Interview mit Francisco Sanz: CEO von The Security Sentinel

Der Security Sentinel (TSS) ist ein spanisches Unternehmen, das sich der Computersicherheit widmet. so von vielen vergessen und so wichtig. TSS widmet sich der Durchführung von Sicherheitsaudits für Unternehmen auf der Grundlage ethischer Hacking- oder Pentesting-Tests sowie der Durchführung von Schulungen zum Thema Sicherheit.

Malware und Sicherheitslücken sind ein heißes Thema in unserem Blog und insbesondere mit den neuesten Nachrichten zu VENOM, Heartbleed und anderen Sicherheitsproblemen, die GNU Linux betreffen. Deshalb haben wir uns für ein Interview entschieden Francisco Sanz, der CEO von TSS Das gibt uns einige Hinweise zu diesem interessanten Thema.

Francisco (FS von nun an) ist einer der TSS-Profis. Er studierte Computertechnik an der Autonomen Universität Madrid, um später einen Abschluss in kaufmännischem Management und Marketing bei ESIC zu machen, an den Cisco CNNA-, PHP- und MySQL-Programmierkursen teilzunehmen, ethisches Hacken durchzuführen und das CEH-Zertifikat des EC-Council mit einer Klassifizierung von 91% / 100 zu bestehen %.

LinuxAdictos: GNU Linux ist im Bereich der Sicherheit sehr wichtig. In unserem Blog haben wir über Distributionen wie Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop oder andere, die auf sicheres Surfen und Datenschutz ausgerichtet sind, wie Tails und Whonix, gesprochen. Welche verwenden Sie in Ihrem Tagesablauf?

Franz Sanchez: Abhängig von der zu erledigenden Arbeit ... verwende ich zum Beispiel beim Pentesting meine eigene Distribution (TPS) mit Pentesting-Tools, die wir verwenden, aber basierend darauf sollten sie 7.

LA: Viele greifen freie oder Open-Source-Software an und sagen, sie sei von schlechter Qualität oder unsicherer. Was würdest du diesen Leuten sagen? Denken Sie, dass es einfacher ist, einen GNU Linux- oder FreeBSD-Computer anzugreifen, weil er Open Source ist, als einen mit Windows, weil es sich um proprietären Code handelt, oder ist es das Gegenteil?

FS: Die Millionen-Dollar-Frage. Oder die übliche Frage. Für mich ist es nicht das System, sondern die Person, die das System einrichtet.
Trotzdem würde ich, wenn ich mich entscheiden muss, immer LINUX sagen. Warum? Es gibt viele Gründe, aber wenn Sie nicht erweitern, würde ich Ihnen sagen, dass die Standardkonfiguration sicherer ist als die von Windows. Sie können es auch sicherer machen, indem Sie mehrere Optionen haben. Als freie Software können Sie Sicherheitsdienste entwickeln, ändern oder erweitern.
Andererseits gibt es keine ausführbaren Dateien, die Sie so leicht mit Trojanern infizieren könnten.
Trotzdem scheint Windows laut einigen Veröffentlichungen jetzt das sicherste zu sein ... oder vielleicht das mit dem meisten Geld ... Ich weiß nicht, ob ich mich selbst erkläre. In diesem Vergleich nennen sie 119 Linux-Kernel-Schwachstellen ... nicht spezifiziert ... jedoch erscheinen 248 unter Windows-Systemen ... geben jedoch für jedes Windows-Betriebssystem eine niedrigere Anzahl an ... das heißt ... eine kleine Menge von Zahlen. Viel Marketing;)

LA: The Security Sentinel ist Partner des Rapid7 Metasploit-Projekts, eines Open Source-Projekts, wie viele andere, die für Pentesting- oder forensische Analysen verwendet werden. Es ist ein gutes Beispiel, das deutlich macht, was wir in der vorherigen Frage erwähnt haben. Denkst du nicht?

FS: Nun, Metasploit (Rapid7) hat viele Jahre Zeit in die Entwicklung von Exploits investiert, um Systeme aller Art zu beschädigen.
Ich denke, dass die Möglichkeit, dass Sie die Ziele eines Exploits entwickeln, modifizieren oder erweitern und mit einem solchen Framework verwenden können, ohne dafür bezahlen oder auf neue Exploits warten zu müssen, Open Source, Ihre Arbeit viel einfacher macht.
Obwohl es eine kostenpflichtige Version gibt, mit der kostenlosen und mit Programmierkenntnissen in Ruby, Python, Perl ... haben Sie einen sehr, sehr nützlichen Mitarbeiter.
Ich muss auch kommentieren, dass viele Metasploit-Benutzer nur 10 oder 20% ihrer Möglichkeiten nutzen. Im nächsten Ethical Hacking-Kurs, den wir entwickeln (CHEE), haben wir ein ganzes Thema für Metasploit, in dem wir zeigen, wie Sie das Tool in vollem Umfang nutzen können.

LA: Python ist eine Programmiersprache unter einer anderen kostenlosen Lizenz (PSFL), die Sie im Sicherheitsbereich sehr präsent haben. Warum? Was ist das Besondere an anderen?

FS: Python hat einen sehr großen Vorteil und es sind seine Bibliotheken. Die Verwendung dieser und die Leichtigkeit, die Sprache zu lernen, hilft Ihnen sehr dabei, kleine Tools auszuführen, die bei der Durchführung eines Sicherheits-Audits auf der Basis von Pentesting sehr nützlich sind.
Sie können auch kleine Python-Programme mit anderen wie nmap, nessus usw. verbinden. Dies hilft Ihnen noch mehr, die Arbeit eines Pentesters zu beschleunigen.
Wir nehmen am 1. Juni an einem Kurs für unsere Schüler teil, Python für Pentester, weil wir glauben, dass es für einen Pentester wichtig ist, diese Sprache zu verwenden.

LA: In letzter Zeit wurden einige kritische Sicherheitslücken in Open Source-Projekten und andere Malware entdeckt, die GNU Linux-Systeme angreift. Unternehmen, die geschlossene Software verkaufen, wie Apple und Microsoft, haben Sicherheitsprüfer, die ihre eigenen Systeme angreifen, um die Sicherheit zu verbessern. Denken Sie, dass die Open-Source-Projektentwicklergemeinschaft in Betracht ziehen sollte, diese Praxis zu fördern?

FS: Nun, Sie denken, es gibt keine Prüfer für Apache, Debian, Fedora, Ubuntu ... eine andere Sache ist, dass sie berechnen, was andere Firmen verlangen, aber es gibt sie, weil ich verstehe, dass die großen Distributionen Leute haben, die daran arbeiten. Es wäre unlogisch, sie nicht zu haben. Ich glaube auch, dass dies alles eine Wette für die Zukunft ist. Das Problem ist, werden Apple oder Windows die leistungsstärksten Open Source-Distributionen sein?

LA: Kommen wir zu den Kunden von The Security Sentinel. Diesen Sommer unterhielt ich mich mit einem Oracle-Ingenieur und er erzählte mir, dass immer mehr Server und Supercomputer mit Linux zum Nachteil ihres eigenen Systems Solaris verkauft werden und dass sie sogar täglich eine Distribution namens Oracle Linux für ihre Arbeit verwenden. Finden Sie immer mehr Unternehmen, die Linux verwenden oder immer noch stark von Windows abhängen?

FS: In diesem Aspekt finden Sie alles.
Meine Clients verwenden jetzt mehr Linux für Server als Windows, aber die Benutzercomputer bestehen immer noch zu 90% aus Windows und ein sehr hoher Prozentsatz verwendet immer noch XP !!!

LA: Einige Regierungen oder Unternehmen migrieren aufgrund der damit verbundenen Möglichkeiten und Vorteile auf Linux-Distributionen. Einige wurden von der Sicherheit angelockt. Würden Sie Unternehmen und Organisationen ermutigen, diese Änderung vorzunehmen? Berät TSS kostenlose Projekte für eine der von Ihnen implementierten Sicherheitslösungen?

FS: Wir beraten je nach den Bedürfnissen jedes Kunden. Ich möchte, dass sich die Leute mehr mit Linux beschäftigen, aber manchmal wiegt ein Markenname viel.
Trotzdem empfehlen wir Linux-Server, wann immer wir können, hinsichtlich ihrer Robustheit, Flexibilität und Sicherheit.

LA: Viele Benutzer oder Unternehmen achten nicht auf die Sicherheit. Inwieweit ist es eine schlechte Praxis und welchen Rat würden Sie ihnen geben? Erzählen Sie uns von einem schwerwiegenden Fall, der aufgedeckt werden kann und den Sie während Ihrer Erfahrung beobachtet haben, um die Öffentlichkeit zu sensibilisieren.

FS: Eine Menge? Fast niemand. Das erste, was ich ihnen raten würde, wäre, einen kleinen Sensibilisierungskurs über grundlegende Vorschriften zur Computersicherheit zu geben.
Sogar in der Steuerbehörde habe ich Benutzer mit dem Post-It mit ihrem Passwort auf dem Monitor gefunden!
Aber es war unglaublich, vor Ort in einer kleinen Präsentation unseres Unternehmens in einem möglichen Kunden zu sehen, der auch ein Unternehmen ist, das mit Wertpapieren an der Börse (Brokern) spielt, dem Director of Operations von seinem Büro aus zuzuhören und zu schreien der Informatiker "WAS IST MEIN B ... EIN PASSWORT ?? !!"
Selbst nachdem der potenzielle Kunde dies gesehen hatte, stellte er uns nicht ein ... Gott erwische sie gestanden!

LA: Jetzt unterrichten Sie auch Kurse zu Hacking und Sicherheit. Sie haben die CEH-Prüfung (Council Ethical Hacking) des EC-Council selbst und mit einer ziemlich guten Punktzahl abgelegt. Es gibt ein Sprichwort, dass "die beste Verteidigung eine gute Beleidigung ist", ich sage dies in Bezug auf die vorherige Frage. Würden Sie Benutzer ermutigen, an diesem Kurs teilzunehmen?

FS: Ich würde sie ermutigen, sich nicht auf "Titulitis" zu konzentrieren, sondern Kurse zu besuchen, um zu lernen. Wir konzentrieren unsere Kurse auf das Üben, weil mir dieser von Ihnen genannte Kurs nicht gefallen hat, da ich ihn selbst und auch ohne Übung studiert habe. Es ist nur ein Titel. Unsere Studenten werden jedoch durch Praktika "niedergeschlagen". Aber sie sagen dir ...
Ein Athlet muss jeden Tag trainieren. Wir ... auch.

LA: Viele glauben, dass ein Hacker ein schlechter Mensch ist. Sogar die RAE definiert ihn als Hacker, der sein Wissen nutzt, um schlechte Dinge zu tun. Es ist traurig, das zu hören, denn es hat sogar dazu geführt, dass Begriffe wie „ethisches Hacken“ gesehen werden müssen, damit die Menschen nicht an einen Cyberkriminellen denken. Eric Reymond verteidigt den Begriff "Hacker" mit der ursprünglichen Definition und befürwortet die Verwendung von "Cracker", um sich auf "böse Jungs" zu beziehen. Aber was kann man angesichts der Propagandamaschine von Hollywood tun, die auch mit einer Vielzahl von Filmen und Serien über Hacker einen schlechten Ruf geschaffen hat? Was halten Sie als Sicherheitsexperte?

FS: Ich betrachte das Wort Hacker als einen Computerspezialisten, der manchmal obsessiv nachforscht, bis er seine Antwort findet. Aber von dort zum Verbrechen ...
Natürlich gibt es Hacker, die Kriminelle sind, wie es Feuerwehrleute geben kann, die auch Kriminelle sind. Aber so wie es im zweiten Fall nicht verallgemeinert ist, warum im ersten?
Kurz gesagt, ich denke, die RAE zeigt große Unwissenheit, wenn es darum geht, das Wort Hacker als Hacker zu bezeichnen. Das Hollywood-Ding ist besser, es nicht zu erwähnen ...

Ich hoffe dir hat das gefallen erstes Interview der Serie, die wir angesprochen haben zu wichtigen Persönlichkeiten der nationalen und internationalen Szene ...