Intervju s Franciscom Sanzom: izvršni direktor The Security Sentinel

Security Sentinel (TSS) je španska kompanija posvećena računarskoj sigurnosti, tako zaboravljeni od mnogih i tako važni. TSS posvećen je provođenju sigurnosnih revizija za kompanije, na osnovu etičkih hakovanja ili testiranja pentestiranja, uz pružanje tečajeva obuke o sigurnosti.

Zlonamjerni softver i ranjivosti vruća su tema na našem blogu, posebno s najnovijim vijestima o VENOM-u, Heartbleed-u i drugim sigurnosnim problemima koji utječu na GNU Linux. Zbog toga smo odlučili za intervju Francisco Sanz, izvršni direktor TSS-a što će nam dati neke tragove o ovoj zanimljivoj temi.

Francisco (FS od sada) jedan je od TSS profesionalaca. Studirao je računarski inženjering na Autonomnom univerzitetu u Madridu da bi kasnije stekao zvanje poslovnog upravljanja i marketinga na ESIC-u, pohađao kurseve programiranja Cisco CNNA, PHP i MySQL, etičko hakiranje i položio CEH certifikat od EC-Council-a sa klasifikacijom 91% / 100%.

LinuxAdictos: GNU Linux je vrlo važan na polju sigurnosti. U našem blogu govorili smo o distribucijama kao što su Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop ili drugima orijentiranim na sigurno pregledavanje i privatnost, poput Tails i Whonix. Koje u svojoj svakodnevnoj rutini koristite?

Francis Sanchez: Ovisno o poslu koji treba obaviti ... na primjer, u pentestiranju koristim vlastitu distribuciju (TPS) s alatima za pentestiranje koje koristimo, ali na osnovu njih 7.

THE: Mnogi napadaju besplatni softver ili softver otvorenog koda rekavši da je nekvalitetan ili nesigurniji. Šta biste poručili tim ljudima? Mislite li da je lakše napasti GNU Linux ili FreeBSD mašinu jer je ona otvorenog koda od one sa Windowsom jer je to zaštićeni kôd ili je suprotno?

FS: Pitanje od milion dolara. Ili uobičajeno pitanje. Za mene to nije sistem, već osoba koja ga postavlja.
Bez obzira na to, ako moram odlučiti, uvijek bih rekao LINUX. Zašto? Mnogo je razloga, ali zbog neširenja rekao bih vam da je njegova zadana konfiguracija sigurnija od Windowsa '; možete ga učiniti i sigurnijim ako imate više mogućnosti; budući da ste besplatan softver, možete razvijati, mijenjati ili proširivati ​​sigurnosne usluge.
S druge strane, nema izvršnih datoteka koje bi vas tako lako zarazile trojanskim virusima.
Unatoč tome, čini se da je sada Windows najsigurniji, prema nekim publikacijama ... ili možda onaj s najviše novca ... Ne znam da li se objašnjavam. U ovoj usporedbi, oni imenuju 119 ranjivosti Linux kernela ... nespecificirane ... međutim 248 se pojavljuju među Windows sistemima ... ali navodeći nižu količinu za svaki Windows OS ... to jest ... mali skup brojeva. Puno marketinga;)

THE: Security Sentinel partner je projekta Rapid7 Metasploit, projekta otvorenog koda, kao i mnogi drugi koji se koriste za pentest ili forenzičku analizu. Dobar je primjer koji jasno pokazuje ono što smo spomenuli u prethodnom pitanju. Zar ne misliš

FS: Pa, Metasploit (Rapid7) je proveo mnogo godina ulažući vrijeme u razvoj eksploatacija za oštećenje sistema svih vrsta.
Mislim da mogućnost da možete razviti, modificirati ili proširiti ciljeve eksploatacije i biti u mogućnosti da ga koristite sa ovakvim okvirom, bez plaćanja ili čekanja novih eksploatacija, kao i otvorenog koda, znatno olakšava vaš rad.
Iako postoji plaćena verzija, sa besplatnom i sa znanjem programiranja na rubyu, Pythonu, perlu ... imate vrlo, vrlo korisnog saradnika.
Takođe moram napomenuti da mnogi korisnici Metasploita koriste samo 10 ili 20% svojih mogućnosti. Na sljedećem tečaju etičkog hakiranja koji razvijamo (CHEE), imamo cijelu temu za Metasploit, gdje ćemo naučiti kako koristiti alat u potpunosti.

THE: Python je programski jezik pod drugom besplatnom licencom (PSFL) i koji ste vrlo prisutni u sigurnosnom sektoru. Zašto? Šta je posebno kod drugih?

FS: Python ima vrlo veliku prednost i to su njegove biblioteke. Njihova upotreba i lakoća učenja jezika uvelike vam pomažu da budete u mogućnosti da izvodite male alate koji su vrlo korisni prilikom obavljanja sigurnosne revizije na osnovu pentestiranja.
Također možete povezati male Python programe s drugima kao što su nmap, nessus itd ... i to vam još više pomaže da ubrzate rad pentestera.
1. juna pohađamo tečaj za naše studente, Python za pentestere, jer vjerujemo da je za pentestera neophodno koristiti ovaj jezik.

THE: U posljednje vrijeme otkrivene su neke kritične ranjivosti u projektima otvorenog koda i nekom drugom malveru koji napada GNU Linux sisteme. Kompanije koje prodaju zatvoreni softver, poput Applea i Microsofta, imaju sigurnosne revizore koji napadaju vlastite sisteme kako bi poboljšali sigurnost. Mislite li da bi zajednica za razvoj projekata otvorenog koda trebala razmotriti promociju ove prakse?

FS: Pa, mislite da nema revizora za Apache, Debian, Fedoru, Ubuntu ... druga stvar je da oni naplaćuju ono što naplaćuju druge firme, ali postoje, postoje, jer razumijem da velike distribucije imaju ljude koji rade na ovome. Bilo bi nelogično da ih nema. Takođe verujem da je sve ovo opklada za budućnost. Problem je u tome hoće li novi Apple ili Windows na kraju biti najmoćnija distribucija otvorenog koda?

THE: Pređimo na kupce The Security Sentinel. Ovog ljeta razgovarao sam s Oracle inženjerom i rekao mi je da se sve više poslužitelja i superračunala prodaje s Linuxom na štetu vlastitog sustava, Solarisa, te da čak svakodnevno koriste distribuciju pod nazivom Oracle Linux za svoj rad. Da li pronalazite sve više kompanija koje koriste Linux ili još uvijek uvelike ovise o Windowsima?

FS: U ovom aspektu možete pronaći sve.
Moji klijenti sada koriste više Linuxa za servere nego Windows, ali korisnički računari su i dalje 90% Windows i vrlo visok procenat i dalje koristi XP !!!

THE: Neke vlade ili kompanije prelaze na Linux distribucije zbog mogućnosti i prednosti koje donosi. Neke je mamila sigurnost. Da li biste ohrabrili kompanije i organizacije da naprave ovu promjenu? Da li TSS savjetuje besplatne projekte za bilo koje sigurnosno rješenje koje implementirate?

FS: Savjetujemo ovisno o potrebama svakog klijenta. Volio bih da se ljudi više uključuju u Linux, ali ponekad ime marke puno teži.
Bez obzira na to, mi kad god možemo savjetujemo Linux poslužitelje zbog njihove robusnosti, fleksibilnosti i sigurnosti.

THE: Mnogi korisnici ili kompanije ne obraćaju pažnju na sigurnost. U kojoj mjeri je to loša praksa i koji biste im savjet dali? Recite nam o ozbiljnom slučaju koji može biti izložen i koji ste tokom svog iskustva primijetili kako biste podigli svijest javnosti.

FS: Mnogo? Gotovo niko. Prvo što bih im savjetovao bilo bi da održe mali kurs o osnovnim propisima o računarskoj sigurnosti.
Čak sam i u Poreznoj agenciji pronašao korisnike s post-itom s lozinkom na monitoru!
Ali bilo je nevjerovatno vidjeti in situ, u maloj prezentaciji naše kompanije u mogućem klijentu, a to je i kompanija koja se igra sa vrijednosnim papirima na berzi (brokeri), slušati direktora poslovanja iz svog ureda, vikati na informatičar "ŠTA JE MOJA B ... LOZINKA !! !!"
Čak i nakon što je to vidio, potencijalni klijent nas nije zaposlio ... Bog ih uhvatio kako su priznali!

THE: Sada takođe predajete kurseve o hakiranju i sigurnosti. Sami ste polagali ispit EC-Council CEH (Council Ethical Hacking) sa prilično dobrim rezultatom. Postoji izreka da je "najbolja obrana dobar prekršaj", kažem to u odnosu na prethodno pitanje. Da li biste ohrabrili korisnike da pohađaju ovu vrstu kursa?

FS: Podstakao bih ih da se ne fokusiraju na "titulitis", već na pohađanje kurseva za učenje. Naše kurseve fokusiramo na praksu, jer mi se ovaj tečaj koji vi imenujete nije svidio, jer sam ga učio sam, a također bez prakse. To je samo naslov. Međutim, naši studenti su "zgaženi" radeći vježbe. Ali oni vam kažu ...
Sportista mora trenirati svaki dan. Mi takođe.

THE: Mnogi vjeruju da je haker loša osoba. Čak ga i RAE definira kao hakera koji koristi svoje znanje da čini loše stvari. Tužno je to čuti, jer je čak prisililo da se vide pojmovi poput „etičkog hakiranja“ kako ljudi ne bi pomislili na cyber kriminalca. Eric Reymond, brani pojam "haker" s izvornom definicijom i zalaže se da se "cracker" koristi kao "negativci". Ali suočeni s propagandnom mašinom iz Hollywooda, koja je također stvorila lošu reputaciju s mnoštvom filmova i serija o hakerima, šta se može učiniti ... Što mislite kao stručnjak za sigurnost?

FS: Riječ haker smatram računarskim stručnjakom koji ponekad opsesivno istražuje dok ne pronađe svoj odgovor. Ali odatle do zločina ...
Naravno da postoje hakeri koji su kriminalci, jer mogu biti i vatrogasci koji su i kriminalci. Ali kao što to nije uopćeno u drugom slučaju, zašto to činiti u prvom?
Ukratko, mislim da RAE pokazuje veliko neznanje kada je riječ haker nazvano hakerom. Bolje je ne spominjati holivudsku stvar ...

Nadam se da vam se svidjelo prvi intervju iz serije koji smo pokrenuli važnim ličnostima na nacionalnoj i međunarodnoj sceni ...