定义新域
作者Jon Kuiperij——2022年5月19日
保障未来:谢里登校友如何使网络世界变得更美好
约书亚麦克杜格尔
(08级应用信息科学学士)
慢速忍者公司总裁
Joshua McDougall第一次听说加密货币时,他非常怀疑。
麦克杜格尔说:“我想,如果我能复制mp3,我就能复制比特币的任何东西。”他回忆起谢里登应用信息科学学士学位创始人维克多·拉列维奇博士在他的一门密码学课程上讨论数字货币的潜力——那是在2009年比特币诞生的几年前。
但麦克杜格尔很快就意识到,加密货币不仅比音频文件复杂得多,而且还使用了他在谢里登已经掌握的许多相同的安全概念。麦克杜格尔说:“我们的学校教育并没有专门让我们为数字货币做好准备,但它让我们了解了突然组合在一起创造数字货币的所有不同部分的基础知识。”“这让我们能够尝试破解加密货币,也让我们明白了为什么我们做不到。”
“我们的教育……给我们提供了所有不同部分的基础知识,这些不同的部分突然组合在一起创造了数字货币。这让我们能够尝试破解加密货币,也让我们明白了为什么我们做不到。”
——约书亚·麦克杜格尔
虽然麦克杜格尔MG游戏的前十年主要专注于数字取证和调查,但他也将对数字货币的迷恋融入了几个重要的业余项目中。2014年,他和谢里登大学毕业生迈克尔·珀克林(Michael Perklin)成立了加密货币认证联盟(C4),这是一个非营利组织,为从事加密货币相关服务的专业人士提供认证。麦克杜格尔解释说:“在C4之前,招聘经理和招聘公司无法像使用网络、安全和会计等其他知识那样验证候选人的比特币知识。”麦克杜格尔还帮助制定了加密货币安全标准,该标准已成为全球加密货币系统使用的安全技术和方法的基准。
麦克杜格尔的另一个兼职加密货币项目最终成为了他的全职工作。McDougall最近辞去了他在Kroll的长期网络风险管理职位,专注于Slow Ninja(游戏邦注:这是一家致力于利用区块链技术奖励玩家的技能游戏工作室)。
“我们创造了一个将游戏的热爱和游戏的操作结合在一起的环境。换句话说,是玩家社区在运行游戏。”“游戏也是吸引新用户的好方法,这在加密货币领域一直是一个挑战。人们可以从游戏开始,建立他们在游戏中的资产,然后把它们带到交易所购买比特币。这是进入新数字经济的一条轻松的新途径。”
理查德Reinders
(08级应用信息科学学士)
重力支付公司的安全主管
1997年,14岁的Richard Reinders在荷兰高中的图书馆里,一个朋友问他是否听说过黑客破坏了美国国家航空航天局网站主页的事情。
“亚历克斯说,‘我想知道他们是怎么做到的’,我忍不住问这个问题。我必须弄清楚到底是怎么有人能闯入NASA的,”Reinders说。“所以我开始学习一件又一件关于如何入侵的事情,最终我觉得我也可以在NASA的公共基础设施中找到漏洞。”
瑞德斯从未验证过这个理论。但几年后,他和应用信息科学学士一年级的同学约书亚·麦克杜格尔(Joshua McDougall)发现了如何以清晰的文本方式查看学院所有的无线通信,并控制任何学校发放的笔记本电脑,他确实找到了进入另一个主要私人网络——谢里丹网络的方法。
“我们本可以删除那些笔记本电脑上的所有文件,查看教师电脑上的测试,或者以勒索软件的方式关闭学校,”Reinders回忆道,“但这绝不是为了赚钱或造成破坏。”相反,莱因德斯和麦克杜格尔立即向教授报告了网络的漏洞,并与谢里登信息技术(IT)部门进行了会面,莱因德斯得到了一份IT学生研究顾问的兼职工作,并为谢里登的每个人提供了一个更安全的网络。
像这样的双赢结果一直是雷因德斯整个MG游戏的目标,无论是在全球媒体和科技公司雅虎!商业智能软件和大数据分析平台Looker和Sisu,以及信用卡处理和金融服务公司Gravity Payments。作为雅虎追踪、搜索和救援团队的负责人。几年前,该公司遭遇了史上最大的两起数据泄露事件,目前仍处于困境之中。他带头对公司的漏洞处理方式进行了文化变革,仅在一个季度内,逾期或未解决的问题就减少了90%。在Looker,他提出了一个正在申请专利的想法,以提高对大数据泄露的调查效率;在Sisu,他通过让第三方机构审查其安全措施,帮助公司留住了更多客户。
“让专注于学术的教授和活跃于行业的教授做他们所教的……这真是一个很好的组合。”
——理查德·赖恩斯
自2021年成为Gravity Payments的安全主管以来,Reinders已经实施了一种自动化合规工具——通过从快乐的审计师那里获得折扣,为员工节省了时间,为公司节省了资金。
“企业只是希望能够安全地开展业务,而不是出现重大漏洞,所以你需要弄清楚推动公司发展的是什么,并提出与之相一致的建议,”Reinders说。“太多人忽略了这样一个事实,即你可以通过安全措施让别人的生活更轻松,而不是让他们更困难。如果我能让网络安全人员相信一件事,那就是弄清楚企业需要什么才能成功,然后弄清楚如何在获得安全收益的同时支持这一点。”
阿拉娜Staszczyszyn
(19年应用信息科学学士)
量子计算安全研究员
在Security Compass担任渗透测试员的四年里,Alana Staszczyszyn发现了无数问题,如果经典计算机系统没有在构建时带有安全漏洞,这些问题本来是可以避免的。现在,随着量子计算机能够快速解决复杂问题——包括破解当今使用的大多数加密类型的潜力——越来越接近主流市场,她决心帮助确保历史不会重演。
Staszczyszyn最近启动了一个独立的研究项目,探索网络和设备过去的漏洞,以及它们与支持量子计算的五种新兴技术的关系:5G、云计算、物联网(IoT)、人工智能(AI)和区块链。她说:“如果体系结构中存在固有缺陷,那么随着体系结构的成熟,这些缺陷只会引发更多问题。”“我想帮助解决这个问题,这样我们的行业就不会在未来不得不解决问题时耗尽精力。”
Staszczyszyn说,建立一个安全的量子计算基础设施需要大家齐心协力。她说:“众所周知,在网络安全行业,私营部门和公共部门之间存在巨大差距,这主要是因为私营部门在向研究投入资金方面没有那么多限制。”“我希望整合每个人的努力,并引入任何已经在更细致或技术层面上研究这些问题的学术倡议。”
入职不到五年,Staszczyszyn就被包括《环球邮报》(The Globe and Mail)和加拿大广播公司(CBC)在内的几家主要媒体报道为一名MG游戏领先的网络安全专家,以及一名在传统上由男性主导的领域工作的女性。这位怡陶碧谷艺术学院(Etobicoke School of the Arts)高中毕业生在2019年接受加拿大广播公司(CBC)采访时表示:“如果我必须告诉(对网络安全感兴趣的女性)什么的话,那就是这个行业的每一个人才都有一席之地。”
“谢里登的学位让我们对网络安全有了一个高层次的理论观点,把它当作一门艺术,而不仅仅是关注实际实施。”
——Alana Staszczyszyn
尤其是如果你能像Staszczyszyn那样,从经典软件的渗透测试迅速转向研究量子计算中的潜在安全问题,她将这种能力归功于谢里丹的通才方法。“谢里登的学位让我们对网络安全有了一个高层次的理论观点,把它当作一门艺术,而不仅仅是专注于实际实施,”斯塔斯奇辛说,她在新兴量子计算技术方面的专业知识主要来自于她在b谷歌和YouTube上自学的东西。“量子使用了一种与经典数学不同的数学类型——即线性代数而不是二进制逻辑——但它与我们在谢里丹的程序中学到的东西相差不远。如果你对物理和数学有敏锐的触觉,这实际上是非常容易理解的。”
杰西Mukundi
(08级应用信息科学学士)
Interactive Brokers高级网络安全工程师
Jesse Mukundi在校期间曾在安大略省水务局和黑莓公司担任程序员,毕业后立即被黑莓公司全职聘用,现在是一家国际投资公司的高级网络安全工程师。
对于网络安全领域的任何人来说,这都是一份令人印象深刻的简历。但更令人惊讶的是,他在2004年从肯尼亚来到谢里登之前几乎没有接触过电脑。
“我在图书馆里读过编程语言,但我不知道语法是什么样子的。我唯一真正使用电脑的经验是在我叔叔运行Windows 95的机器上使用Word、Excel和PowerPoint,”穆库迪说。他在肯尼亚的一个农村地区长大,那里没有电,没有自来水,没有铺设的道路,更不用说互联网了。“当我来到加拿大时,我甚至没有听说过JavaScript。”
尽管如此,穆昆迪在谢里登大学的计算机科学文凭课程只学习了一天,就在谢里登大学当时的学术副院长莫林·卡拉汉和应用计算与信息管理学院副院长莱诺·埃德蒙兹的建议下,转读了新的应用信息科学学士学位(BAISc)——两人都认为这个学位会为他提供更好的职业机会。
对一些人来说,要赶上那些已经熟练掌握BASIC和Linux的同龄人可能会让人望而生畏,但对那些在幼儿园走路五公里上学的人来说却不是这样。穆昆迪在课外花了无数的时间跟网络教授法迪·沙拉比和一位导师一起学习,通过了第一年的每门课程,甚至为了把成绩从D提高到a,又修了第二次Java编程课程——推迟了暑假回肯尼亚的旅行——“他是其他学生的灵感,”埃德蒙兹回忆道。“他有时会挣扎,但他从来没有说过‘我放弃了。’他只是更努力了。”
“在谢里登拥有强大的安全背景帮助我与许多不同的团队合作。我一直都知道人们在谈论什么,以及所涉及的不同方法。”
——杰西·穆昆迪
第二年夏天,穆昆迪在安大略省电力局(Ontario Power Authority)做了三个月的Java软件开发人员,这段经历最终帮助他在第三年毕业后获得了在黑莓公司(BlackBerry)为期八个月的实习机会。穆库迪说:“他们让我做什么,我就做什么。”他在实习期间的大部分时间都在对新技术进行安全测试。黑莓同意了,在穆昆迪在谢里登的最后一年为他提供兼职工作,然后在他毕业后立即聘用他为全职员工。
穆昆迪将在黑莓工作14年,其中大部分时间担任高级网络安全专家。今年早些时候,他接受了总部位于康涅狄格州的金融服务公司盈透证券(Interactive Brokers)的高级网络安全工程师职位。他说:“谢里登大学强大的安全背景帮助我与许多不同的团队合作。”“无论是风险评估、合规、治理还是网络取证,我一直都知道人们在谈论什么,以及涉及的不同方法。”
乔尔·鲍尔斯
(08级应用信息科学学士)
加拿大Kroll网络安全公司董事总经理。
2004年,当乔尔·鲍尔斯(Joel Bowers)转学到谢里登大学(Sheridan)新开设的应用信息科学学士学位时,他从未想过自己有一天会管理一家全球网络安全公司的加拿大业务。
鲍尔斯说:“我在计算机科学技术文凭课程中没有学到任何新东西,我想,如果我成为一名系统管理员,获得一个以安全为重点的学士学位可能会帮助我保持服务器更安全。”
当鲍尔斯发现数字取证时,他的职业规划很快发生了变化。数字取证当时是一个新兴领域,涉及梳理计算机,寻找可用于民事和刑事调查的证据。鲍尔斯说:“在我来到谢里丹之前,我从来没有听说过计算机取证。”这门二年级的课程是由前皮尔地区警察调查员约瑟夫·科尔特森(Joseph Coltson)开设和教授的,“现在我每天都在这门课上工作了15年。”
鲍尔斯在这个领域的第一份工作也是在科尔森的手下,先是在毕马威(KPMG)——他和同学尼克·约翰斯顿(Nick Johnston)和约书亚·麦克道格尔(Joshua McDougall)在那里做实习生,后来被聘为全职员工——然后在奥克维尔(Oakville)的Harvester Forensics工作。2012年,当Duff & Phelps收购Harvester时,它让鲍尔斯负责其全国取证技术业务,鲍尔斯负责监督一个由大约20名员工和300名承包商组成的团队,他们提供数字取证和诉讼支持服务。鲍尔斯说:“我所在的本地团队几乎都是谢里登大学的毕业生。“有了他们在谢里登大学学到的所有通用技能,我知道他们会准备好带着一些想法去面对任何情况。”
“谢里登的项目绝对是超前的。这是一群人试图弄清楚这个行业,这个项目的结构给了我们一个很好的样本,我们可以进入各个领域。”
——乔尔·鲍尔斯
鲍尔斯MG游戏的亮点之一发生在2013年,当时他的专家证词帮助好莱坞一家大型电影公司从一家网站获得了1000万美元的反盗版和解金,该网站正在播放和销售根据热门电视节目制作的盗版商品。鲍尔斯搜查并扣押了涉嫌运营者的住所,然后进行了法医技术分析,找到了证明该工作室说法的关键证据,这是加拿大历史上最大的反盗版判决之一。
“我一直很喜欢这份工作中解决问题的部分。你永远不知道你会遇到什么情况,”鲍尔斯说。2018年《个人信息保护和电子文件法》通过后,鲍尔斯的主要关注点转移到了数据泄露审查上,该法要求企业向联邦政府和所有受影响的个人报告涉及个人信息的安全漏洞。“勒索软件现在是一个大问题,在那之前是商业电子邮件泄露。我们不知道接下来会发生什么,但总会有另一种网络威胁给人们带来麻烦。”
Preeti Dhawan
(15年应用信息科学学士)
加拿大支付公司治理、风险和合规(GRC)经理
早在考虑从事网络安全职业之前,普里蒂·达万(Preeti Dhawan)就意识到泄露过多个人信息的危险。
达万回忆说:“九年级的时候,我和一个同学闲聊,当我提到一些我知道的关于他个人生活的事情时,他变得惊慌起来。”“我告诉他,‘我不知道你为什么不高兴。在之前的谈话中,你已经和我分享了很多这方面的信息。我只是把这个谜拼在一起,现在我要把它呈现给你。’”
作为一名网络安全和隐私专家,达万在她的MG游戏中保护了一些非常重要的拼图。在2022年春季成为Payments Canada的GRC(治理、风险和合规)经理之前,她花了两年时间为加拿大政府保护受保护的资产和信息,担任Bell的安全和隐私官。Dhawan还曾在加拿大出口发展公司(Crown corporation)工作,她为该公司定义和制定了各种网络安全标准,并在安大略省电子健康中心(eHealth Ontario)工作,在那里她将400多家医疗保健组织纳入省电子健康记录(EHR)系统,并确保遵守安全法规。
信息隐私(个人保护其个人数据的权利)和网络安全(数字数据如何受到保护)的逐渐融合,使达万能够在传统上为律师保留的领域工作。达万说:“我们开始看到越来越多的隐私工作岗位要求有网络安全背景,或者至少了解网络安全标准。”达万还是国际隐私专业人士协会(International Association of privacy Professionals)渥太华分会主席和培训顾问委员会成员,该协会是世界上最大的信息隐私社区。“到目前为止,拥有隐私背景和网络安全背景对我的MG游戏帮助很大。”
“一旦我开始上风险评估、审计和法医学等课程,我就确切地知道我想要做什么。我很感激我有过(优秀的)教授……他们是我的支持系统和导师。”
- Preeti Dhawan
对于一个18岁参加谢里登大学网络安全专业学习时没有计算机编程经验的人来说,这是一个了不起的进步。达万说:“我一直以为自己会成为一名医生、精神科医生或律师,但在高中的最后一年,我感到有点迷茫,于是决定可能要成为一名黑客。”她第一次去谢里登上课时没有带笔记本电脑,因为她不知道该买哪一款。“一旦我开始上风险评估、审计和法医学等课程,我就确切地知道我想要做什么。我非常感谢已故维克多·拉列维奇博士和尼克·约翰斯顿这样的教授,他们是我的支持系统和导师。有很多挑战,但如果我有机会再来一次,我绝对会的。”
约翰·辛普森
(15年应用信息科学学士)
Veracode高级安全研究员
约翰·辛普森(John Simpson)年轻时大部分时间都在冰上度过,作为一名全国排名的花样滑冰运动员接受训练。但是,当辛普森不忙于他的吊臂、拉绳和窗帘时,你经常会发现他坐在电脑前,试图让软件以开发人员意想不到的方式运行。
辛普森说:“我基本上是在互联网的肮脏底层长大的。“我被黑客文化所吸引,不是因为我想对别人做坏事,而是因为我着迷于人们如何让电脑做一些它本不该做的事情。”
辛普森花了很长时间才意识到,他可以把这种迷恋转化为一份有益的职业。花样滑冰的需求使他在高中毕业后无法继续接受高等教育,在挂靴后,他在零售业工作了十年,直到看到谢里登大学应用信息科学学士学位的广告。
如今,辛普森是Veracode的高级安全研究员,Veracode是一家应用程序安全公司,为全球2500多家客户提供服务。他不是设计针对软件漏洞和缺陷的防御措施,而是帮助Veracode构建工具,从一开始就防止开发人员编写易受攻击的代码。辛普森说:“我们已经从拥有所有这些防火墙和检测应用程序来阻止黑客,转而认为,‘好吧,如果我们安全地编写软件,那么很多都是不必要的。’”“许多黑客攻击的根本原因是代码编写不当,这听起来像是一个简单的解决方案,但这是一个巨大的问题。说到底,软件是人写的,人也会犯错。”
“我真的很感谢谢里登的项目给我的MG游戏。它真的改变了我的生活。”
——约翰·辛普森
具有讽刺意味的是,最初吸引辛普森从事网络安全工作的,是想找到利用这些错误的方法,而不是阻止它们。“从第一天起,我就想成为一名有道德的黑客,但渗透测试最终没有满足我对解决技术难题的渴望。我想要一个更大的挑战,”他说。他认为谢里登学位的通才方法让他看到了该领域的许多其他职业机会。
作为该校大型学生俱乐部ISSessions的客座演讲者,辛普森每年都会向谢里登大学的学生们提供保持开放心态的建议。“不要害怕经常改变,尤其是在你MG游戏的早期,”该俱乐部的前联合主持人说。“在不同的网络安全领域工作将帮助你了解自己喜欢什么,不喜欢什么,这将决定你在这个行业的定位。”