Einführung
In unserer fortlaufenden Reihe zur Sicherheit von Personal Computern sprechen wir heute mit Dino A. Dai Zovi. Vor drei Jahren starteten die Organisatoren von CanSecWest einen Wettbewerb mit dem Titel Pwn2Own. Dieser Wettbewerb beinhaltete die Herausforderung, vollständig gepatchte Einzelhandels-Laptops zu nutzen. Hacken Sie den Laptop und Sie würden die Maschine als Preis gewinnen. Dino A. Dai Zovi war die erste Person, die während des ersten Pwn2Own einen Mac abschaltete. Letztes und dieses Jahr hatte Charlie Miller die Ehre, zwei vollständig gepatchte Macs vom Netz zu nehmen. Dino und Charlie sind Co-Autoren des The Mac Hacker’s Handbook.
Alan: Vielen Dank, dass Sie sich die Zeit genommen haben, mit uns zu plaudern. Also, bevor wir anfangen, warum erzählst du nicht ein bisschen über dich?
Dino: Ich bin Computersicherheitsexperte und unabhängiger Sicherheitsforscher. Meine Berufserfahrung umfasst Penetrationstests, Software-Sicherheitsaudits und Sicherheitsmanagement. Ich bin Co-Autor zweier Bücher, das jüngste ist The Mac Hacker’s Handbook mit Charlie Miller. Ich spreche oft auf Sicherheitskonferenzen über meine Sicherheitsforschung zu Exploit-Techniken, 802.11-Wireless-Client-Sicherheit und auf Hardware-Virtualisierung basierenden Rootkits. Ich konzentriere mich auf offensive Sicherheitsforschung, weil ich glaube, dass es notwendig ist, Systeme so zu betrachten, wie es ein Angreifer tun würde, um sicherere Systeme zu entwerfen.
Alan: Ist „offensive“ Sicherheitsforschung das, was heute am häufigsten praktiziert wird?
Dino: Es ist eine Seltenheit in der Computersicherheitsbranche und wird von vielen Praktikern immer noch als „Tabu“ angesehen. Während einige Konferenzen, wie die Black Hat Briefings und CanSecWest, eine große Anzahl von Vorträgen haben, die Sicherheitsschwächen diskutieren, behandeln die größeren Konferenzen wie die RSA Expo deutlich weniger.
Alan: Diese Unterscheidung war mir nicht bewusst. Jetzt macht es Sinn, warum Black Hat Briefings und CanSecWest immer die interessantesten und innovativsten Arbeiten zu präsentieren scheinen. Wie sind Sie zum Sicherheitsgeschäft gekommen?
Dino: Ich habe in der High School damit begonnen, mir selbst Computersicherheit beizubringen, und habe seitdem verschiedene Beratungsarbeiten durchgeführt, hauptsächlich Penetrationstests für lokale und entfernte Unternehmen durchgeführt. Das reichte nicht, um mein Studium zu finanzieren, also arbeitete ich nebenbei als Unix-Systemadministrator. Ich konzentrierte mich weiterhin auf Sicherheit in der Schule und bei der Arbeit, und schließlich begann ich als Auftragnehmer für ein Forschungslabor zu arbeiten, das Sicherheitsanalysen für ihre Unix-Verwaltungsgruppe durchführte. Von dort aus konnte ich auch für ihr Red Team arbeiten und wurde schließlich in diese Gruppe eingestellt, um Red Team-Sicherheitsbewertungen für externe Organisationen durchzuführen. Nachdem ich das College abgeschlossen hatte, zog ich nach NYC und fing an, für @stake zu arbeiten, das Beratungsunternehmen für digitale Sicherheit, das später von Symantec aufgekauft wurde.
