ফ্রান্সিসকো সানজের সাথে সাক্ষাত্কার: দ্য সিকিউরিটি সেন্টিনেলের সিইও

সুরক্ষা সেন্টিনেল (টিএসএস) একটি স্পেনীয় সংস্থা যা কম্পিউটার সুরক্ষায় নিবেদিত, তাই অনেক দ্বারা ভুলে গেছে এবং তাই গুরুত্বপূর্ণ। TSS সুরক্ষা প্রশিক্ষণ কোর্স সরবরাহ করার পাশাপাশি নৈতিক হ্যাকিং বা পেনস্টেটিং পরীক্ষার উপর ভিত্তি করে সংস্থাগুলিতে সুরক্ষা নিরীক্ষণ পরিচালনার জন্য নিবেদিত।

ম্যালওয়্যার এবং দুর্বলতাগুলি আমাদের ব্লগে এবং বিশেষত ভেনম, হার্টলেসড এবং জিএনইউ লিনাক্সকে প্রভাবিত করে এমন অন্যান্য সুরক্ষা সম্পর্কিত সাম্প্রতিকতম সংবাদ সহ একটি জনপ্রিয় বিষয়। সে কারণেই আমরা সাক্ষাত্কারের সিদ্ধান্ত নিয়েছি ফ্রান্সিসকো সানজ, টিএসএসের প্রধান নির্বাহী ড যা আমাদের এই আকর্ষণীয় বিষয় সম্পর্কে কিছু সূত্র দেবে।

ফ্রান্সিসকো (এখন থেকে এফএস) টিএসএস পেশাদারদের মধ্যে অন্যতম। তিনি মাদ্রিয়ার স্বায়ত্তশাসিত বিশ্ববিদ্যালয়ে কম্পিউটার ইঞ্জিনিয়ারিং অধ্যয়ন করেছেন এবং পরবর্তীতে ইএসআইসি-র ব্যবসায় পরিচালনা ও বিপণনের ডিগ্রি অর্জন করতে, সিসকো সিএনএনএ, পিএইচপি এবং মাইএসকিউএল প্রোগ্রামিং কোর্স, নৈতিক হ্যাকিং গ্রহণ এবং ইসি-কাউন্সিলের সিইএইচ সার্টিফিকেট পাস করেছেন ৯০% শ্রেণিবদ্ধকরণ সহ। / 91%।

LinuxAdictos: সুরক্ষার ক্ষেত্রে জিএনইউ লিনাক্স অত্যন্ত গুরুত্বপূর্ণ। আমাদের ব্লগে আমরা সান্টোকু, কালী, বাগট্রাক, জিয়াওপান, তোতা OS, ওয়াইফিসাল্যাক্স, ডিইএফটি, ব্যাকবক্স, আইপকপ, বা সুরক্ষিত ব্রাউজিং এবং গোপনীয়তা, যেমন টেলস এবং হোনিক্সের দিকে লক্ষ্য করে এমন বিতরণগুলির বিষয়ে কথা বলেছি। আপনার প্রতিদিনের রুটিনে আপনি কোনটি ব্যবহার করেন?

ফ্রান্সিসকো সানজ: যে কাজটি করা হবে তার উপর নির্ভর করে ... উদাহরণস্বরূপ, পেনস্টেটিংয়ে আমি পেন্টাইস্টিং সরঞ্জামগুলির সাথে আমার নিজস্ব বিতরণ (টিপিএস) ব্যবহার করি তবে তাদের ভিত্তিতে 7 করা উচিত।

লা: অনেকগুলি ফ্রি বা ওপেন সোর্স সফ্টওয়্যার আক্রমণ করে যে এটি খারাপ মানের বা আরও বেশি সুরক্ষিত। আপনি এই লোকদের কি বলবেন? আপনি কি মনে করেন যে কোনও জিএনইউ লিনাক্স বা ফ্রিবিএসডি মেশিনকে আক্রমণ করা সহজ কারণ এটি উইন্ডোজের সাথে একের চেয়ে মুক্ত উত্স কারণ এটি মালিকানাধীন কোড, বা এটি বিপরীত?

এফএস: মিলিয়ন ডলার প্রশ্ন। বা স্বাভাবিক প্রশ্ন। আমার জন্য এটি সিস্টেম নয়, যিনি সিস্টেম সেটআপ করেন।
তবুও, যদি আমাকে সিদ্ধান্ত নিতে হয় তবে আমি সর্বদা লিনাক্স বলব। কেন? এর অনেকগুলি কারণ রয়েছে, তবে প্রসারিত না করার জন্য আমি আপনাকে বলব যে এর ডিফল্ট কনফিগারেশনটি উইন্ডোজের চেয়ে বেশি সুরক্ষিত '; আপনি একাধিক বিকল্প রেখে এটিকে আরও সুরক্ষিত করতে পারেন; বিনামূল্যে সফ্টওয়্যার হওয়ায় আপনি সুরক্ষা পরিষেবাদি বিকাশ, সংশোধন বা প্রসারিত করতে পারেন।
অন্যদিকে, এত সহজে আপনাকে ট্রোজান সংক্রামিত করার জন্য কোনও এক্সিকিউটেবল নেই।
তবুও, কিছু প্রকাশনা অনুসারে এখন উইন্ডোজ সবচেয়ে নিরাপদ বলে মনে হচ্ছে ... বা সম্ভবত সবচেয়ে বেশি অর্থায়িত ... আমি নিজের ব্যাখ্যা দিচ্ছি কিনা তা আমি জানি না  এই তুলনায় তারা ১১৯ টি লিনাক্স কার্নেল দুর্বলতার নাম রাখে ... অনির্ধারিত ... তবে উইন্ডোজ সিস্টেমগুলির মধ্যে 119 উপস্থিত থাকে ... তবে প্রতিটি উইন্ডোজ ওএসের জন্য একটি কম পরিমাণ নির্দিষ্ট করে ... এটি ... সংখ্যার একটি ছোট সেট। অনেক বিপণন;)

লা: সিকিউরিটি সেন্টিনেল পেনটেস্টিং বা ফরেনসিক বিশ্লেষণের জন্য ব্যবহৃত অন্যান্য অনেকের মতোই একটি ওপেন সোর্স প্রকল্প, র‌্যাপিড Met মেটাস্প্লিট প্রকল্পের অংশীদার। এটি একটি উত্তম উদাহরণ যা আমরা পূর্ববর্তী প্রশ্নে যা উল্লেখ করেছি তা পরিষ্কার করে দেয়। ভাববেন না

এফএস: হ্যাঁ, মেটাসপ্লয়েট (র্যাপিড 7), সমস্ত ধরণের ক্ষয়ক্ষতির ব্যবস্থায় শোষণের বিকাশে বেশ কয়েক বছর ব্যয় করেছে।
আমি মনে করি যে আপনি কোনও শোষণের উদ্দেশ্যগুলি বিকাশ, সংশোধন বা প্রসারিত করতে পারবেন এবং উন্মুক্ত উত্স হয়ে, নতুন শোষণের জন্য অপেক্ষা করা বা অপেক্ষা না করে, এটির মতো কাঠামো দিয়ে এটি ব্যবহার করতে সক্ষম হবেন, আপনার কাজটি আরও সহজ করে তোলে।
রুবি, পাইথন, পার্লে নিখরচায় এবং প্রোগ্রামিং জ্ঞানের সাথে একটি অর্থ প্রদান সংস্করণ রয়েছে যদিও আপনার খুব, খুব দরকারী সহকর্মী রয়েছে।
আমার আরও মন্তব্য করতে হবে যে অনেকগুলি মেটাস্প্লিট ব্যবহারকারী কেবল তাদের সম্ভাবনার 10 বা 20% ব্যবহার করেন। পরবর্তী নীতিগত হ্যাকিং কোর্সে যেটি আমরা বিকাশ করছি (সিএইচইই), আমাদের মেটাস্পপ্লিটের জন্য একটি সম্পূর্ণ বিষয় রয়েছে, যেখানে আমরা কীভাবে সরঞ্জামটিকে পুরোপুরি ব্যবহার করতে হবে তা শিখাব।

লা: পাইথন হ'ল আরেকটি ফ্রি লাইসেন্স (পিএসএফএল) এর অধীনে একটি প্রোগ্রামিং ভাষা এবং সুরক্ষা খাতে আপনার উপস্থিতি খুব বেশি। কেন? অন্যদের সম্পর্কে বিশেষ কী?

এফএস: পাইথনের খুব বড় সুবিধা রয়েছে এবং এটি এর লাইব্রেরি। এগুলির ব্যবহার এবং ভাষা শেখার স্বাচ্ছন্দ্য আপনাকে পেনস্টেস্টিংয়ের উপর ভিত্তি করে সুরক্ষা নিরীক্ষণের সময় ছোট ছোট সরঞ্জামগুলি কার্যকর করতে সক্ষম হতে সাহায্য করে যা খুব কার্যকর।
আপনি ছোট পাইথন প্রোগ্রামগুলি যেমন অন্যদের সাথে যেমন এনএমএপ, নেসাস ইত্যাদির সাথে সংযুক্ত করতে পারেন ... এবং এটি আপনাকে আরও বেশি কোনও পেনসেটারের কাজের গতি বাড়ানোর জন্য সহায়তা করে।
আমরা আমাদের শিক্ষার্থীদের জন্য 1 জুন কোর্স করি, পেটেন্টারদের জন্য পাইথন, কারণ আমরা বিশ্বাস করি যে কোনও প্যান্টেস্টারের পক্ষে এই ভাষাটি ব্যবহার করা জরুরি।

লা: ইদানীং, ওপেন সোর্স প্রকল্প এবং কিছু অন্যান্য ম্যালওয়্যার যা কিছু জিএনইউ লিনাক্স সিস্টেমে আক্রমণ করে তার মধ্যে কিছু সমালোচনামূলক দুর্বলতা সনাক্ত করা হয়েছে। অ্যাপল এবং মাইক্রোসফ্টের মতো বদ্ধ সফ্টওয়্যার বিক্রয়কারী সংস্থাগুলিতে সুরক্ষা অডিটর রয়েছে যারা সুরক্ষার উন্নতির জন্য তাদের নিজস্ব সিস্টেমে আক্রমণ করে। আপনি কি মনে করেন যে ওপেন সোর্স প্রকল্প উন্নয়ন সম্প্রদায়ের এই অনুশীলন প্রচারের কথা বিবেচনা করা উচিত?

এফএস: ঠিক আছে, আপনি ভাবেন যে আপাচি, ডেবিয়ান, ফেদোরা, উবুন্টুর জন্য কোনও নিরীক্ষক নেই ... অন্য একটি বিষয় হ'ল তারা অন্য সংস্থাগুলি যা চার্জ করে তা চার্জ করে তবে সেখানে রয়েছে, তারা আছে, কারণ আমি বুঝতে পেরেছি যে বড় বিতরণে লোকেরা এতে কাজ করছে । এগুলি না থাকা অযৌক্তিক হবে। আমি আরও বিশ্বাস করি যে এই সমস্তগুলি ভবিষ্যতের জন্য বাজি। সমস্যাটি হ'ল, অ্যাপল বা উইন্ডোজ কি সবচেয়ে শক্তিশালী ওপেন সোর্স বিতরণ হিসাবে শেষ করবে?

লা: আসুন আমরা সুরক্ষা কেন্দ্রের গ্রাহকদের দিকে এগিয়ে যাই। এই গ্রীষ্মে আমি একজন ওরাকল ইঞ্জিনিয়ারের সাথে চ্যাট করছিলাম এবং তিনি আমাকে বলেছিলেন যে আরও বেশি সংখ্যক সার্ভার এবং সুপার কম্পিউটার লিনাক্সের সাথে তাদের নিজস্ব সিস্টেম, সোলারিসের ক্ষতি করার জন্য বিক্রি করা হয় এবং এমনকি তারা প্রতিদিন তাদের কাজের জন্য ওরাকল লিনাক্স নামে একটি বিতরণ ব্যবহার করে। আপনি কি আরও বেশি সংখ্যক সংস্থাগুলি খুঁজে পান যা লিনাক্স ব্যবহার করে বা এখনও উইন্ডোজে অনেক কিছু নির্ভর করে?

এফএস: এই দিক থেকে, আপনি সবকিছু খুঁজে।
আমার ক্লায়েন্টরা এখন উইন্ডোজের চেয়ে সার্ভারের জন্য আরও লিনাক্স ব্যবহার করে, তবে ব্যবহারকারী কম্পিউটারগুলি এখনও 90% উইন্ডোজ এবং খুব উচ্চ শতাংশ এখনও এক্সপি ব্যবহার করে !!!

লা: কিছু সরকার বা সংস্থাগুলি লিনাক্স বিতরণে স্থানান্তরিত করছে সম্ভাবনা এবং সুবিধাগুলির কারণে। কিছু নিরাপত্তার দ্বারা প্রলুব্ধ। আপনি কি এই পরিবর্তন করতে সংস্থা এবং সংস্থাগুলিকে উত্সাহিত করবেন? টিএসএস কি আপনার প্রয়োগ করা সুরক্ষা সমাধানগুলির জন্য নিখরচায় প্রকল্পগুলির পরামর্শ দেয়?

এফএস: আমরা প্রতিটি ক্লায়েন্টের প্রয়োজনের উপর নির্ভর করে পরামর্শ দিই। আমি চাই লোকেরা লিনাক্সের সাথে আরও জড়িত থাকে তবে কখনও কখনও একটি ব্র্যান্ডের নামের ওজন অনেক বেশি হয়।
তবুও, আমরা যখনই পারি, লিনাক্স সার্ভারগুলিকে তাদের দৃ rob়তা, নমনীয়তা এবং সুরক্ষার জন্য পরামর্শ দিই।

লা: অনেক ব্যবহারকারী বা সংস্থা সুরক্ষার দিকে মনোযোগ দেয় না। এটি কতটা খারাপ অভ্যাস এবং আপনি তাদের কী পরামর্শ দেবেন? এমন একটি গুরুতর মামলা সম্পর্কে আমাদের বলুন যা প্রকাশিত হতে পারে এবং জনসচেতনতা বাড়াতে আপনি নিজের অভিজ্ঞতার সময় পর্যবেক্ষণ করেছেন।

এফএস: অনেক? প্রায় কেউ না। আমি তাদের প্রথম যে পরামর্শ দিচ্ছি তা হ'ল বেসিক কম্পিউটার সুরক্ষা বিধি সম্পর্কে একটি ছোট সচেতনতা কোর্স দেওয়া।
এমনকি ট্যাক্স এজেন্সিতেও আমি মনিটরে তাদের পাসওয়ার্ড সহ পোস্ট-পোস্ট সহ ব্যবহারকারীদের খুঁজে পেয়েছি!
তবে এটি সম্ভাব্য ক্লায়েন্টে আমাদের সংস্থার একটি ছোট উপস্থাপনায় পরিস্থিতিটি দেখতে অবিশ্বাস্য ছিল, এটি স্টক মার্কেটের (দালাল) সিকিওরিটির সাথে খেলে এমন একটি সংস্থা, তার অফিস থেকে অপারেশন ডিরেক্টর শোনো, চিৎকার করে বলে কম্পিউটার বিজ্ঞানী "আমার বি কী ... একটি পাসওয়ার্ড ?? !!"
এটি দেখার পরেও, সম্ভাব্য ক্লায়েন্ট আমাদের নিয়োগ দেয় নি ... themশ্বর তাদের স্বীকার করে ধরেন!

লা: এখন আপনি হ্যাকিং এবং সুরক্ষা সম্পর্কিত কোর্সও পড়ান। আপনি ইসি-কাউন্সিলের সিইএইচ (কাউন্সিল এথিকাল হ্যাকিং) নিজেই পরীক্ষা দিয়েছেন এবং বেশ ভাল স্কোর নিয়ে এসেছেন। একটি বক্তব্য আছে "" সেরা প্রতিরক্ষা একটি ভাল অপরাধ ", আমি আগের প্রশ্নের প্রসঙ্গে এটি বলি। আপনি কি ব্যবহারকারীদের এই ধরণের কোর্স নিতে উত্সাহিত করবেন?

এফএস: আমি তাদের "টাইটুলাইটিস" এর দিকে মনোনিবেশ না করে বরং শিখার জন্য কোর্স করার বিষয়ে উত্সাহিত করব। আমরা অনুশীলনের উপর আমাদের কোর্সগুলিকে ফোকাস করি, কারণ আপনার নাম দেওয়া এই কোর্সটি আমার পছন্দ হয়নি, যেহেতু আমি নিজে থেকে পড়াশোনা করেছি এবং অনুশীলন ছাড়াই। এটি কেবল একটি শিরোনাম। তবে, আমাদের শিক্ষার্থীরা অনুশীলনগুলি "পিষ্ট" হয়েছে। তবে তারা আপনাকে বলে ...
একজন অ্যাথলিটকে অবশ্যই প্রতিদিন প্রশিক্ষণ দিতে হবে। আমরাও.

লা: অনেকে বিশ্বাস করেন যে হ্যাকার একটি খারাপ ব্যক্তি। এমনকি আরএই তাকে হ্যাকার হিসাবে সংজ্ঞায়িত করেছে যারা তার জ্ঞানকে খারাপ কাজ করতে ব্যবহার করে। এটি শুনে দুঃখের বিষয়, কারণ এটি "নৈতিক হ্যাকিং" এর মতো শব্দগুলিও দেখাতে বাধ্য করেছে যাতে লোকেরা সাইবার অপরাধের কথা ভাবেন না। এরিক রেমন্ড, মূল সংজ্ঞা দিয়ে "হ্যাকার" শব্দটি রক্ষা করেন এবং "খারাপ লোক" হিসাবে উল্লেখ করার জন্য "ক্র্যাকার" ব্যবহার করে থাকেন। তবে হলিউডের প্রচারণা মেশিনের মুখে, যা হ্যাকারদের নিয়ে প্রচুর সিনেমা এবং সিরিজ দিয়ে খারাপ খ্যাতি তৈরি করেছে, কী করা যায় ... সুরক্ষা বিশেষজ্ঞ হিসাবে আপনি কী ভাবেন?

এফএস: আমি হ্যাকার শব্দটিকে কম্পিউটার বিশেষজ্ঞ হিসাবে বিবেচনা করি যারা কখনও কখনও তার উত্তর না পাওয়া পর্যন্ত অবস্হায় তদন্ত করে। তবে সেখান থেকে অপরাধ ...
অবশ্যই হ্যাকাররা যারা অপরাধী, কারণ সেখানে দমকলকর্মীরাও হতে পারেন যারা অপরাধীও বটে। তবে এটি দ্বিতীয় ক্ষেত্রে যেমন জেনারালাইজড হয় না, কেন প্রথমটিতে এটি করা হয়?
সংক্ষেপে, আমি মনে করি যে হ্যাকার শব্দের হ্যাকার হিসাবে ডাকার কথা উঠলে RAE দুর্দান্ত অজ্ঞতা দেখায়। হলিউডের জিনিসটি উল্লেখ না করাই ভাল ...

আমি আশা করি আপনি এটি পছন্দ করেছেন আমরা উত্থাপিত সিরিজের প্রথম সাক্ষাত্কার জাতীয় এবং আন্তর্জাতিক দৃশ্যের গুরুত্বপূর্ণ ব্যক্তিত্বদের ...