เบื้องหลัง Pwn2Own: บทสัมภาษณ์พิเศษกับ Charlie Miller

บทนำ

คุณอาจเคยเห็นพาดหัวข่าวว่า “Pwn2Own 2008: MacBook Air ถูกแฮ็กใน 2 นาที” หรือ “Pwn2Own 2009: Safari/MacBook ตกในไม่กี่วินาที” แต่มีเรื่องราวเบื้องหลังทุกพาดหัวข่าว และใครเล่าจะดีไปกว่าชาร์ลี มิลเลอร์ คนที่อยู่เบื้องหลังพาดหัวข่าว เรามีโอกาสได้พูดคุยกับ Charlie หลังจากที่เขาประสบความสำเร็จในการสาธิตช่องโหว่ซีโร่เดย์ที่ส่งผลต่อ Mac

อลัน: ขอบคุณที่ตกลงที่จะพูดคุยกับเราในวันนี้ เริ่มจากพื้นฐานกันก่อน ผู้อ่านของเราจะรู้ว่าคุณเป็นคนแรกๆ ที่ “ถอด” MacBook Air ที่มีการแพตช์อย่างสมบูรณ์ที่ CanSecWest ปีที่แล้ว และในปีนี้ คุณมีประสิทธิภาพอีกครั้งเมื่อคุณถอด MacBook ที่มีการแพตช์อย่างสมบูรณ์ ก่อนที่เราจะเริ่มต้น ทำไมไม่บอกตัวเองสักหน่อย? คุณเริ่มต้นในธุรกิจความปลอดภัยได้อย่างไร?

ชาร์ลี: ฉันอายุ 35 ปี และอาศัยอยู่ที่เซนต์หลุยส์ ฉันชอบทำงานเกี่ยวกับคอมพิวเตอร์ตั้งแต่ฉันยังเป็นเด็ก แต่ได้รับปริญญาด้านคณิตศาสตร์ หลังจากนั้น ก็เป็นการฝึกภาคปฏิบัติที่ NSA เป็นเวลาห้าปี ที่จริงฉันอาจเป็นที่รู้จักกันดีว่าเป็นคนแรกๆ ที่แฮ็ค iPhone ปัจจุบันฉันเป็นหัวหน้านักวิเคราะห์ที่ Independent Security Evaluators ซึ่งเป็นบริษัทที่ปรึกษาเล็กๆ ในเมืองบัลติมอร์ รัฐแมริแลนด์ 

อลัน: คุณก็รู้ว่าฉันต้องถามคุณ การทำงานที่ NSA เป็นอย่างไร? คุณรู้หรือไม่ว่าคุณมีความสนใจในวิชาคณิตศาสตร์เมื่อคุณเข้าเรียนในวิทยาลัย หรือคุณถูกคุมขังที่ NSA เป็นผลมาจากการเดินที่บูธ NSA ที่งานมหกรรมวิทยาลัย

ชาร์ลี: ฉันชอบคณิตศาสตร์ ฉันเปลี่ยนวิชาเอกไปไม่กี่ครั้งแต่ก็ยังเรียนต่ออยู่เสมอ เพราะฉันรู้ว่าถ้าหยุดไป ฉันก็จะไม่สามารถเริ่มเรียนได้อีก สำหรับ NSA ฉันไม่สามารถพูดอะไรได้มาก แต่ฉันมีความสุขกับเวลาที่นั่น

อลัน: งานของคุณในวันนี้เน้นไปที่การรักษาความปลอดภัยของ Mac กับ PC กับ Linux มากแค่ไหน? ลูกค้าทั่วไปของคุณคือใคร?

ชาร์ลี: ที่ทำงาน ส่วนใหญ่ฉันจะดูที่ความปลอดภัยระดับแอปพลิเคชัน ส่วนใหญ่เป็นอิสระจากระบบปฏิบัติการ ตัวอย่างเช่น การตรวจสอบซอร์สโค้ดหรือไบนารีวิศวกรรมย้อนกลับไม่ได้ขึ้นอยู่กับระบบปฏิบัติการมากนัก ฉันใช้เวลาค้นคว้ามากกับ Mac เพราะฉันชอบมันและมันค่อนข้างพังง่ายด้วย!

ลูกค้าของ ISE ส่วนใหญ่เป็นบริษัทขนาดเล็กถึงขนาดกลางที่ใส่ใจเรื่องความปลอดภัยเป็นอย่างมาก และต้องการให้แน่ใจว่าแอปพลิเคชันของพวกเขาปลอดภัย บริษัทที่ต้องการเพียงช่องทำเครื่องหมายมักจะไปที่อื่นเพราะเราค่อนข้างดีในสิ่งที่เราทำและส่งผลให้เรียกเก็บเงินมากกว่าบริษัทที่ปรึกษาอื่นๆ