pengenalan
Anda mungkin pernah melihat tajuk utama: “Pwn2Own 2008: MacBook Air digodam dalam masa 2 minit” atau “Pwn2Own 2009: Safari/MacBook jatuh dalam beberapa saat.” Tetapi ada cerita di sebalik setiap tajuk dan siapa yang lebih baik untuk mendapatkan cerita daripada Charlie Miller, lelaki di sebalik tajuk utama? Kami berpeluang untuk berbual dengan Charlie selepas kejayaannya berturut-turut dalam menunjukkan eksploitasi sifar hari yang menjejaskan Mac.
Alan: Terima kasih kerana bersetuju untuk berbual dengan kami hari ini. Mari kita mulakan dengan asas. Pembaca kami akan mengetahui bahawa anda adalah orang pertama yang “menghapuskan” MacBook Air yang ditambal sepenuhnya di CanSecWest tahun lepas. Dan pada tahun ini, anda mempunyai prestasi encore apabila anda menurunkan MacBook yang ditambal sepenuhnya. Sebelum kita mula, kenapa tidak anda ceritakan sedikit tentang diri anda? Bagaimanakah anda memulakan perniagaan keselamatan?
Charlie: Saya berumur 35 tahun dan tinggal di St. Louis. Saya suka bermain-main dengan komputer sejak saya kecil, tetapi mendapat ijazah dalam Matematik. Selepas itu, lima tahun latihan sambil bekerja di NSA. Saya sebenarnya mungkin paling terkenal sebagai orang pertama yang menggodam iPhone. Saya kini merupakan Penganalisis Utama di Independent Security Evaluators, sebuah firma perunding kecil di Baltimore, MD.
Alan: Awak tahu saya kena tanya awak. Bagaimana rasanya bekerja di NSA? Adakah anda tahu bahawa anda mempunyai minat dalam Matematik semasa anda memasuki kolej, atau adakah anda berkhidmat di NSA hasil daripada berjalan di gerai NSA di pameran kerja kolej?
Charlie: Saya suka Matematik. Saya bertukar jurusan beberapa kali tetapi sentiasa meneruskan kelas kerana saya tahu jika saya berhenti saya tidak akan dapat memulakannya lagi. Bagi NSA, tidak banyak yang boleh saya katakan, tetapi saya menikmati masa saya di sana.
Alan: Berapa banyak kerja anda hari ini tertumpu pada keselamatan Mac lwn PC lwn Linux? Siapa pelanggan biasa anda?
Charlie: Di tempat kerja, saya kebanyakannya melihat keselamatan peringkat aplikasi. Kebanyakan ini benar-benar bebas daripada sistem pengendalian. Sebagai contoh, ulasan kod sumber atau binari kejuruteraan terbalik tidak banyak bergantung pada sistem pengendalian. Saya telah menghabiskan banyak masa penyelidikan saya pada Mac kerana saya menyukainya dan ia juga agak mudah dipecahkan!
Kebanyakan pelanggan ISE adalah syarikat bersaiz kecil hingga sederhana yang sangat mengambil berat tentang keselamatan dan ingin memastikan aplikasi mereka selamat. Syarikat yang hanya mahukan kotak semak biasanya pergi ke tempat lain kerana kami cukup mahir dalam apa yang kami lakukan dan akibatnya mengenakan bayaran lebih daripada banyak firma perunding lain.
