pengantar
Dalam seri berkelanjutan kami tentang keamanan komputasi pribadi, hari ini kami berbicara dengan Dino A. Dai Zovi. Tiga tahun lalu, penyelenggara CanSecWest memulai kontes bertajuk Pwn2Own. Kontes ini melibatkan tantangan untuk mengeksploitasi laptop ritel yang sepenuhnya ditambal. Retas laptop dan Anda akan memenangkan mesin sebagai hadiah. Dino A. Dai Zovi adalah orang pertama yang menurunkan Mac selama Pwn2Own pertama. Tahun lalu dan tahun ini, Charlie Miller mendapat kehormatan untuk menghapus dua Mac yang sepenuhnya ditambal. Dino dan Charlie adalah rekan penulis di The Mac Hacker’s Handbook.
Alan: Terima kasih telah meluangkan waktu untuk mengobrol dengan kami. Jadi, sebelum kita mulai, mengapa tidak Anda ceritakan sedikit tentang diri Anda?
Dino: Saya seorang profesional keamanan komputer dan peneliti keamanan independen. Pengalaman profesional saya mencakup pengujian penetrasi, audit keamanan perangkat lunak, dan manajemen keamanan. Saya adalah rekan penulis dua buku, yang terbaru adalah Buku Pegangan Peretas Mac dengan Charlie Miller. Saya sering berbicara di konferensi keamanan tentang penelitian keamanan saya tentang teknik eksploitasi, keamanan klien nirkabel 802.11, dan rootkit berbasis virtualisasi perangkat keras. Saya fokus pada penelitian keamanan ofensif karena saya percaya bahwa perlu untuk melihat sistem sebagai penyerang untuk merancang sistem yang lebih aman.
Alan: Apakah penelitian keamanan “menyerang” yang paling umum dilakukan sekarang?
Dino: Ini jarang terjadi di industri keamanan komputer, dan masih dianggap “tabu” oleh banyak praktisi. Sementara beberapa konferensi, seperti Black Hat Briefings dan CanSecWest, memiliki banyak pembicaraan yang membahas kelemahan keamanan, konferensi yang lebih besar seperti RSA Expo membahasnya secara signifikan lebih sedikit.
Alan: Saya tidak menyadari perbedaan itu. Sekarang masuk akal mengapa Black Hat Briefings dan CanSecWest tampaknya selalu menampilkan karya paling menarik dan inovatif. Bagaimana Anda memulai bisnis keamanan?
Dino: Saya mulai belajar sendiri tentang keamanan komputer di sekolah menengah dan telah melakukan berbagai pekerjaan konsultasi sejak saat itu, sebagian besar melakukan tes penetrasi untuk bisnis lokal dan jarak jauh. Itu tidak cukup untuk membiayai kuliah saya, jadi saya juga bekerja paruh waktu sebagai administrator sistem Unix. Saya terus berfokus pada keamanan di sekolah dan di tempat kerja, dan akhirnya saya mulai bekerja sebagai kontraktor untuk laboratorium penelitian yang melakukan analisis keamanan untuk grup administrasi Unix mereka. Dari sana, saya juga dapat mulai bekerja untuk Tim Merah mereka dan akhirnya dipekerjakan dalam kelompok tersebut untuk melakukan penilaian keamanan Tim Merah untuk organisasi eksternal. Setelah lulus kuliah, saya pindah ke NYC dan mulai bekerja untuk @stake, perusahaan konsultan keamanan digital yang kemudian dibeli oleh Symantec.
