Introduction
Dans notre série continue sur la sécurité informatique personnelle, nous parlons aujourd’hui avec Dino A. Dai Zovi. Il y a trois ans, les organisateurs de CanSecWest ont lancé un concours intitulé Pwn2Own. Ce concours impliquait le défi d’exploiter des ordinateurs portables de vente au détail entièrement corrigés. Piratez l’ordinateur portable et vous gagnerez la machine comme prix. Dino A. Dai Zovi a été la première personne à démonter un Mac lors du premier Pwn2Own. L’année dernière et cette année, Charlie Miller a eu l’honneur de démonter deux Mac entièrement patchés. Dino et Charlie sont co-auteurs du manuel The Mac Hacker’s Handbook.
Alan : Merci d’avoir pris le temps de discuter avec nous. Alors, avant de commencer, pourquoi ne pas nous parler un peu de vous ?
Dino : Je suis un professionnel de la sécurité informatique et un chercheur indépendant en sécurité. Mon expérience professionnelle couvre les tests d’intrusion, l’audit de sécurité logicielle et la gestion de la sécurité. Je suis co-auteur de deux livres, le plus récent étant The Mac Hacker’s Handbook avec Charlie Miller. Je parle souvent lors de conférences sur la sécurité de mes recherches en sécurité sur les techniques d’exploitation, la sécurité des clients sans fil 802.11 et les rootkits basés sur la virtualisation matérielle. Je me concentre sur la recherche en sécurité offensive car je pense qu’il est nécessaire de voir les systèmes comme le ferait un attaquant afin de concevoir des systèmes plus sécurisés.
Alan : Est-ce que la recherche de sécurité « offensive » est la plus couramment pratiquée actuellement ?
Dino : C’est dans la rareté de l’industrie de la sécurité informatique, et encore considéré comme « tabou » par de nombreux praticiens. Alors que certaines conférences, telles que les Black Hat Briefings et CanSecWest, organisent un grand nombre de discussions sur les faiblesses de la sécurité, les conférences plus importantes telles que la RSA Expo en couvrent beaucoup moins.
Alan : Je n’avais pas réalisé cette distinction. Maintenant, il est logique que Black Hat Briefings et CanSecWest semblent toujours présenter les travaux les plus intéressants et les plus innovants. Comment vous êtes-vous lancé dans le métier de la sécurité ?
Dino : J’avais commencé à enseigner la sécurité informatique par moi-même au lycée et j’avais effectué divers travaux de conseil depuis lors, principalement en effectuant des tests d’intrusion pour des entreprises locales et distantes. Ce n’était pas suffisant pour payer mes études universitaires, alors j’ai également travaillé à temps partiel en tant qu’administrateur de systèmes Unix. J’ai continué à me concentrer sur la sécurité à l’école et au travail, et j’ai finalement commencé à travailler comme sous-traitant pour un laboratoire de recherche effectuant des analyses de sécurité pour leur groupe d’administration Unix. À partir de là, j’ai également pu commencer à travailler pour leur équipe rouge et j’ai finalement été embauché dans ce groupe pour effectuer des évaluations de sécurité de l’équipe rouge pour des organisations externes. Après avoir obtenu mon diplôme universitaire, j’ai déménagé à New York et j’ai commencé à travailler pour @stake, la société de conseil en sécurité numérique qui a ensuite été rachetée par Symantec.
