom Hacker zum Cybersicherheitsprofi aufstieg und Ende der 1990er Jahre der zehnte Mitarbeiter bei einem der ersten Cybersicherheitsberatungsunternehmen in den USA namens @stake wurde.

Das Unternehmen bestand aus einem Who-is-Who von Hackern, von denen viele heute zu den angesehensten der Welt zählen, wie zum Beispiel der ehemalige Facebook-Sicherheitschef Alex Stamos; der Betriebssicherheitsexperte Grugq; Peiter „Mudge“ Zatko, der bei DARPA und Twitter arbeitete; Aitel, der Gründer der Immunity and the Infiltrate-Konferenz; und Moussouris, der später ein Pionier der Bug-Bounties wurde.

Einer der wichtigsten Kunden des Unternehmens war Microsoft, damals der größte Softwarehersteller der Welt. Chris Wysopal, seit seiner L0pht-Zeit auch als Weld Pond bekannt, arbeitete mit Snyder bei @stake. Wysopal sagt, er erinnere sich daran, dass die @stake-Leute jedes Mal, wenn Microsoft anrief, sagten: „Lasst uns das Dreamteam schicken“, und dazu gehörte auch Snyder.

In diesen Jahren arbeitete Snyder auch mit Frank Swiderski zusammen, mit dem sie später ein Buch über Bedrohungsmodellierung schrieb, einen Cybersicherheitsprozess, mit dem man die Bedrohungen, denen ein Unternehmen oder eine bestimmte Software ausgesetzt ist, identifiziert, kommuniziert und versteht und Lösungen für den Umgang findet ihnen. Die Bedrohungsmodellierung ist mittlerweile ein Standardprozess nicht nur in der Cybersicherheit, sondern in der Technologie im Allgemeinen. Damals war es ein neuartiges Konzept, und obwohl Snyder und Swiderski es nicht erfunden hatten, gehörten sie sicherlich zu den ersten, die es kodifizierten.

„Es wurde entwickelt, um es jemandem zu ermöglichen, sehr schnell zu verstehen, wo die Bereiche mit der größten Verwundbarkeit oder den größten Chancen für den Angreifer liegen“, sagt Snyder. „Wenn Sie sich Einstiegspunkte ansehen und den Datenfluss durch das System verfolgen, können Sie dies mit dem Entwickler tun, der mit dem System vertraut ist. Und dann hilft es Ihnen, Prioritäten zu setzen, an denen Sie arbeiten sollten.“

Die Bedrohungsmodellierung war eine der Methoden, die Snyder bei @stake kodifizierte. Ein weiterer Aspekt ist der sogenannte „Sicherheitsentwicklungslebenszyklus“, ein Framework, mit dem Entwickler Sicherheit und Datenschutz von Anfang an und während der Entwicklung der App oder des Systems, an dem sie arbeiten, berücksichtigen.

Damals waren das bahnbrechende Konzepte.

Wysopal sagt: „Ich habe damals das Gefühl, dass wir beide gelernt haben, unser Interesse an Hacking und kontroversen Sichtweisen auf die Dinge zu nutzen, dies als Penetrationstester und Bedrohungsmodellierer zu professionalisieren und diese Dienste an Unternehmen zu verkaufen.“

„Ich habe also das Gefühl, dass sie zu diesem Zeitpunkt maßgeblich an der Entwicklung der Professionalisierung vieler dieser Dienste beteiligt war“, sagt Wysopal.

Frank Heidt, ein weiterer @stake-Kollege von Snyder, sagt: „Eines der Dinge, die Window getan hat, war, diese Art von Disziplin in alles einzubringen, Methoden, niedergeschriebene, disziplinierte, wiederholbare Methoden.“

„Sie war wie eine Pionierin für unsere Branche. Nichts davon gab es“, fügt Heidt hinzu.

Snyder und Swiderski beeindruckten die Führungskräfte von Microsoft so sehr, dass der Softwareriese sie abwarb und an Bord holte, mit dem Ziel, ihr Wissen über Bedrohungsmodellierung und den Lebenszyklus der Sicherheitsentwicklung nach Redmond zu bringen.

🔒🔒🔒

Window Snyder posiert vor einem Gebäude ihrer alten High School, Choate Rosemary Hall.Bildnachweis:Ben Hancock/TechCrunch

Als Snyder und Swiderski zu Microsoft kamen, hatte das Unternehmen mit Viren zu kämpfen und hatte den Eindruck, dass es die Sicherheit nicht ernst nahm. Dies waren die Zeiten, als Hacker live auf der Bühne der Hacking-Konferenz Def Con ein Tool zum Hacken von Microsoft Windows namens Back Orifice veröffentlichten, um den Softwareriesen zu verspotten und in Verlegenheit zu bringen. Als Reaktion auf die negative Aufmerksamkeit rief der damalige Microsoft-Vorsitzende Bill Gates die sogenannte „Trustworthy Computing Initiative“ ins Leben, mit der die Sicherheit des Benutzers bei allen Microsoft-Mitarbeitern an erster Stelle stehen soll.

Bei Microsoft war Snyder ein integraler Bestandteil der Sicherheitsteams, die an der Einführung einer Reihe neuer Sicherheitsfunktionen wie einer Firewall, Sicherheitsprüfungen in der E-Mail-App Outlook Express und mehreren Verbesserungen für Internet Explorer in Windows XP Service Pack 2 arbeiteten. veröffentlicht im Jahr 2004, sowie Windows XP Professional x64 Edition, veröffentlicht im Jahr 2005.

Für Letzteres wurde Snyder ausgewählt, um das Sicherheitsteam bei den täglichen Treffen – dem sogenannten „War Room“ – zu vertreten, bei denen sich Vertreter aller Teams, die am Betriebssystem arbeiten, trafen, um Fortschritte, Probleme und mögliche Lösungen zu besprechen. Da Snyder damals noch eine junge Mitarbeiterin war, war es ungewöhnlich, dass sie ausgewählt wurde, an diesen Treffen teilzunehmen.

„Es war eine Aufgabe, die man einem leitenden Programmmanager geben würde. Wir verließen uns darauf, dass sie im Wesentlichen das Sicherheitsteam bei der täglichen Entscheidungsfindung vertrat, als die Veröffentlichung abgeschlossen war“, sagt Steve Lipner, damals Director of Security Assurance bei Microsoft und Snyders Manager. „Das war eine verantwortungsvolle Position und sie hat gute Arbeit geleistet.“

Clyde Rodriguez, der die Entwicklungsarbeit für das Betriebssystem Windows XP Professional x64 Edition und die War-Room-Meetings leitete, sagt, Snyder sei „einer der wichtigsten Partner“ gewesen, die er in diesem Projekt hatte, weil er ein „hohes Maß an Vertrauen“ hatte in ihrem Urteil.“

Deshalb sagt Rodriguez, er habe immer dafür gesorgt, dass Teams, die wesentliche Änderungen vorschlagen, Snyder konsultieren, um die Auswirkungen ihrer Vorschläge auf die Sicherheit zu verstehen.

„Oft habe ich nichts akzeptiert, wenn Window nicht gesagt hätte, dass es in Ordnung sei“, erinnert sich Rodriguez. „Es gab auch andere, die einen einflussreichen Einfluss hatten. Aber Window war einer von ihnen.“

Als sie kurz vor dem Abschluss der Entwicklung standen, erinnert sich Rodriguez, dass Snyder einer der letzten Leute war, von denen er den letzten Daumen nach oben bekommen wollte.

„'Glaubst du, das ist fertig?' Und als sie schließlich Ja sagte, war ich zuversichtlich, weiterzumachen“, sagt Rodriguez.

Gleichzeitig warb Snyder auch erfolgreich bei Microsoft-Führungskräften für die Durchführung einer Cybersicherheitsveranstaltung innerhalb des Unternehmens. Sie nannte die Veranstaltung „Blue Hat“, eine Anspielung auf den Begriff „Black Hat“ – Cybersicherheitsjargon für Hacker mit böswilligen Absichten – und die Tatsache, dass nur Personen mit einem blauen Microsoft-Abzeichen daran teilnehmen konnten. Während der Veranstaltung kamen externe Sicherheitsforscher nach Redmond und erzählten Führungskräften und Mitarbeitern, was Sicherheitsforscher tun und wie sie Schwachstellen in den Produkten des Unternehmens gefunden haben. Später entwickelte sich Blue Hat zu einer vollwertigen öffentlichen Konferenz, die immer noch stattfindet und jedes Jahr Hunderte von Teilnehmern anzieht.

„Window war die Person, von der ich immer dachte, dass sie das Unternehmen mehr als jeder andere überzeugte: ‚Nein, das sind Leute, die es vielleicht auf eine intelligentere Art und Weise machen als Sie, aber versuchen, dazu beizutragen, Ihr Produkt besser zu machen‘“, sagt Lipner.

Snyders Arbeit bei Microsoft wurde branchenweit wahrgenommen.

„Als Sicherheitsforscherin außerhalb von Microsoft war es ihre Arbeit, die uns alle zum Murren und Stöhnen brachte, weil viele Dinge jetzt mit den neuesten Versionen des Betriebssystems nicht mehr möglich waren“, sagt Moussouris.

Und, so Moussouris, bedeutete die Erhöhung der Sicherheit von Windows in einer Zeit, in der das Betriebssystem nahezu eine Monopolstellung innehatte, „die Sicherung des gesamten Internets“.

🔒🔒🔒

Nach ihrer Tätigkeit bei der Beratungsfirma Matasano und später bei Mozilla wechselte Snyder 2010 zu Apple, wo sie als einzige Produktmanagerin für den Datenschutz und die Sicherheit aller Apple-Produkte verantwortlich war.

Andrew Whalley, der von 2010 bis 2016 im Security-Engineering-Team bei Apple arbeitete, sagt, dass sie mit Snyders Einstieg die „sehr benutzerzentrierte Sicherheits- und Datenschutzmentalität“ nach Cupertino gebracht habe, die sie bei Microsoft und Mozilla vertrat.

Drei Jahre nach der Einführung des ersten iPhone begann Apple, sich mit der Realität auseinanderzusetzen, dass Menschen ihr ganzes Leben auf diese Geräte ausgaben. Diese Umstände erforderten radikale Lösungen, um die Daten der Menschen zu schützen.

Snyders Idee bestand im Wesentlichen darin, die Menge der Benutzerdaten zu reduzieren, auf die Apple Zugriff hatte.

„Wenn sich die Daten in Ihrer Infrastruktur befinden und Sie der Verwalter dieser Daten sind, dann haben Sie die Pflicht, sie zu schützen, und es ist schwierig, sie zu schützen. Minimieren wir also unseren eigenen Zugriff darauf, um bessere Sicherheitslösungen zu schaffen“, erinnert sich Snyder.

Jon Callas, ein erfahrener Kryptografie- und Sicherheitsexperte, der damals bei Apple arbeitete, sagt, Snyder habe dazu beigetragen, die Diskussion innerhalb des Unternehmens zu verändern.

„Dieser Fokus auf Sicherheit auf Benutzerebene“, der jetzt bei Apple und Google im Mittelpunkt ihrer Aktivitäten mit iOS und Android steht, sagt Callas, „diese Denkweise geht auf die Art von Dingen zurück, die sie vorangetrieben hat.“ Ende der 2000er und Anfang der 2010er Jahre.

Snyder setzte sich für einige der wichtigsten neuen Sicherheitsfunktionen ein, die Apple jemals einführen würde, und arbeitete an ihnen. Dazu gehört die Ende-zu-Ende-Verschlüsselung seiner Flaggschiff-Messaging-App iMessage – noch bevor Apps wie Signal und WhatsApp dies taten –, sodass niemand sonst, nicht einmal Apple, die privaten Gespräche einer Person lesen kann.

Unter Snyders Aufsicht hat Apple die vollständige Festplattenverschlüsselung namens FileVault zur Standardeinstellung für macOS-Computer gemacht, was den Zugriff auf Daten auf einem ausgeschalteten MacBook mit einem sicheren FileVault-Passwort erheblich erschwert. Das Microsoft-Äquivalent für Windows (genannt BitLocker) hingegen war viele Jahre lang auf Unternehmen und Unternehmen ausgerichtet und nicht standardmäßig aktiviert.

Und während Snyders Amtszeit hat Apple fast alle Daten im iPhone einer Person verschlüsselt, es sei denn, das Telefon wird nur mit einem dem Besitzer bekannten Passcode entsperrt. Wenn nach dieser Änderung jemand sein iPhone verliert und es durch einen relativ starken Passcode geschützt ist, ist es praktisch unmöglich, auf seine Inhalte zuzugreifen, es sei denn, Sie verfügen über die Ressourcen einer Strafverfolgungs- oder Geheimdienstbehörde. In der Praxis machte dies den Diebstahl von iPhones deutlich weniger attraktiv.

Laut Callas war die letzte Entwicklung besonders bedeutsam.

„Obwohl es nicht perfekt ist, ist es dennoch wahr, dass ich für die überwiegende Mehrheit der Menschen, sagen wir mal, mein Telefon geben, weggehen und in drei Stunden zurückkommen könnte, mit der Gewissheit, dass Sie nichts bekommen haben.“ Callas sagt. „Das ist so bedeutsam, dass es die Welt schafft, mit der wir es jetzt zu tun haben, nämlich Dinge wie spezielle Geräte wie [iPhone-Hacking-Tool] GreyKey und andere Dinge, die Menschen zum Entsperren von Telefonen verwenden.“

Diese Funktion war in Kreisen der Strafverfolgungsbehörden umstritten, da das FBI vor Gericht gegen Apple kämpfte, um das Unternehmen zu zwingen, ein Tool zum Entsperren des iPhones des San-Bernardino-Schützen zu entwickeln. Schließlich verkaufte ein Zero-Day-Hersteller dem FBI einen Exploit, um das Telefon zu entsperren.

„Das FBI hätte das nicht nötig gehabt, wenn Windows bei Apple nicht funktioniert hätte“, sagt Moussouris. „Sie ist der Grund, warum es so viel schwieriger ist, in die Apple-Technologie einzudringen.“

Nachdem Apple diese Innovationen den Verbrauchern vorgestellt hatte, folgten andere Unternehmen wie Google diesem Beispiel und aktivierten die Verschlüsselung standardmäßig auf ihren Android-Geräten.

Als Snyder zum Unternehmen kam, wurde im Einklang mit der berüchtigten Geheimhaltungskultur von Apple ein Großteil der Arbeit des Sicherheitsteams außerhalb von Apple nicht beworben. Damals wurden die meisten Sicherheitsfunktionen des iPhones von frühen Jailbreakern dokumentiert, einer bunt zusammengewürfelten Gruppe von Hackern, die davon besessen waren, die Sicherheitsmechanismen des iPhones zu umgehen und ihr Wissen öffentlich zu teilen.

Snyder und andere dachten, Apple lasse die Narrative über die Sicherheit des iPhones von Leuten außerhalb des Unternehmens vorantreiben, und das zu einer Zeit, als Apple-Ingenieure erhebliche Fortschritte auf dem neuesten Stand der Technik der mobilen Sicherheit machten – und waren sehr stolz darauf.

Aus diesem Grund überzeugte sie 2012 die Vorgesetzten des Unternehmens, das allererste Whitepaper zur iOS-Sicherheit zu veröffentlichen, in dem alle im iPhone enthaltenen Sicherheitsmechanismen detailliert beschrieben wurden.

„Die Sicherheitsleute bei Apple hatten definitiv das Gefühl, dass wir ein wirklich gutes, sicheres Produkt hatten“, sagt Whalley. „Dass wir das Richtige für die Benutzer und das Produkt getan haben und der fehlende Teil darin bestand, darüber zu sprechen.“

Im nächsten Jahr beteiligte sich Snyder an den Bemühungen, macOS-Upgrades kostenlos zu machen, was bedeutete, dass Sicherheitsupdates auch für jeden mit einem Apple-Computer kostenlos waren.

„Die Welt, in der wir uns jetzt befinden, in der wir die Sicherheit unserer Laptops, unserer Telefone und allem anderen als selbstverständlich betrachten, verdankt großen Dank der Tatsache, dass sie sich still und unermüdlich für diese Dinge eingesetzt und das ausgenutzt hat.“ Bereitschaft des Managements, zuzuhören“, sagt Callas. „Ihr Einfluss in den späten 2000er Jahren bei Apple ist absolut entscheidend dafür, dass Sicherheit heute allgegenwärtig ist.“

🔒🔒🔒

Window Snyder spricht mit Schülern ihrer alten High School, Choate Rosemary Hall in Wallingford, Connecticut.Bildnachweis:Choate Rosemary Hall/Flickr

Nach einer Karriere, die dazu beigetragen hat, einige der beliebtesten Software- und Hardware-Produkte der Welt zu sichern, geht Snyder nun mit ihrem neuen Startup namens Thistle Technologies, das sie 2020 gründete, den Alleingang. Ihr neues Ziel: die vielfältige und ungleiche Welt des Internets zu sichern. vernetzte Geräte, die in unseren Häusern sowie in kritischen Infrastrukturnetzwerken zunehmend allgegenwärtig sind – oft auch als „Internet der Dinge“ oder IoT bezeichnet.

Diese Geräte – zum Beispiel intelligente Glühbirnen, Router, Thermostate, Babyphone, aber auch Wasseraufbereitungs- und Kraftwerkssteuerungen – verfügen über unterschiedliche Sicherheitsstufen. Oftmals sind sie jedoch standardmäßig unsicher. Vielleicht liegt das daran, dass ihnen ein Mechanismus fehlt, um Schwachstellen aus der Ferne oder automatisch zu aktualisieren. Manchmal liegt es daran, dass sie standardmäßige, fest codierte Anmeldeinformationen haben, die leicht zu erraten sind, wie zum Beispiel „Administrator“ und „Passwort“.

Um sie zu sichern, baut Snyder laut Snyder eine Reihe von Tools, Bibliotheken und Backup-Diensten auf, „die Entwickler schnell in ihre Geräte integrieren können, um sehr schnell zu einer modernen Sicherheitsarchitektur zu gelangen.“ Mit anderen Worten: Thistle ist eine einfach zu implementierende Sicherheitsinfrastruktur, die IoT-Hersteller einfach anschließen und fast vergessen können.

„Ziel war es, dieses branchenweite Problem anzugehen, nämlich die unglaublich inkonsistente Gerätesicherheit. Und an Orten, an denen es implementiert wird, ist es möglicherweise nicht in dem Maß an Widerstandsfähigkeit implementiert, das für die Bedrohungen erforderlich ist, denen diese Geräte ausgesetzt sind“, sagt Snyder. „Das ist eine Möglichkeit, den Geräteentwicklern die Bereitstellung von Sicherheitsfunktionen und ausgefeilter Sicherheitsarbeit zu erleichtern, sodass sie sich keine Gedanken über die Sicherheitsinstallation machen müssen, sie problemlos integrieren und sich dann wieder der Entwicklung der kundenorientierten Funktionen zuwenden können.“ ihr Brot und ihre Butter.“

Aitel sagt, dies zeige einmal mehr, wie ehrgeizig Snyder sein kann.

„Sie versucht, die gesamte Branche zu verändern, die Branche dieser dummen Router, die wir alle haben, und sie haben kein Sicherheitsupdate, und wir hätten nie gedacht, dass sie das tun würden“, sagt er.

Für Snyder war dies der natürliche nächste Schritt.

„Wenn wir uns auf Zugänglichkeit konzentrieren, wenn wir uns auf Chancen konzentrieren, wenn wir uns auf die Demokratisierung der Sicherheitsfunktionen konzentrieren, dann werden wir alle von dieser Art von Arbeit profitieren“, sagt sie. „Und genau das hoffen wir bei Thistle Technologies. Und es fühlt sich wirklich so an, als ob ich das während meiner gesamten Karriere versucht habe.“

🔒🔒🔒

Als schwarze Frau im Bereich Cybersicherheit war Snyder eine Inspiration für eine ganze Generation von Hackern, die möglicherweise nicht in das stereotype Bild eines Mannes mit Kapuzenpullover und einem Haufen Aufklebern auf seinem Laptop passen.

Lodrina Cherne, Forensik-Ausbilderin bei der Cybersicherheits-Trainingsorganisation SANS und eine farbige Frau, erinnert sich, wie sie Snyder 1999 auf der Hacking-Konferenz Def Con in Las Vegas endlich traf, nachdem sie online viel über sie gehört hatte.

„Ich habe sie und sicherlich auch andere Vorbilder, die ich zur gleichen Zeit kennengelernt habe, andere Frauen, die seitdem in den letzten 20 Jahren bis heute wirklich Großes geleistet haben, als Beispiele für den Glauben herangezogen, den ich sehr stark vertrete der Glaube, den ich an meine Mentees weitergebe“, sagt Cherne. „Dass es nicht wirklich wichtig ist, wie ein Cybersicherheitsexperte heute aussieht oder was Ihrer Meinung nach ein Cybersicherheitsexperte sein sollte.“

Offensichtlich gibt es in dieser Abteilung noch viel zu tun für die Branche. Und es hat Menschen wie Snyder, die die gläserne Decke für andere durchbrochen haben, viele Opfer abverlangt.

„Wenn mir klar gewesen wäre, wie wenige Frauen ich in meiner beruflichen Tätigkeit kennengelernt hätte, hätte ich mich für etwas anderes entschieden. Wenn mir klar gewesen wäre, wie entfremdet ich mich in diesen Gemeinschaften fühlen würde, hätte ich etwas anderes gewählt“, sagt Snyder. „Und die Hacker-Community ist unglaublich rassistisch und frauenfeindlich, und das ist ein schrecklicher Ort.“

Aber dank ihrer Leidenschaft für das Hacken und ihrer Entscheidung, in der Branche zu bleiben, etwas zu bewirken und etwas zu bewirken, können andere in ihre Fußstapfen treten.

„Für jemanden wie mich“, sagt Cherne, „ist es sehr offensichtlich, wie groß ihr Einfluss war.“ Ich denke, andere könnten es sicherlich erkennen.“

Andere sehen es definitiv.

Nachdem sie den Alumni-Preis erhalten und ihre Rede vor den Schülern gehalten hat, geht Snyder fast 30 Jahre nach ihrem Abschluss durch den College-ähnlichen Campus ihrer alten High School, als eine junge schwarze Schülerin verlegen auf sie zukommt und ihr zuwinkt.

Die Studentin dankt Snyder für die Rede, die sie früher an diesem Tag gehalten hat. Sie sagt, sie sei im Robotik-Team der Schule und es sei inspirierend zu sehen, wie eine schwarze Frau wie Snyder in einem Bereich erfolgreich ist, in dem es so wenige schwarze Frauen gibt.

Snyder lächelt, hält beide Hände auf die Brust und sagt: „Danke.“

Window Snyder, Gründer und CEO von Thistle Technologies, wird am 21. September Gast bei Found Live at Disrupt in San Francisco sein. Holen Sie sich Ihre Tickets hier und verwenden Sie den Rabattcode FOUND.