Интервю с Франсиско Санц: главен изпълнителен директор на The Security Sentinel

Security Sentinel (TSS) е испанска компания, посветена на компютърната сигурност, толкова забравен от мнозина и толкова важен. TSS е посветена на провеждането на одити за сигурност на компании, базирани на етични тестове за хакерство или изпитване, в допълнение към провеждането на курсове за обучение по сигурност.

Злонамереният софтуер и уязвимостите са гореща тема в нашия блог и особено с последните новини за VENOM, Heartbleed и други проблеми със сигурността, засягащи GNU Linux. Ето защо решихме да интервюираме Франциско Санц, главен изпълнителен директор на TSS което ще ни даде някои улики по тази интересна тема.

Франсиско (FS отсега нататък) е един от професионалистите по TSS. Учи компютърно инженерство в Автономния университет в Мадрид, за да завърши по-късно търговски мениджмънт и маркетинг в ESIC, да вземе курсове по програмиране на Cisco CNNA, PHP и MySQL, етично хакване и да премине CEH сертификат от EC-Council с класификация 91% / 100 %.

LinuxAdictos: GNU Linux е много важен в областта на сигурността. В нашия блог говорихме за дистрибуции като Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop или други, ориентирани към безопасно сърфиране и поверителност, като Tails и Whonix. В ежедневието си кои използвате?

Франциско Санц: В зависимост от работата, която трябва да се свърши ... например, при пентестиране използвам собствената си дистрибуция (TPS) с инструменти за пентестиране, които използваме, но въз основа на тях трябва 7.

LA: Мнозина атакуват безплатен софтуер или софтуер с отворен код, като казват, че е некачествен или по-несигурен. Какво бихте казали на тези хора? Смятате ли, че е по-лесно да атакувате GNU Linux или FreeBSD машина, защото тя е с отворен код, отколкото тази с Windows, защото е собствен код, или е обратното?

FS: Въпросът за милиони долари. Или обичайния въпрос. За мен не системата, а човекът, който я настройва.
Въпреки това, ако трябва да реша, винаги бих казал LINUX. Защо? Има много причини, но за неразширяване бих ви казал, че конфигурацията му по подразбиране е по-сигурна от Windows '; можете също да го направите по-сигурен, като имате множество опции; като свободен софтуер, можете да разработвате, модифицирате или разширявате услуги за сигурност.
От друга страна, няма изпълними файлове, които да ви заразят с троянци толкова лесно.
Въпреки това, изглежда, че сега Windows е най-безопасният, според някои публикации ... или може би, този с най-много пари ... Не знам дали се обяснявам. В това сравнение те назовават 119 уязвимости на ядрото на Linux ... неуточнени ... обаче 248 се появяват сред системите на Windows ... но като посочват по-ниска сума за всяка операционна система на Windows ... т.е. Много маркетинг;)

LA: Security Sentinel е партньор на проекта Rapid7 Metasploit, проект с отворен код, подобно на много други, използвани за пентестинг или съдебен анализ. Това е добър пример, който ясно показва това, което споменахме в предишния въпрос. Не мислиш ли

FS: Е, Metasploit (Rapid7) е прекарал много години, инвестирайки време в разработването на експлойти, за да повреди системи от всякакъв вид.
Мисля, че възможността да можете да разработите, модифицирате или разширите целите на експлойт и да можете да го използвате с подобна рамка, без да се налага да плащате или да чакате нови експлойти, като сте с отворен код, значително улеснява работата ви.
Въпреки че има платена версия, с безплатната и със знания за програмиране в ruby, Python, perl ... имате много, много полезен колега.
Също така трябва да коментирам, че много потребители на Metasploit използват само 10 или 20% от своите възможности. В следващия курс за етично хакване, който разработваме (CHEE), имаме цяла тема за Metasploit, където ще научим как да използваме инструмента в пълна степен.

LA: Python е език за програмиране под друг безплатен лиценз (PSFL) и който имате много в сектора на сигурността. Защо? Какво е особеното в другите?

FS: Python има много голямо предимство и това са неговите библиотеки. Използването им и лекотата на изучаване на езика ви помага много, за да можете да използвате малки инструменти, които са много полезни при извършване на одит за сигурност, базиран на пентестиране.
Можете също така да свържете малки програми на Python с други като nmap, nessus и т.н. ... и това ви помага още повече да ускорите работата на пентестър.
Поемаме курс на 1 юни за нашите ученици, Python за пентестери, защото вярваме, че е важно за пентестера да използва този език.

LA: Напоследък бяха открити някои критични уязвимости в проекти с отворен код и някои други зловредни програми, които атакуват GNU Linux системи. Компаниите, които продават затворен софтуер, като Apple и Microsoft, имат одитори за сигурност, които атакуват собствените си системи, за да подобрят сигурността. Смятате ли, че общността за разработване на проекти с отворен код трябва да обмисли популяризирането на тази практика?

FS: Е, мислите, че няма одитори за Apache, Debian, Fedora, Ubuntu ... друго нещо е, че те таксуват това, което другите фирми таксуват, но има, те съществуват, защото разбирам, че големите дистрибуции имат хора, работещи по това . Би било нелогично да не ги има. Също така вярвам, че всичко това е залог за бъдещето. Проблемът е дали Apple или Windows в крайна сметка ще бъдат най-мощните дистрибуции с отворен код?

LA: Нека да преминем към клиентите на The Sentinel Security. Това лято разговарях с инженер на Oracle и той ми каза, че все повече сървъри и суперкомпютри се продават с Linux в ущърб на собствената им система, Solaris, и че дори използват дистрибуция, наречена Oracle Linux за своята работа всеки ден. Намирате ли все повече компании, които използват Linux или все още зависят много от Windows?

FS: В този аспект вие намирате всичко.
Моите клиенти вече използват повече Linux за сървъри, отколкото Windows, но потребителските компютри все още са 90% Windows и много висок процент все още използват XP !!!

LA: Някои правителства или компании мигрират към дистрибуции на Linux поради възможностите и предимствата, които носи. Някои са привлечени от безопасността. Бихте ли насърчили компаниите и организациите да направят тази промяна? TSS съветва ли безплатни проекти за някое от решенията за сигурност, които прилагате?

FS: Ние съветваме в зависимост от нуждите на всеки клиент. Бих искал хората да се ангажират повече с Linux, но понякога името на марката тежи много.
Въпреки това, когато можем, съветваме Linux сървърите за тяхната стабилност, гъвкавост и сигурност.

LA: Много потребители или компании не обръщат внимание на сигурността. До каква степен това е лоша практика и какъв съвет бихте им дали? Разкажете ни за сериозен случай, който може да бъде изложен и който сте наблюдавали по време на опита си, за да повишите осведомеността сред обществеността.

FS: Много? Почти никой. Първото нещо, което бих ги посъветвал, би било да изнесат малък курс за запознаване с основните разпоредби за компютърна сигурност.
Дори в Данъчната агенция намерих потребители с пост-то с тяхната парола на монитора!
Но беше невероятно да видим in situ, в малка презентация на нашата компания при възможен клиент, която също е компания, която играе с ценни книжа на фондовия пазар (брокери), да слуша директора на операциите от офиса си, да вика на компютърният учен "КАКВО Е МОЯТА B ... ПАРОЛА ?? !!"
Дори и след като видя това, потенциалният клиент не ни нае ... Бог да ги хване призна!

LA: Сега вие също преподавате курсове за хакерство и сигурност. Вие сами взехте изпита EC-Council CEH (Council Ethical Hacking) и с доста добър резултат. Има поговорка, че „най-добрата защита е добро нарушение“, казвам това по отношение на предишния въпрос. Бихте ли насърчили потребителите да вземат този тип курс?

FS: Бих ги насърчил да не се съсредоточават върху „титулит“, а вместо това да посещават курсове, за да учат. Ние фокусираме курсовете си върху практиката, защото не ми хареса този курс, който вие наричате, тъй като го изучавах самостоятелно и също без практика. Това е просто заглавие. Въпреки това, нашите ученици са "смачкани" да правят практики. Но те ти казват ...
Един спортист трябва да тренира всеки ден. Ние също.

LA: Мнозина вярват, че хакерът е лош човек. Дори RAE го определя като хакер, който използва знанията си, за да прави лоши неща. Тъжно е това да се чуе, защото дори е наложило да се виждат термини като „етично хакване“, така че хората да не мислят за киберпрестъпник. Ерик Реймънд, защитава термина "хакер" с оригиналната дефиниция и се застъпва да използва "крекер", за да се позове на "лоши момчета". Но в лицето на пропагандната машина на Холивуд, която също създаде лоша репутация с множество филми и сериали за хакери, какво може да се направи ... Какво мислите като експерт по сигурността?

FS: Считам думата хакер за компютърен специалист, който понякога натрапчиво разследва, докато намери своя отговор. Но оттам до престъпление ...
Разбира се, има хакери, които са престъпници, тъй като може да има пожарникари, които също са престъпници. Но както не е обобщено във втория случай, защо го правим в първия?
Накратко, мисля, че RAE показва голямо невежество, когато става въпрос за призоваване на думата хакер като хакер. Холивудското нещо е по-добре да не го споменаваме ...

Надявам се това да ви е харесало първо интервю от поредицата, която сме повдигнали на важни фигури на националната и международната сцена ...