Giới thiệu
Trong loạt bài tiếp tục của chúng tôi về bảo mật máy tính cá nhân, hôm nay chúng ta sẽ nói chuyện với Dino A. Dai Zovi. Ba năm trước, ban tổ chức của CanSecWest đã bắt đầu một cuộc thi mang tên Pwn2Own. Cuộc thi này liên quan đến thử thách khai thác máy tính xách tay bán lẻ được vá đầy đủ. Hack máy tính xách tay và bạn sẽ giành được chiếc máy như một giải thưởng. Dino A. Dai Zovi là người đầu tiên hạ gục Mac trong Pwn2Own đầu tiên. Năm ngoái và năm nay, Charlie Miller đã vinh dự gỡ xuống hai máy Mac đã được vá lỗi đầy đủ. Dino và Charlie là đồng tác giả của The Mac Hacker’s Handbook.
Alan: Cảm ơn bạn đã dành thời gian trò chuyện với chúng tôi. Vì vậy, trước khi chúng ta bắt đầu, tại sao bạn không kể một chút về bản thân?
Dino: Tôi là một nhà nghiên cứu bảo mật độc lập và chuyên nghiệp về bảo mật máy tính. Kinh nghiệm chuyên môn của tôi bao gồm kiểm tra thâm nhập, kiểm tra bảo mật phần mềm và quản lý bảo mật. Tôi là đồng tác giả của hai cuốn sách, cuốn gần đây nhất là The Mac Hacker’s Handbook với Charlie Miller. Tôi thường phát biểu tại các hội nghị bảo mật về nghiên cứu bảo mật của tôi về kỹ thuật khai thác, bảo mật máy khách không dây 802.11 và bộ rootkit dựa trên ảo hóa phần cứng. Tôi tập trung vào nghiên cứu bảo mật tấn công bởi vì tôi tin rằng cần phải xem các hệ thống như một kẻ tấn công để thiết kế các hệ thống an toàn hơn.
Alan: Nghiên cứu bảo mật “tấn công” có phải là điều thường được thực hành nhất hiện nay không?
Dino: Đó là điều hiếm có trong ngành bảo mật máy tính, và vẫn bị nhiều người hành nghề coi là “điều cấm kỵ”. Trong khi một số hội nghị, chẳng hạn như Black Hat Briefings và CanSecWest, có một số lượng lớn các cuộc đàm phán thảo luận về các điểm yếu về bảo mật, thì các hội nghị lớn hơn như RSA Expo đề cập đến vấn đề này ít hơn đáng kể.
Alan: Tôi không nhận ra sự khác biệt đó. Bây giờ nó có ý nghĩa lý do tại sao Black Hat Briefings và CanSecWest dường như luôn có những tác phẩm thú vị và sáng tạo nhất được trình bày. Bạn đã bắt đầu kinh doanh bảo mật như thế nào?
Dino: Tôi đã bắt đầu tự học bảo mật máy tính ở trường trung học và đã làm một số công việc tư vấn linh tinh kể từ đó, chủ yếu là thực hiện các bài kiểm tra thâm nhập cho các doanh nghiệp địa phương và từ xa. Số tiền đó không đủ để tôi học đại học, vì vậy tôi cũng đã làm việc bán thời gian với tư cách là quản trị viên hệ thống Unix. Tôi tiếp tục tập trung vào vấn đề bảo mật ở trường học và nơi làm việc, và cuối cùng tôi bắt đầu làm việc với tư cách là nhà thầu cho một phòng nghiên cứu thực hiện phân tích bảo mật cho nhóm quản trị Unix của họ. Từ đó, tôi cũng có thể bắt đầu làm việc cho Đội Đỏ của họ và cuối cùng được thuê vào nhóm đó để thực hiện đánh giá an ninh của Đội Đỏ cho các tổ chức bên ngoài. Sau khi tốt nghiệp đại học, tôi chuyển đến NYC và bắt đầu làm việc cho @stake, công ty tư vấn bảo mật kỹ thuật số sau này được Symantec mua lại.
