介绍
在我们关于个人计算安全的后续系列中,今天我们将与 Dino A. Dai Zovi 交谈。三年前,CanSecWest 的组织者发起了一场名为 Pwn2Own 的竞赛。本次比赛涉及利用完全修补的零售笔记本电脑的挑战。破解笔记本电脑,您将赢得这台机器作为奖品。Dino A. Dai Zovi 是第一个在第一个 Pwn2Own 期间拿下 Mac 的人。去年和今年,查理·米勒 (Charlie Miller) 有幸拆除了两台完全打补丁的 Mac。Dino 和 Charlie 是 The Mac Hacker’s Handbook 的合著者。
Alan:感谢您抽出宝贵时间与我们交谈。所以,在我们开始之前,你为什么不先介绍一下你自己呢?
Dino:我是一名计算机安全专业人士和独立安全研究员。我的专业经验涵盖渗透测试、软件安全审计和安全管理。我是两本书的合著者,最近的一本是与 Charlie Miller 合着的 The Mac Hacker’s Handbook。我经常在安全会议上谈论我对漏洞利用技术、802.11 无线客户端安全和基于硬件虚拟化的 rootkit 的安全研究。我专注于攻击性安全研究,因为我认为有必要将系统视为攻击者,以便设计更安全的系统。
Alan:“攻击性”安全研究是现在最常见的做法吗?
Dino:这在计算机安全行业是稀有的,仍然被很多从业者认为是“禁忌”。虽然一些会议,如 Black Hat Briefings 和 CanSecWest,有大量讨论安全漏洞的演讲,但 RSA Expo 等大型会议对它的报道要少得多。
艾伦:我没有意识到这种区别。现在,为什么 Black Hat Briefings 和 CanSecWest 似乎总是展示最有趣和最具创新性的作品是有道理的。您是如何开始从事安全业务的?
Dino:我在高中时就开始自学计算机安全,从那以后一直在做一些其他的咨询工作,主要是为本地和远程企业进行渗透测试。这还不足以支付我上大学的费用,所以我还兼职担任 Unix 系统管理员。我在学校和工作中一直关注安全问题,最终我开始担任研究实验室的承包商,为他们的 Unix 管理团队进行安全分析。从那里,我也开始为他们的红队工作,并最终被聘入该小组,为外部组织执行红队安全评估。大学毕业后,我搬到纽约并开始为 @stake 工作,这是一家后来被赛门铁克收购的数字安全咨询公司。