07Aug 12 Wie man in Sicherheit, Miller Edition für diesen fünften Auflage in eine für Menschen in als ein Handwerk oder Beruf mehr über Sicherheit lernen interessiert zu brechen, interviewte ich Charlie Miller, ein Software-Bug-Finder extraordinaire und Principal Research Consultant mit. Wahrscheinlich am besten für seine Fähigkeiten bekannt zu hacken Apple-Produkte, verbrachte Miller fünf Jahre der National Security Agency als "globales Netzwerk Ausbeutung Analyst." Nachdem ich die NSA zu verlassen, Miller geschnitzt für sich eine Nische als unabhängiger Sicherheitsberater, bevor er Accuvant im Mai 2011 BK: Wie haben Sie Ihre Arbeit für die NSA bereiten Sie für einen Job in der Privatwirtschaft? Hat es keine besonderen Fähigkeiten oder Perspektiven bieten, die Sie sonst vielleicht nicht im privaten Sektor bekommen haben? Miller: Im Grunde ist es vorgesehen, Ausbildung am Arbeitsplatz. Ich habe ein anständiges Gehalt zu lernen, Informationssicherheit und der Praxis ist es zu einem vernünftigen Tempo bezahlt. Es ist schwer, andere Jobs vorzustellen, die das tun würde, aber wenn Sie eine Menge freie Zeit haben,Sie könnten eine solche Erfahrung zu simulieren. BK: Die US-Regierung unter anderem beginnt einige ernsthafte Münze Cyber ​​zu widmen. Sollte Möchtegern-sein Cyber-Krieger an die Regierung als einen Weg suchen, um ihre Fuß in die Tür dieser Industrie zu bekommen? Oder neigen die Option vor allem für junge Menschen einen Sinn? Miller: Für mich ist es sinnvoll, am Anfang, aber es gibt einige Nachteile. Der offensichtlichste Nachteil ist, Regierung zahlen, da die Privatwirtschaft nicht so konkurrenzfähig ist. Das ist nicht so eine große Sache, wenn Sie anfangen, aber ich glaube nicht, dass ich aus diesem Grund mehr für die Regierung arbeiten konnte. Aus diesem Grund, viele Menschen nutzen Regierung Arbeitsplätze als Startpunkt höher bezahlte Arbeitsplätze (wie Regierung Contracting). Für mich, ich fand es sehr schwierig Regierung zu verlassen und eine (nicht Govt Contracting) Industrie ein. Ich hatte 5 Jahre Erfahrung, die als ein paar Stichpunkte in meinem Lebenslauf auftauchte. Ich konnte nicht darüber reden, was ich wusste, wie ich es kannte, Erfahrung, die ich hatte,usw. Ich hatte nach dem Verlassen NSA eine Menge Ärger, einen guten Job zu bekommen. BK: Sie haben ein ziemlich vocal Verfechter der Idee gewesen, die Unternehmen sollten nicht Sicherheitsforscher erwarten Bugs zu melden kostenlos. Aber es scheint, als ob es gibt jetzt eine Reihe von Unternehmen zu zahlen (zugegebenermaßen manchmal Nominalbeträge) für Fehler, und es gibt mehrere Organisationen, die sehr gut für anständige Schwachstellen zahlen. Und sicherlich haben Sie einen schönen Batzen Änderung vorgenommen hat. Ist dies ein gangbarer Weg für Forscher Möchtegern-um ein Leben zu machen? Wenn ja, ist es eine realistische Sprosse zu streben, oder Bug-Jagd nach Geld eine Art olympische Sportart, in der nur die Elite zu sein? Miller: In einigen Teilen der Welt ist es möglich, Fehlersuche mit Zahlungen zu leben. Doch angesichts der Kosten in den USA leben, ich glaube nicht, dass es Sinn macht. Auch wenn Sie in gelegentliche Regierung Umsatz mischen, wäre es ein hartes Leben weg von Bug-Verkäufe leben. Wenn ich dachte, es war lukrativ, würde ich es zu tun ist! Für mich ist es schwer macht mehr vorzustellen, alsIch mache jetzt als Berater durch den Verkauf von Wanzen und der Höhe des Risikos ich würde zu wäre übernehmen viel höher. BK: Wie nützlich ist bei der Unterstützung Forscher verstehen und neue Angriffstechniken entwickeln? Würden Sie Fuzzing als Lernmethode, oder ist dies ein Ansatz, der nur die gelernten und fortschrittliche Forscher sind wahrscheinlich zu bekommen Kilometer von empfehlen? Miller: Jeder Forscher sollte zumindest ein Zerfasern in ihrem Werkzeugkasten haben. Es braucht nicht viel Geschick, es zu tun, und es ist in der Regel der schnellste Weg für Bugs zu beginnen suchen. Ich habe es eine lange Zeit zu tun, und gerade jemand würde beginnen wahrscheinlich schon 80-90% so effektiv sein, wie ich bin. Natürlich am Ende, müssen Sie immer das Ziel zu verstehen, ob es sich für Fehler zu suchen ist oder stürzt ab, um herauszufinden, aber Fuzzing ist eine schnelle und einfache Art und Weise und zumindest zu beginnen, die Menge des Ziel Sie müssen begrenzen verstehen. Einige Fuzzing Tipps: Starten Sie einfach, fügen Protokoll Wissen / Komplexität je nach Bedarf. Verwenden Sie mehrere (Typen) Fuzzer für jedenJob. Verwenden Sie "Vorlage Reduktion", wenn stumm Fuzzing. Vergessen Sie nicht, Ihr Gerät für Abstürze zu überwachen, wenn Sie kann nicht sagen, wenn etwas schief geht, Fuzzing ist eine Verschwendung von Zeit. BK: Was ist die wertvollste Lernwerkzeug für Sie in Ihrer Arbeit gewesen? Miller: Ich weiß es nicht. Ich benutze Werkzeuge, wie und verschiedene Fuzzer, und Freunde, etc. Aber ich würde nicht sagen, irgendwelche von denen lernen Werkzeuge per se, aber sie sind definitiv Werkzeuge des Handels müssen Sie in der Lage sein, zu wissen, wenn Sie wollen verstehen, die Mängel in niedrigen Niveau nativen Code gefunden. (Oder Äquivalente für Windows wie, etc) Sie müssen in der Lage sein, diese Werkzeuge zu nutzen, ohne sich um sie, um zu denken Ihre wirklichen Fähigkeiten zu zeigen. BK: Was ist Programmiersprachen? Haben Sie spezielle diejenigen empfehlen? Miller: Nun, ich weiß es wirklich eine Menge von Reverse Engineering und binäre Analyse, was ungewöhnlich ist. Für mich, es ist wichtig C / C + zu wissen, weil es eine Sprache ist, die Sie sehr niedrigen Niveau Zugriff auf den Speicher und am ehesten entspricht, was können Sie sehen,in nativen Code. Doch für diejenigen, am Anfang steht, macht es wahrscheinlich mehr Sinn einige Sprachen mehr nützlich für Web-Anwendungen zu lernen, wie PHP oder Java oder so etwas. Die Mehrzahl der Arbeitsplätze stoße ich auf in der Anwendungssicherheit sind Web-Anwendungen, so dass, wenn Sie einen Dinosaurier wie ich sind, haben Sie wahrscheinlich eine Web-App-Experte werden wollen. Web Application Security ist viel einfacher, in so gut beginnen. Es gibt es eine Menge von gefährdeten Websites und mit ganz wenigen Ausnahmen, haben wir nicht die Mühe zu machen Web-Anwendung Exploits setzen gesehen (, usw.) härter, wie wir mit Speicherkorruption Exploits haben. BK: In Ihrer eigenen Erfahrung, haben Sie laufen in alle Sackgassen, Alleen würden Sie nicht so viel Zeit hinunter verbracht haben, wenn Sie es wieder von vorne zu tun hatte? Miller: Zum Glück, ich habe nicht viel Zeit darauf verschwenden, aber eine Sache, die ich gelernt habe ist, dass für die Arten von Dingen, die ich interessiert bin, Zertifizierungen sind nicht, dass für diejenigen, die für einen Job suchen, außer sehr einfach zu demonstrieren