Entrevista a Francisco Sanz: CEO de The Security Sentinel

The Security Sentinel (TSS) és una companyia espanyola dedicada a a l'seguretat informàtica, tan oblidada per molts i tan important. TSS es dedica a realitzar auditories de seguretat a empreses, basant-se en el hacking ètic o proves de pentesting, a més d'impartir cursos de formació sobre seguretat.

El malware i les vulnerabilitats són un tema d'actualitat al nostre blog i sobretot amb les últimes notícies sobre VENOM, heartbleed, i altres problemes de seguretat que afecten GNU Linux. Per això hem decidit entrevistar Francisco Sanz, el CEO de TSS que ens donarà algunes claus sobre aquest interessant tema.

Francisco (FS a partir d'ara) és un dels professionals de TSS. Ell va cursar enginyeria informàtica a la Universitat Autònoma de Madrid per després llicenciar-se en gestió comercial i màrqueting a la ESIC, realitzar el CNNA de Cisco, cursos de programació PHP i MySQL, hacking ètic i aconseguir superar el certificat CEH d'EC-Council amb una classificació de l'91% / 100%.

LinuxAdictos: GNU Linux és molt important en l'àmbit de la seguretat. Al nostre blog hem parlat de distribucions com Santoku, Kali, BugTraq, Xiaopan, Parrot US, WiFislax, DEFT, Backbox, IPCop, o d'altres orientades a la navegació segura i la privacitat, com Tails i Whonix. En la vostra rutina diària ¿quins empreu?

Francisco Sanz: Depenent de la feina a fer ... per exemple, en pentesting jo faig servir una distribució pròpia (TPS) amb eines de pentesting que fem servir, però amb base a havien de juliol.

L': Molts ataquen el programari lliure o de codi obert dient que és de mala qualitat o que és més insegur. Què li diries a aquestes persones? Consideres que és més fàcil atacar a una màquina GNU Linux o FreeBSD pel fet de ser de codi obert que una amb Windows per ser codi propietari o és a l'contrari?

FS: La pregunta de l'milió. O la pregunta de sempre. Per a mi no és el sistema, sinó la persona que configura el sistema.
Tanmateix, si he de decidir, sempre diria LINUX. Per què? Hi ha moltes raons, però per no estendre et diria que la seva configuració per defecte és més segura que la de Windows; també pots securizarlo més a l'tenir múltiples opcions; a l'ésser programari lliure, tu pots desenvolupar, modificar o ampliar serveis de seguretat.
D'altra banda, no hi ha executables perquè et puguin infectar amb troians tan fàcilment.
Així i tot, sembla que ara és Windows el més segur, segons algunes publicacions ... o potser, el que més diners té ... no sé si em explico. En aquesta comparativa nomenen 119 vulnerabilitats de Linux Kernel..sin especificar ... però apareixen 248 entre els sistemes Windows ... però especificant una quantitat inferior per cada SO de Windows ... és a dir ... un petit joc de nombres. Molt màrqueting;)

L': The Security Sentinel és partner de el projecte Metasploit d'Rapid7, un projecte de codi obert, com tants altres que s'utilitzen per al pentesting o l'anàlisi forense. És un bon exemple que deixa patent el que comentàvem en l'anterior pregunta. No creus?

FS: Bé, Metasploit (Rapid7), porta molts anys invertint temps en desenvolupaments de gestes per vulnerar sistemes de tot tipus.
Crec que la possibilitat que puguis desenvolupar, modificar o ampliar els objectius d'un exploit i poder usar-lo amb una framework com aquest, sense haver d'estar pagant o esperant a nous gestes, a l'ésser de codi obert, et facilita moltíssim la feina.
Encara que existeix una versió de pagament, amb la gratuïta i amb coneixements de programació en ruby, Python, Perl ... tens un company de treball molt, però que molt útil.
També he de comentar, que molts usuaris de Metasploit, només fan servir el 10 o el 20% de les seves possibilitats. En el proper curs de Hacking Ètic que estem desenvolupant (CHEE), tenim un tema sencer per Metasploit, on ensenyarem a utilitzar l'eina a l'màxim.

L': Python és un llenguatge de programació sota una altra llicència lliure (PSFL) i que teniu molt present en el sector de la seguretat. Per què? Què té d'especial enfront d'altres?

FS: Python té un avantatge molt gran i són les seves llibreries. L'ús d'aquestes i la facilitat de l'aprenentatge de l'llenguatge, t'ajuda molt a poder realitzar petites tools que et són molt útils a l'hora de realitzar una auditoria de seguretat basada en pentesting.
A més pots connectar petits programes en Python amb altres com nmap, nessus etc .. i això t'ajuda encara més a agilitar la tasca d'un pentester.
Nosaltres vam treure un curs el dia 1 de juny per als nostres alumnes, de Python per pentesters, perquè creiem que és indispensable per a un pentester utilitzar aquest llenguatge.

L': Últimament s'estan detectant algunes vulnerabilitats crítiques en projectes de codi obert i algun que altre malware que ataca sistemes GNU Linux. Les empreses que venen programari tancat, com ara Apple i Microsoft, tenen auditors de seguretat que ataquen els seus propis sistemes per millorar la seguretat. Creus que des de la comunitat de desenvolupament de projectes de codi obert s'haurien de plantejar potenciar aquesta pràctica?

FS: Bé, creus que no hi ha auditors per a Apache, Debian, Fedora, Ubuntu ... una altra cosa és que cobrin el que cobren els d'altres firmes, però existir, existeixen, doncs entenc que les grans distribucions tenen gent treballant en això. Seria il·lògic no tenir-los. A més crec que tot això és una aposta de futur. El problema és, acabaran sent les distribucions més potents de codi obert les noves Apple o Windows?

L': Passem als clients de The Security Sentinel. Aquest estiu vaig estar xerrant amb un enginyer d'Oracle i em comentava que cada vegada venen més servidors i superordinadors amb Linux en detriment del seu propi sistema, Solaris, i que ells fins i tot utilitzen diàriament per al seu treball una distribució anomenada Oracle Linux. Et trobes cada vegada més empreses que utilitzen Linux o fins i tot segueixen depenent molt de Windows?

FS: En aquest aspecte, et trobes de tot.
Els meus clients ara fan servir més Linux per a servidors que Windows, però els equips d'usuaris segueixen sent 90% Windows i un tant per cent molt elevat encara fan servir XP !!!

L': Alguns governs o empreses estan migrant cap a distribucions Linux per les possibilitats i avantatges que aporta. Alguns atrets per la seguretat. Animaries les empreses i organitzacions a realitzar aquest canvi? ¿TSS aconsella projectes lliures per a alguna de les solucions de seguretat que implantáis?

FS: Nosaltres aconsellem depenent de la necessitat de cada client. A mi m'agradaria que la gent es bolqués més amb Linux, però de vegades el nom d'una marca pesa molt.
Així i tot, nosaltres, sempre que podem aconsellem servidors Linux per la seva robustesa, flexibilitat i seguretat.

L': Molts usuaris o empreses no presten atenció a la seguretat. ¿Fins a quin punt és una mala pràctica i quins consells els donaries? Explica'ns algun cas greu que es pugui exposar i que hagis observat durant la teva experiència per conscienciar el públic.

FS: ¿Molts? Gairebé ningú. El primer que els aconsellaria, seria que donessin un petit curs de conscienciació sobre normatives bàsiques de seguretat informàtica.
Fins a l'Agència Tributària m'he trobat a usuaris amb el post-it amb el seu password al monitor!
Però increïble va ser veure in situ, en una petita presentació de la nostra empresa en un possible client, que a més és una empresa que juga amb valors en borsa (brokers), escoltar el director d'operacions des del seu despatx, cridar-li a l'informàtic "COM ÉS LA MEVA P ... A CONTRASENYA ?? !! "
Fins i tot després de veure això, el possible client no ens va contractar ... que Déu els agafi confessats!

L': Ara també impartiu cursos sobre hacking i seguretat. Tu mateix vas fer l'examen CEH (Council Ethical Hacking) d'EC-Council i amb una puntuació força bona. Hi ha una dita que diu que "la millor defensa és un bon atac", ho dic en referència a la pregunta anterior. Animaries als usuaris a realitzar aquest tipus de cursos?

FS: Jo els animaria a no centrar-se en la «titulitis» i sí en realitzar cursos per aprendre. Els nostres cursos els centrem en la pràctica, perquè no em va agradar aquest curs que el teu nomenes, ja que el vaig estudiar per lliure, ia més sense pràctiques. Només és un títol. No obstant això, els nostres alumnes, es "piquen" fent pràctiques. Sinó que t'ho diguin a tu ...
Un esportista d'entrenar cada dia. Nosaltres també.

L': Molts creuen que un hacker és una persona dolenta. Fins i tot la RAE el defineix com un pirata informàtic que utilitza els seus coneixements per fer coses dolentes. És trist escoltar això, perquè fins i tot ha obligat que es tinguin a veure termes com "ethical hacking" perquè la gent no pensi en un ciberdelinqüent. Eric Reymond, defensa el terme "hacker" amb la definició original i advoca per emprar "cracker" per referir-se als "dolents". Però davant la maquinària propagandística de Hollywood, que també s'han encarregat de crear mala reputació amb multitud de pel·lícules i sèries sobre hackers, què es pot fer ... Què opines com a expert en seguretat?

FS: Jo considero la paraula hacker com un especialista en informàtica que investiga de forma a vegades obsessiva fins a trobar la seva resposta. Però d'aquí a la delinqüència ...
Per descomptat que hi ha hackers que són delinqüents, com pot haver bombers que també ho siguin. Però a l'igual que no es generalitza en el segon cas, per què fer-ho al primer?
En definitiva, crec que la RAE mostra una gran incultura a l'hora d'anomenar la paraula hacker com a pirata informàtic. Això de Hollywood és millor ni esmentar-...

Espero que us hagi agradat aquesta primera entrevista de la sèrie que tenim plantejada a personatges importants de l'panorama nacional i internacional ...