pengantar
Anda mungkin pernah melihat berita utama: “Pwn2Own 2008: MacBook Air diretas dalam 2 menit” atau “Pwn2Own 2009: Safari/MacBook jatuh dalam hitungan detik.” Tapi ada cerita di balik setiap headline dan siapa yang lebih baik untuk mendapatkan cerita dari Charlie Miller, pria di balik headline? Kami memiliki kesempatan untuk mengobrol dengan Charlie setelah keberhasilannya berturut-turut dalam mendemonstrasikan eksploitasi zero-day yang memengaruhi Mac.
Alan: Terima kasih telah setuju untuk mengobrol dengan kami hari ini. Mari kita mulai dengan dasar-dasarnya. Pembaca kami akan tahu bahwa Anda adalah orang pertama yang “menjatuhkan” MacBook Air yang sepenuhnya ditambal di CanSecWest tahun lalu. Dan tahun ini, Anda memiliki kinerja encore saat Anda menghapus MacBook yang sepenuhnya ditambal. Sebelum kita mulai, mengapa tidak Anda ceritakan sedikit tentang diri Anda? Bagaimana Anda memulai bisnis keamanan?
Charlie: Saya berusia 35 tahun dan tinggal di St. Louis. Saya suka bermain-main dengan komputer sejak saya masih kecil, tetapi mendapat gelar di bidang Matematika. Setelah itu, ada pelatihan kerja selama lima tahun di NSA. Saya sebenarnya mungkin paling dikenal sebagai orang pertama yang meretas iPhone. Saya saat ini Analis Utama di Independent Security Evaluators, sebuah perusahaan konsultan kecil di Baltimore, MD.
Alan: Anda tahu saya harus bertanya kepada Anda. Bagaimana rasanya bekerja di NSA? Tahukah Anda bahwa Anda tertarik pada Matematika ketika Anda masuk perguruan tinggi, atau apakah tugas Anda di NSA adalah hasil dari berjalan di dekat stan NSA di bursa kerja perguruan tinggi?
Charlie: Saya menyukai Matematika. Saya berpindah jurusan beberapa kali tetapi selalu melanjutkan mengambil kelas karena saya tahu jika saya berhenti, saya tidak akan pernah bisa memulai lagi. Adapun NSA, tidak banyak yang boleh saya katakan, tapi saya menikmati waktu saya di sana.
Alan: Seberapa banyak pekerjaan Anda hari ini difokuskan untuk mengamankan Mac vs. PC vs. Linux? Siapa pelanggan tipikal Anda?
Charlie: Di tempat kerja, saya kebanyakan melihat keamanan tingkat aplikasi. Sebagian besar ini benar-benar independen dari sistem operasi. Misalnya, tinjauan kode sumber atau biner rekayasa balik tidak terlalu bergantung pada sistem operasi. Saya telah menghabiskan banyak waktu penelitian saya di Mac karena saya menyukainya dan mereka juga mudah rusak!
Sebagian besar pelanggan ISE adalah perusahaan kecil hingga menengah yang sangat peduli dengan keamanan dan ingin memastikan aplikasi mereka aman. Perusahaan yang hanya menginginkan kotak centang biasanya pergi ke tempat lain karena kami cukup baik dalam apa yang kami lakukan dan akibatnya membebankan biaya lebih banyak daripada banyak perusahaan konsultan lainnya.
