परिचय
व्यक्तिगत कंप्यूटिंग सुरक्षा पर हमारी निरंतर श्रृंखला में, आज हम डिनो ए. दाई ज़ोवी के साथ बात कर रहे हैं। तीन साल पहले, CanSecWest के आयोजकों ने Pwn2Own नामक एक प्रतियोगिता शुरू की थी। इस प्रतियोगिता में पूरी तरह से पैच वाले खुदरा लैपटॉप के दोहन की चुनौती शामिल थी। लैपटॉप हैक करें और आप पुरस्कार के रूप में मशीन जीतेंगे। पहले Pwn2Own के दौरान डिनो ए. दाई ज़ोवी मैक को उतारने वाले पहले व्यक्ति थे। पिछले साल और इस साल, चार्ली मिलर ने दो पूरी तरह से पैच किए गए मैक को नीचे ले जाने का सम्मान लिया। डिनो और चार्ली द मैक हैकर्स हैंडबुक के सह-लेखक हैं।
एलन: हमारे साथ चैट करने के लिए समय निकालने के लिए धन्यवाद। तो, शुरू करने से पहले, आप अपने बारे में कुछ क्यों नहीं बताते?
डिनो: मैं एक कंप्यूटर सुरक्षा पेशेवर और स्वतंत्र सुरक्षा शोधकर्ता हूं। मेरा पेशेवर अनुभव पैठ परीक्षण, सॉफ्टवेयर सुरक्षा ऑडिटिंग और सुरक्षा प्रबंधन तक फैला है। मैं दो पुस्तकों का सह-लेखक हूं, सबसे हाल ही में चार्ली मिलर के साथ द मैक हैकर्स हैंडबुक है। मैं अक्सर सुरक्षा सम्मेलनों में शोषण तकनीकों, 802.11 वायरलेस क्लाइंट सुरक्षा, और हार्डवेयर वर्चुअलाइजेशन-आधारित रूटकिट्स पर अपने सुरक्षा अनुसंधान के बारे में बोलता हूं। मैं आक्रामक सुरक्षा अनुसंधान पर ध्यान केंद्रित करता हूं क्योंकि मेरा मानना है कि सिस्टम को एक हमलावर के रूप में देखना आवश्यक है ताकि अधिक सुरक्षित सिस्टम तैयार किया जा सके।
एलन: क्या “आक्रामक” सुरक्षा अनुसंधान अब सबसे अधिक प्रचलित है?
डिनो: यह कंप्यूटर सुरक्षा उद्योग की दुर्लभता में है, और अभी भी कई चिकित्सकों द्वारा “वर्जित” माना जाता है। जबकि कुछ सम्मेलन, जैसे कि ब्लैक हैट ब्रीफिंग और कैनसेकवेस्ट, में बड़ी संख्या में वार्ता होती है जो सुरक्षा कमजोरियों पर चर्चा करती है, आरएसए एक्सपो जैसे बड़े सम्मेलन इसे काफी कम कवर करते हैं।
एलन: मुझे उस भेद का एहसास नहीं था। अब यह समझ में आता है कि क्यों ब्लैक हैट ब्रीफिंग और कैनसेकवेस्ट में हमेशा सबसे दिलचस्प और अभिनव काम प्रस्तुत किया जा रहा है। आपने सुरक्षा व्यवसाय में कैसे शुरुआत की?
डिनो: मैंने हाई स्कूल में खुद को कंप्यूटर सुरक्षा सिखाना शुरू कर दिया था और तब से कुछ विविध परामर्श कार्य कर रहा था, ज्यादातर स्थानीय और दूरस्थ व्यवसायों के लिए प्रवेश परीक्षण कर रहा था। यह कॉलेज के माध्यम से मेरे रास्ते का भुगतान करने के लिए पर्याप्त नहीं था, इसलिए मैंने यूनिक्स सिस्टम प्रशासक के रूप में अंशकालिक भी काम किया। मैं स्कूल और काम पर सुरक्षा पर ध्यान केंद्रित करता रहा, और अंततः मैंने उनके यूनिक्स प्रशासन समूह के लिए सुरक्षा विश्लेषण करने वाली एक शोध प्रयोगशाला के लिए एक ठेकेदार के रूप में काम करना शुरू किया। वहां से, मैं उनकी रेड टीम के लिए काम करना भी शुरू करने में सक्षम था और अंततः बाहरी संगठनों के लिए रेड टीम सुरक्षा आकलन करने के लिए उस समूह में काम पर रखा गया था। कॉलेज से स्नातक होने के बाद, मैं NYC में चला गया और @stake के लिए काम करना शुरू कर दिया, डिजिटल सुरक्षा परामर्श फर्म जिसे बाद में सिमेंटेक द्वारा खरीदा गया था।
