Tanıtım
Kişisel bilgisayar güvenliği üzerine devam eden serimizde bugün Dino A. Dai Zovi ile konuşuyoruz. Üç yıl önce CanSecWest organizatörleri Pwn2Own adlı bir yarışma başlattı. Bu yarışma, tamamen yamalı perakende dizüstü bilgisayarlardan yararlanma zorluğunu içeriyordu. Dizüstü bilgisayarı hackleyin ve makineyi ödül olarak kazanın. Dino A. Dai Zovi, ilk Pwn2Own sırasında Mac’i indiren ilk kişiydi. Geçen yıl ve bu yıl, Charlie Miller iki tam yamalı Mac’i indirme onurunu aldı. Dino ve Charlie, The Mac Hacker’s Handbook’un ortak yazarlarıdır.
Alan: Bizimle sohbet etmek için zaman ayırdığınız için teşekkür ederiz. Öyleyse, başlamadan önce, neden biraz kendinizden bahsetmiyorsunuz?
Dino: Ben bir bilgisayar güvenliği uzmanıyım ve bağımsız güvenlik araştırmacısıyım. Profesyonel deneyimim sızma testi, yazılım güvenliği denetimi ve güvenlik yönetimini kapsar. En sonuncusu Charlie Miller ile birlikte The Mac Hacker’s Handbook olan iki kitabın ortak yazarıyım. Güvenlik konferanslarında sık sık istismar teknikleri, 802.11 kablosuz istemci güvenliği ve donanım sanallaştırma tabanlı rootkit’ler hakkındaki güvenlik araştırmam hakkında konuşurum. Saldırgan güvenlik araştırmalarına odaklanıyorum çünkü daha güvenli sistemler tasarlamak için sistemleri bir saldırganın yapacağı gibi görmenin gerekli olduğuna inanıyorum.
Alan: Şu anda en yaygın olarak uygulanan şey “saldırgan” güvenlik araştırması mı?
Dino: Bilgisayar güvenliği endüstrisinde nadirdir ve birçok uygulayıcı tarafından hala “tabu” olarak kabul edilir. Black Hat Brifings ve CanSecWest gibi bazı konferanslar güvenlik zayıflıklarını tartışan çok sayıda görüşmeye sahipken, RSA Expo gibi daha büyük konferanslar bunu önemli ölçüde daha az kapsıyor.
Alan: Bu ayrımı fark etmemiştim. Black Hat Briefings ve CanSecWest’in neden her zaman en ilginç ve yenilikçi çalışmaların sunulduğu şimdi anlaşıldı. Güvenlik işine nasıl başladınız?
Dino: Lisede kendime bilgisayar güvenliği öğretmeye başlamıştım ve o zamandan beri çeşitli danışmanlık işleri yapıyordum, çoğunlukla yerel ve uzak işletmeler için sızma testleri yapıyordum. Bu, üniversiteyi kazanmam için yeterli değildi, bu yüzden bir Unix sistem yöneticisi olarak yarı zamanlı olarak da çalıştım. Okulda ve işte güvenliğe odaklanmaya devam ettim ve sonunda Unix yönetim grupları için güvenlik analizi yapan bir araştırma laboratuvarında yüklenici olarak çalışmaya başladım. Oradan, onların Red Team için çalışmaya da başlayabildim ve sonunda harici organizasyonlar için Red Team güvenlik değerlendirmeleri yapmak üzere bu gruba dahil edildim. Üniversiteden mezun olduktan sonra NYC’ye taşındım ve daha sonra Symantec tarafından satın alınan dijital güvenlik danışmanlık firması @stake için çalışmaya başladım.
