序章
パーソナルコンピューティングのセキュリティに関する継続的なシリーズでは、本日、Dino A.DaiZoviと話をします。3年前、CanSecWestの主催者はPwn2Ownというタイトルのコンテストを開始しました。このコンテストには、完全にパッチが適用された小売用ラップトップを悪用するという課題が含まれていました。ラップトップをハックすると、賞品としてマシンを獲得できます。Dino A. Dai Zoviは、最初のPwn2OwnでMacをダウンさせた最初の人物でした。昨年と今年、CharlieMillerは完全にパッチが適用された2台のMacを削除することを光栄に思いました。DinoとCharlieは、The MacHacker’sHandbookの共著者です。
アラン:お時間を割いていただきありがとうございます。では、始める前に、自分自身について少し話してみませんか?
ディノ:私はコンピューターセキュリティの専門家であり、独立したセキュリティ研究者です。私の専門的な経験は、侵入テスト、ソフトウェアセキュリティ監査、およびセキュリティ管理に及びます。私は2冊の本の共著者です。最新の本はCharlieMillerとのTheMacHacker’sHandbookです。私はセキュリティ会議で、悪用技術、802.11ワイヤレスクライアントセキュリティ、およびハードウェア仮想化ベースのルートキットに関するセキュリティ研究についてよく話します。より安全なシステムを設計するには、攻撃者と同じようにシステムを見る必要があると考えているため、攻撃的なセキュリティ研究に焦点を当てています。
アラン:「攻撃的な」セキュリティ調査は、現在最も一般的に行われていることですか?
ディノ:それはコンピュータセキュリティ業界では珍しく、今でも多くの実務家から「タブー」と見なされています。Black Hat BriefingsやCanSecWestなどの一部の会議では、セキュリティの弱点について議論する多数の講演がありますが、RSAExpoなどの大規模な会議ではそれが大幅に少なくなっています。
アラン:私はその区別に気づいていませんでした。今では、BlackHatBriefingsとCanSecWestが常に最も興味深く革新的な作品を発表しているように見える理由は理にかなっています。セキュリティビジネスを始めたきっかけは何ですか?
ディノ:私は高校でコンピューターのセキュリティを学び始め、それ以来、さまざまなコンサルティング業務を行っていました。主に、ローカルおよびリモートの企業の侵入テストを実行していました。それだけでは大学を卒業するのに十分ではなかったので、Unixシステム管理者としてパートタイムで働いていました。私は学校や職場でのセキュリティに焦点を合わせ続け、最終的には、Unix管理グループのセキュリティ分析を行う研究所の請負業者として働き始めました。そこから、私は彼らのレッドチームで働き始めることができ、最終的にはそのグループに雇われて、外部組織のレッドチームのセキュリティ評価を実行しました。大学を卒業した後、ニューヨークに移り、後にノートンライフロックに買収されたデジタルセキュリティコンサルティング会社である@stakeで働き始めました。