Introdução
Em nossa série contínua sobre segurança de computação pessoal, hoje estamos conversando com Dino A. Dai Zovi. Três anos atrás, os organizadores do CanSecWest iniciaram um concurso intitulado Pwn2Own. Este concurso envolveu o desafio de explorar laptops de varejo totalmente remendados. Hackeie o laptop e você ganhará a máquina como prêmio. Dino A. Dai Zovi foi a primeira pessoa a derrubar um Mac durante o primeiro Pwn2Own. No ano passado e neste ano, Charlie Miller teve a honra de derrubar dois Macs totalmente corrigidos. Dino e Charlie são co-autores do The Mac Hacker’s Handbook.
Alan: Obrigado por tirar um tempo para conversar conosco. Então, antes de começarmos, por que você não fala um pouco sobre você?
Dino: Sou um profissional de segurança de computadores e pesquisador de segurança independente. Minha experiência profissional abrange testes de penetração, auditoria de segurança de software e gerenciamento de segurança. Sou co-autor de dois livros, sendo o mais recente The Mac Hacker’s Handbook com Charlie Miller. Costumo falar em conferências de segurança sobre minha pesquisa de segurança sobre técnicas de exploração, segurança de clientes sem fio 802.11 e rootkits baseados em virtualização de hardware. Concentro-me na pesquisa de segurança ofensiva porque acredito que é necessário ver os sistemas como um invasor faria para projetar sistemas mais seguros.
Alan: A pesquisa de segurança “ofensiva” é o que é mais comumente praticado agora?
Dino: É uma raridade no setor de segurança de computadores e ainda é considerado “tabu” por muitos profissionais. Enquanto algumas conferências, como Black Hat Briefings e CanSecWest, têm um grande número de palestras que discutem as deficiências de segurança, as conferências maiores, como a RSA Expo, cobrem isso significativamente menos.
Alan: Eu não percebi essa distinção. Agora faz sentido porque Black Hat Briefings e CanSecWest sempre parecem ter o trabalho mais interessante e inovador sendo apresentado. Como você começou no mercado de segurança?
Dino: Eu comecei a me ensinar segurança de computadores no ensino médio e vinha fazendo vários trabalhos de consultoria desde então, principalmente realizando testes de penetração para empresas locais e remotas. Isso não foi suficiente para pagar minha faculdade, então também trabalhei meio período como administrador de sistemas Unix. Continuei me concentrando em segurança na escola e no trabalho e, eventualmente, comecei a trabalhar como contratado para um laboratório de pesquisa realizando análises de segurança para o grupo de administração do Unix. A partir daí, também pude começar a trabalhar para a Red Team e acabei sendo contratado para esse grupo para realizar avaliações de segurança da Red Team para organizações externas. Depois de me formar na faculdade, me mudei para Nova York e comecei a trabalhar na @stake, a consultoria de segurança digital que mais tarde foi comprada pela Symantec.
