pengenalan
Dalam siri berterusan kami tentang keselamatan pengkomputeran peribadi, hari ini kami bercakap dengan Dino A. Dai Zovi. Tiga tahun lalu, penganjur CanSecWest memulakan peraduan bertajuk Pwn2Own. Peraduan ini melibatkan cabaran untuk mengeksploitasi komputer riba runcit yang ditambal sepenuhnya. Hack komputer riba dan anda akan memenangi mesin sebagai hadiah. Dino A. Dai Zovi ialah orang pertama yang menurunkan Mac semasa Pwn2Own pertama. Tahun lepas dan tahun ini, Charlie Miller mengambil penghormatan untuk menurunkan dua Mac yang ditambal sepenuhnya. Dino dan Charlie ialah pengarang bersama pada Buku Panduan The Mac Hacker.
Alan: Terima kasih kerana meluangkan masa untuk berbual dengan kami. Jadi, sebelum kita mula, kenapa tidak anda ceritakan sedikit tentang diri anda?
Dino: Saya seorang profesional keselamatan komputer dan penyelidik keselamatan bebas. Pengalaman profesional saya merangkumi ujian penembusan, pengauditan keselamatan perisian dan pengurusan keselamatan. Saya adalah pengarang bersama dua buku, yang terbaharu ialah Buku Panduan The Mac Hacker dengan Charlie Miller. Saya sering bercakap di persidangan keselamatan tentang penyelidikan keselamatan saya tentang teknik eksploitasi, keselamatan pelanggan wayarles 802.11 dan rootkit berasaskan virtualisasi perkakasan. Saya menumpukan pada penyelidikan keselamatan yang menyinggung perasaan kerana saya percaya bahawa adalah perlu untuk melihat sistem seperti yang dilakukan oleh penyerang untuk mereka bentuk sistem yang lebih selamat.
Alan: Adakah penyelidikan keselamatan “menyinggung” perkara yang paling biasa diamalkan sekarang?
Dino: Ia adalah jarang berlaku dalam industri keselamatan komputer, dan masih dianggap “tabu” oleh ramai pengamal. Walaupun beberapa persidangan, seperti Taklimat Black Hat dan CanSecWest, mempunyai sejumlah besar ceramah yang membincangkan kelemahan keselamatan, persidangan yang lebih besar seperti Ekspo RSA menutupnya dengan ketara kurang.
Alan: Saya tidak menyedari perbezaan itu. Sekarang masuk akal mengapa Taklimat Black Hat dan CanSecWest nampaknya sentiasa menampilkan karya yang paling menarik dan inovatif. Bagaimanakah anda memulakan perniagaan keselamatan?
Dino: Saya telah mula mengajar diri saya keselamatan komputer di sekolah menengah dan telah melakukan beberapa kerja perundingan pelbagai sejak itu, kebanyakannya melakukan ujian penembusan untuk perniagaan tempatan dan jauh. Itu tidak mencukupi untuk membayar saya melalui kolej, jadi saya juga bekerja sambilan sebagai pentadbir sistem Unix. Saya terus memberi tumpuan kepada keselamatan di sekolah dan di tempat kerja, dan akhirnya saya mula bekerja sebagai kontraktor untuk makmal penyelidikan yang menjalankan analisis keselamatan untuk kumpulan pentadbiran Unix mereka. Dari situ, saya juga dapat mula bekerja untuk Pasukan Merah mereka dan akhirnya diupah ke dalam kumpulan itu untuk melaksanakan penilaian keselamatan Pasukan Merah untuk organisasi luar. Selepas saya menamatkan pengajian di kolej, saya berpindah ke NYC dan mula bekerja untuk @stake, firma perunding keselamatan digital yang kemudiannya dibeli oleh Symantec.
