序章
「Pwn2Own2008:MacBook Airが2分でハッキングされた」または「Pwn2Own2009:Safari/MacBookが数秒で落ちた」という見出しを見たことがあるでしょう。しかし、すべての見出しの背後には物語があり、見出しの背後にいる男であるチャーリー・ミラーよりも、誰から物語を得るのが良いでしょうか?Macに影響を与えるゼロデイエクスプロイトのデモンストレーションに連続して成功したチャーリーとチャットする機会がありました。
アラン:今日は私たちとチャットすることに同意してくれてありがとう。基本から始めましょう。私たちの読者は、あなたが昨年のCanSecWestで完全にパッチを当てたMacBookAirを最初に「取り壊した」ことを知っているでしょう。そして今年は、完全にパッチが適用されたMacBookを削除したときに、アンコールパフォーマンスが行われました。始める前に、あなた自身について少し話してみませんか?セキュリティビジネスを始めたきっかけは何ですか?
チャーリー:私は35歳で、セントルイスに住んでいます。私は子供の頃からコンピューターをいじくり回すのが好きでしたが、数学の学位を取得しました。その後、NSAでの5年間の実地訓練でした。私は実際、iPhoneを最初にハッキングしたことでおそらく最もよく知られています。私は現在、メリーランド州ボルチモアにある小さなコンサルティング会社であるIndependentSecurityEvaluatorsのプリンシパルアナリストです。
アラン:あなたは私があなたに尋ねなければならないことを知っています。NSAで働くのはどうでしたか?大学に入学したときに数学に興味を持っていたこと、または大学の就職説明会でNSAブースを歩いた結果、NSAでの仕事をしたことを知っていましたか?
チャーリー:私は数学が好きでした。専攻を数回切り替えましたが、やめたら二度と始められないことを知っていたので、いつも授業を続けていました。NSAに関しては、私が言うことはあまり許されていませんが、そこでの時間を楽しんでいました。
アラン:今日のあなたの仕事のどれだけが、Mac対PC対Linuxのセキュリティ保護に焦点を合わせていますか?あなたの典型的な顧客は誰ですか?
チャーリー:職場では、主にアプリケーションレベルのセキュリティに注目しています。これのほとんどは、実際にはオペレーティングシステムから独立しています。たとえば、ソースコードレビューやリバースエンジニアリングバイナリは、オペレーティングシステムにあまり依存しません。私はMacが好きで、たまたま壊れやすいので、研究に多くの時間を費やしてきました。
ISEの顧客のほとんどは、セキュリティを重視し、アプリケーションのセキュリティを確保したいと考えている中小企業です。チェックボックスだけが必要な企業は、私たちの仕事がかなり得意であり、その結果、他の多くのコンサルティング会社よりも高い料金を請求しているため、通常は別の場所に移動します。