Interview med Francisco Sanz: CEO for The Security Sentinel

Security Sentinel (TSS) er et spansk firma dedikeret til computersikkerhed, så glemt af mange og så vigtige. TSS er dedikeret til at gennemføre sikkerhedsrevisioner til virksomheder baseret på etisk hacking eller pentesting-test ud over at give kurser i sikkerhed.

Malware og sårbarheder er et varmt emne på vores blog og især med de seneste nyheder om VENOM, Heartbleed og andre sikkerhedsproblemer, der påvirker GNU Linux. Derfor har vi besluttet at interviewe Francisco Sanz, administrerende direktør for TSS hvilket vil give os nogle spor om dette interessante emne.

Francisco (FS fra nu af) er en af ​​TSS-fagfolk. Han studerede computerteknik ved det autonome universitet i Madrid for senere at opnå en grad i forretningsadministration og marketing ved ESIC, tage Cisco CNNA, PHP og MySQL programmeringskurser, etisk hacking og bestå CEH-certifikatet fra EF-Rådet med en klassifikation på 91% / 100%.

LinuxAdictos: GNU Linux er meget vigtigt inden for sikkerhed. I vores blog har vi talt om distributioner som Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop eller andre, der er orienteret om sikker browsing og privatliv, såsom Tails og Whonix. Hvilke bruger du i din daglige rutine?

Francis Sanchez: Afhængigt af det arbejde, der skal udføres ... for eksempel ved pentesting bruger jeg min egen distribution (TPS) med pentesting-værktøjer, som vi bruger, men baseret på de skal 7.

TO: Mange angriber gratis eller open source-software, der siger, at den er af dårlig kvalitet eller mere usikker. Hvad ville du sige til disse mennesker? Tror du det er lettere at angribe en GNU Linux- eller FreeBSD-maskine, fordi den er open source end en med Windows, fordi den er proprietær kode, eller er det det modsatte?

FS: Million dollar-spørgsmålet. Eller det sædvanlige spørgsmål. For mig er det ikke systemet, men personen, der opretter systemet.
Alligevel, hvis jeg skal beslutte, vil jeg altid sige LINUX. Hvorfor? Der er mange grunde, men for ikke at udvide vil jeg fortælle dig, at dens standardkonfiguration er mere sikker end Windows '; du kan også gøre det mere sikkert ved at have flere muligheder; som fri software, kan du udvikle, ændre eller udvide sikkerhedstjenester.
På den anden side er der ingen eksekverbare filer, der inficerer dig med trojanske heste så let.
Alligevel ser det ud til, at Windows nu er det sikreste ifølge nogle publikationer ... eller måske den med de fleste penge ... Jeg ved ikke, om jeg forklarer mig selv. I denne sammenligning navngiver de 119 Linux-kernesårbarheder ... uspecificeret ... dog vises 248 blandt Windows-systemer ... men angiver et lavere beløb for hvert Windows OS ... det vil sige ... et lille sæt tal. Meget markedsføring;)

TO: Security Sentinel er partner i Rapid7 Metasploit-projektet, et open source-projekt, som mange andre, der bruges til pentesting eller retsmedicinsk analyse. Det er et godt eksempel, der gør det klart, hvad vi nævnte i det forrige spørgsmål. Tror du ikke

FS: Nå, Metasploit (Rapid7) har brugt mange år på at investere tid i udvikling af udnyttelser til skadesystemer af enhver art.
Jeg tror, ​​at muligheden for, at du kan udvikle, ændre eller udvide målene for en udnyttelse og være i stand til at bruge den med en ramme som denne uden at skulle betale eller vente på ny udnyttelse, er open source, gør dit arbejde meget lettere.
Selvom der er en betalt version, med den gratis og med programmeringsviden i rubin, Python, perl ... har du en meget, meget nyttig kollega.
Jeg er også nødt til at kommentere, at mange Metasploit-brugere kun bruger 10 eller 20% af deres muligheder. I det næste Ethical Hacking-kursus, som vi udvikler (CHEE), har vi et helt emne til Metasploit, hvor vi vil lære at bruge værktøjet til fulde.

TO: Python er et programmeringssprog under en anden gratis licens (PSFL), og som du har meget til stede i sikkerhedssektoren. Hvorfor? Hvad er specielt ved andre?

FS: Python har en meget stor fordel, og det er dens biblioteker. Brug af disse og letheden ved at lære sproget hjælper dig meget med at kunne udføre små værktøjer, der er meget nyttige, når du udfører en sikkerhedsrevision baseret på pentesting.
Du kan også forbinde små Python-programmer med andre som nmap, nessus osv ... og dette hjælper dig endnu mere med at fremskynde arbejdet med en pentester.
Vi tager et kursus den 1. juni for vores studerende, Python for pentestere, fordi vi mener, at det er vigtigt for en pentester at bruge dette sprog.

TO: På det seneste er der opdaget nogle kritiske sårbarheder i open source-projekter og anden malware, der angriber GNU Linux-systemer. Virksomheder, der sælger lukket software, såsom Apple og Microsoft, har sikkerhedsrevisorer, der angriber deres egne systemer for at forbedre sikkerheden. Tror du, at open source-projektudviklingssamfundet bør overveje at fremme denne praksis?

FS: Nå, du tror, ​​der er ingen revisorer for Apache, Debian, Fedora, Ubuntu ... en anden ting er, at de opkræver, hvad andre firmaer opkræver, men der findes, de eksisterer, fordi jeg forstår, at de store distributioner har folk, der arbejder på dette. Det ville være ulogisk ikke at have dem. Jeg tror også, at alt dette er et væddemål for fremtiden. Problemet er, vil Apple eller Windows ende med at blive de mest kraftfulde open source-distributioner?

TO: Lad os gå videre til The Security Sentinel-kunder. I sommer chatter jeg med en Oracle-ingeniør, og han fortalte mig, at flere og flere servere og supercomputere sælges med Linux til skade for deres eget system, Solaris, og at de endda bruger en distribution kaldet Oracle Linux til deres arbejde hver dag. Finder du flere og flere virksomheder, der bruger Linux eller stadig er meget afhængige af Windows?

FS: I dette aspekt finder du alt.
Mine klienter bruger nu mere Linux til servere end Windows, men brugercomputere er stadig 90% Windows og en meget høj procentdel bruger stadig XP !!!

TO: Nogle regeringer eller virksomheder migrerer til Linux-distributioner på grund af de muligheder og fordele, det medfører. Nogle lokket af sikkerhed. Vil du opmuntre virksomheder og organisationer til at foretage denne ændring? Rådgiver TSS gratis projekter til nogen af ​​de sikkerhedsløsninger, du implementerer?

FS: Vi rådgiver afhængigt af hver klients behov. Jeg vil gerne have, at folk bliver mere involveret i Linux, men nogle gange vejer et mærke meget.
Alligevel rådgiver vi Linux-servere, når vi kan, om deres robusthed, fleksibilitet og sikkerhed.

TO: Mange brugere eller virksomheder er ikke opmærksomme på sikkerheden. I hvilket omfang er det dårlig praksis, og hvilket råd vil du give dem? Fortæl os om en alvorlig sag, der kan afsløres, og som du har observeret under din oplevelse for at skabe opmærksomhed blandt offentligheden.

FS: En masse? Næsten ingen. Den første ting, jeg vil råde dem til, er at give et lille opmærksomhedskursus om grundlæggende computersikkerhedsregler.
Selv i skattebureauet har jeg fundet brugere med post-it med deres adgangskode på skærmen!
Men det var utroligt at se in situ, i en lille præsentation af vores virksomhed i en mulig klient, som også er et selskab, der spiller med værdipapirer på aktiemarkedet (mæglere), lytte til direktøren for operationer fra hans kontor, råbe til computervidenskabsmanden "HVAD ER MIN B ... ET PASSORD ?? !!"
Selv efter at have set dette, ansatte den potentielle klient os ikke ... Gud fanger dem tilstået!

TO: Nu underviser du også i kurser om hacking og sikkerhed. Du tog selv EC-Council CEH (Council Ethical Hacking) eksamen og med en ret god score. Der er et ordsprog, at "det bedste forsvar er en god lovovertrædelse", jeg siger dette med henvisning til det forrige spørgsmål. Vil du opfordre brugerne til at tage denne type kursus?

FS: Jeg vil opfordre dem til ikke at fokusere på "titulitis", men i stedet på at tage kurser for at lære. Vi fokuserer vores kurser på praksis, fordi jeg ikke kunne lide dette kursus, som du navngiver, da jeg studerede det alene og også uden øvelse. Det er bare en titel. Imidlertid er vores studerende "knust" i praksis. Men de fortæller dig ...
En atlet skal træne hver dag. Vi også.

TO: Mange mener, at en hacker er en dårlig person. Selv RAE definerer ham som en hacker, der bruger sin viden til at gøre dårlige ting. Det er trist at høre dette, fordi det endda har tvunget udtryk som ”etisk hacking” til at ses, så folk ikke tænker på en cyberkriminel. Eric Reymond, forsvarer udtrykket "hacker" med den oprindelige definition og fortaler for at bruge "cracker" til at henvise til "bad guys." Men i lyset af propagandamaskinen i Hollywood, som også har skabt et dårligt ry med et væld af film og serier om hackere, hvad kan man gøre ... Hvad synes du som sikkerhedsekspert?

FS: Jeg betragter ordet hacker som en computerspecialist, der undertiden obsessivt undersøger, indtil han finder sit svar. Men derfra til kriminalitet ...
Selvfølgelig er der hackere, der er kriminelle, da der kan være brandmænd, der også er kriminelle. Men ligesom det ikke er generaliseret i det andet tilfælde, hvorfor gør det i det første?
Kort sagt tror jeg, at RAE viser stor uvidenhed, når det kommer til at kalde ordet hacker som en hacker. Hollywood-tingen er bedre at ikke nævne det ...

Jeg håber, du kunne lide dette første interview med den serie, vi har rejst til vigtige tal på den nationale og internationale scene ...