Rozhovor s Franciscem Sanzem: generálním ředitelem The Security Sentinel

Security Sentinel (TSS) je španělská společnost zabývající se počítačovou bezpečností, tak zapomenutý mnoha a tak důležitý. TSS se kromě provádění školení v oblasti bezpečnosti věnuje provádění bezpečnostních auditů společnostem na základě etických hackerských testů nebo testů pentesting.

Malware a chyby zabezpečení jsou na našem blogu aktuálním tématem, zejména nejnovějšími zprávami o VENOM, Heartbleed a dalších bezpečnostních problémech ovlivňujících GNU Linux. Proto jsme se rozhodli udělat rozhovor Francisco Sanz, generální ředitel TSS což nám dá pár vodítek k tomuto zajímavému tématu.

Francisco (od nynějška FS) je jedním z profesionálů TSS. Vystudoval počítačové inženýrství na Autonomní univerzitě v Madridu, aby později získal titul v oboru podnikového managementu a marketingu na ESIC, absolvoval kurzy programování Cisco CNNA, PHP a MySQL, etický hacking a složil certifikát CEH od Rady EC s klasifikací 91% / 100%.

LinuxAdictos: GNU Linux je v oblasti zabezpečení velmi důležitý. V našem blogu jsme hovořili o distribucích jako Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop a dalších zaměřených na bezpečné procházení a soukromí, jako jsou Tails a Whonix. Které ve své každodenní rutině používáte?

Francis Sanchez: V závislosti na práci, kterou je třeba udělat ... například v pentestingu používám vlastní distribuci (TPS) s nástroji pentestingu, které používáme, ale na základě toho by měli 7.

LA: Mnoho lidí útočí na bezplatný nebo otevřený software, který tvrdí, že je nekvalitní nebo více nejistý. Co byste řekl těmto lidem? Myslíte si, že je snazší zaútočit na stroj GNU Linux nebo FreeBSD, protože je to open source než ten s Windows, protože je to proprietární kód, nebo je to naopak?

FS: Otázka za milion dolarů. Nebo obvyklá otázka. Pro mě to není systém, ale osoba, která systém nastavuje.
I tak, pokud se musím rozhodnout, vždy bych řekl LINUX. Proč? Existuje mnoho důvodů, ale pro nerozbalení bych vám řekl, že jeho výchozí konfigurace je bezpečnější než Windows '; můžete také zvýšit bezpečnost tím, že budete mít více možností; jako svobodný software můžete vyvíjet, upravovat nebo rozšiřovat bezpečnostní služby.
Na druhou stranu neexistují žádné spustitelné soubory, které by vám umožnily tak snadno infikovat trojské koně.
I tak se zdá, že nyní je Windows podle některých publikací nejbezpečnější ... nebo možná ta, která má nejvíce peněz ... Nevím, jestli to vysvětlím. V tomto srovnání jmenují 119 zranitelností jádra Linuxu ... nespecifikováno ... mezi systémy Windows se však objeví 248 ... ale pro každý operační systém Windows specifikují nižší částku ... to je ... malá sada čísel. Hodně marketingu;)

LA: Security Sentinel je partnerem projektu Rapid7 Metasploit, což je projekt s otevřeným zdrojovým kódem, stejně jako mnoho dalších používaných pro testování nebo forenzní analýzu. Je to dobrý příklad, který objasňuje, co jsme zmínili v předchozí otázce. Nemyslíš

FS: Metasploit (Rapid7) strávil mnoho let investováním času do vývoje exploitů k poškození systémů všeho druhu.
Myslím si, že možnost, že můžete rozvíjet, upravovat nebo rozšiřovat cíle exploitu a umět jej používat s takovým rámcem, aniž byste museli platit nebo čekat na nové exploity, být otevřeným zdrojovým kódem, vám mnohem usnadňuje práci.
Ačkoli existuje placená verze, s bezplatnou verzí a znalostmi programování v ruby, Pythonu, perlu ... máte velmi, velmi užitečného spolupracovníka.
Musím také poznamenat, že mnoho uživatelů Metasploit využívá pouze 10 nebo 20% svých možností. V dalším kurzu Ethical Hacking, který vyvíjíme (CHEE), máme celé téma pro Metasploit, kde budeme učit, jak tento nástroj využívat naplno.

LA: Python je programovací jazyk pod jinou bezplatnou licencí (PSFL), který je v bezpečnostním sektoru velmi přítomen. Proč? Co je zvláštního na ostatních?

FS: Python má velkou výhodu a je to jeho knihovna. Jejich použití a snadné naučení se jazyka vám hodně pomůže, abyste mohli provádět malé nástroje, které jsou velmi užitečné při provádění bezpečnostního auditu založeného na pentestingu.
Můžete také propojit malé programy v Pythonu s dalšími, jako jsou nmap, nessus atd ... a to vám ještě více pomůže urychlit práci pentesteru.
1. června absolvujeme kurz pro naše studenty, Python pro pentestery, protože věříme, že je nezbytné, aby pentester používal tento jazyk.

LA: V poslední době byly zjištěny některé kritické chyby zabezpečení v projektech s otevřeným zdrojovým kódem a v dalším malwaru, který útočí na systémy GNU Linux. Společnosti, které prodávají uzavřený software, například Apple a Microsoft, mají bezpečnostní auditory, kteří za účelem zlepšení zabezpečení útočí na jejich vlastní systémy. Myslíte si, že komunita pro vývoj projektů s otevřeným zdrojovým kódem by měla zvážit propagaci této praxe?

FS: Myslíte si, že neexistují žádní auditoři pro Apache, Debian, Fedoru, Ubuntu ... další věc je, že účtují to, co účtují poplatky jiných firem, ale existují, existují, protože chápu, že ve velkých distribucích pracují lidé Na toto. Bylo by nelogické je nemít. Také věřím, že to vše je sázka do budoucna. Problém je v tom, že Apple nebo Windows skončí jako nejsilnější distribuce open source?

LA: Pojďme k zákazníkům The Security Sentinel. Letos v létě jsem si povídal s inženýrem Oracle a ten mi řekl, že stále více serverů a superpočítačů se s Linuxem prodává na úkor jejich vlastního systému Solaris a že pro svou práci každý den dokonce používají distribuci nazvanou Oracle Linux. Najdete stále více společností, které používají Linux nebo jsou stále hodně závislé na Windows?

FS: V tomto aspektu najdete vše.
Moji klienti nyní používají více serverů Linux než Windows, ale uživatelské počítače jsou stále 90% Windows a velmi vysoké procento stále používá XP !!!

LA: Některé vlády nebo společnosti migrují na distribuce Linuxu kvůli možnostem a výhodám, které přináší. Některé lákají bezpečím. Doporučili byste společnostem a organizacím provést tuto změnu? Radí TSS bezplatné projekty pro některá z bezpečnostních řešení, která implementujete?

FS: Poradíme v závislosti na potřebách každého klienta. Byl bych rád, kdyby se lidé více zapojili do Linuxu, ale někdy značka hodně váží.
I přesto, kdykoli můžeme, doporučujeme serverům Linux jejich robustnost, flexibilitu a zabezpečení.

LA: Mnoho uživatelů nebo společností nevěnuje pozornost zabezpečení. Do jaké míry je to špatná praxe a jakou radu byste jim dali? Řekněte nám o závažném případu, který může být odhalen a který jste během své zkušenosti pozorovali, abyste zvýšili povědomí veřejnosti.

FS: Hodně? Skoro nikdo. První věc, kterou bych jim poradil, by bylo absolvovat kurz malého povědomí o základních předpisech o počítačové bezpečnosti.
Dokonce i v daňové agentuře jsem našel uživatele s post-it s jejich heslem na monitoru!
Bylo ale neuvěřitelné vidět na místě, v malé prezentaci naší společnosti u možného klienta, kterým je také společnost hrající s cennými papíry na akciovém trhu (makléři), poslouchat ředitele operací ze své kanceláře, křičet na počítačový vědec „CO JE MOJE B ... HESLO ?? !!“
I poté, co jsme to viděli, nás potenciální klient nezajal ... Bůh je chytil, přiznal se!

LA: Nyní také vyučujete kurzy hackerství a bezpečnosti. Sami jste absolvovali zkoušku ECH Council CEH (Council Ethical Hacking) a měli docela dobré skóre. Říká se, že „nejlepší obrana je dobrý útok“, říkám to v souvislosti s předchozí otázkou. Doporučili byste uživatelům absolvovat tento typ kurzu?

FS: Doporučuji vám, abyste se nezaměřovali na „titulitis“, ale místo toho se učili kurzy. Naše kurzy zaměřujeme na praxi, protože se mi nelíbil tento kurz, který pojmenujete, protože jsem ho studoval samostatně a také bez praxe. Je to jen titul. Naši studenti jsou však „drceni“ při provádění praktik. Ale oni ti říkají ...
Sportovec musí trénovat každý den. My také.

LA: Mnoho lidí věří, že hacker je špatný člověk. Dokonce i RAE ho definuje jako hackera, který využívá své znalosti k tomu, aby dělal špatné věci. Je smutné to slyšet, protože to dokonce přinutilo vidět pojmy jako „etický hacking“, aby lidé nemysleli na počítačového zločince. Eric Reymond, hájí pojem „hacker“ s původní definicí a zastává použití „crackeru“ pro označení „padouchů“. Ale tváří v tvář propagandistické mašinérii Hollywoodu, která si také vytvořila špatnou pověst u mnoha filmů a seriálů o hackerech, co lze udělat ... Co si myslíte jako bezpečnostní expert?

FS: Slovo hacker považuji za počítačového specialistu, který někdy posedle vyšetřuje, dokud nenalezne odpověď. Ale odtud do zločinu ...
Samozřejmě existují hackeři, kteří jsou zločinci, protože mohou existovat hasiči, kteří jsou také zločinci. Ale stejně jako to není zobecněno ve druhém případě, proč to udělat v prvním?
Stručně řečeno, myslím si, že RAE vykazuje velkou nevědomost, pokud jde o volání slova hacker jako hacker. Hollywoodská věc je lepší nemluvě o tom ...

Doufám, že se vám to líbilo první rozhovor ze série, kterou jsme vznesli k významným osobnostem na národní i mezinárodní scéně ...