Συνέντευξη με τον Francisco Sanz: Διευθύνων Σύμβουλος του The Security Sentinel

Η Security Sentinel (TSS) είναι μια ισπανική εταιρεία αφιερωμένη στην ασφάλεια υπολογιστών, τόσο ξεχασμένο από πολλούς και τόσο σημαντικό. TSS είναι αφιερωμένη στη διενέργεια ελέγχων ασφάλειας σε εταιρείες, βάσει ηθικών δοκιμών hacking ή pentesting, εκτός από την παροχή εκπαιδευτικών μαθημάτων ασφάλειας.

Το κακόβουλο λογισμικό και οι ευπάθειες είναι ένα καυτό θέμα στο ιστολόγιό μας και ειδικά με τα τελευταία νέα σχετικά με το VENOM, το Heartbleed και άλλα ζητήματα ασφαλείας που επηρεάζουν το GNU Linux. Γι' αυτό αποφασίσαμε να πάρουμε συνέντευξη Francisco Sanz, ο διευθύνων σύμβουλος της TSS που θα μας δώσει κάποιες ενδείξεις για αυτό το ενδιαφέρον θέμα.

Ο Francisco (FS από εδώ και πέρα) είναι ένας από τους επαγγελματίες του TSS. Σπούδασε μηχανικός υπολογιστών στο Αυτόνομο Πανεπιστήμιο της Μαδρίτης και αργότερα αποφοίτησε στη διοίκηση επιχειρήσεων και μάρκετινγκ στο ESIC, παρακολούθησε μαθήματα προγραμματισμού Cisco CNNA, PHP και MySQL, ηθικό hacking και κατάφερε να περάσει το πιστοποιητικό EC-Council CEH με ταξινόμηση 91%/ 100%.

LinuxAdictos: Το GNU Linux είναι πολύ σημαντικό στον τομέα της ασφάλειας. Στο ιστολόγιό μας έχουμε μιλήσει για διανομές όπως Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop ή άλλες που προσανατολίζονται στην ασφαλή περιήγηση και το απόρρητο, όπως το Tails και το Whonix. Στην καθημερινότητά σου, ποια χρησιμοποιείς;

Francisco Sanz: Ανάλογα με τη δουλειά που πρέπει να γίνει... για παράδειγμα, στο pentesting χρησιμοποιώ τη δική μου διανομή (TPS) με εργαλεία pentest που χρησιμοποιούμε, αλλά με βάση το debian 7.

LA: Πολλοί επιτίθενται σε λογισμικό ελεύθερου ή ανοιχτού κώδικα ως κακής ποιότητας ή πιο ανασφαλές. Τι θα έλεγες σε αυτούς τους ανθρώπους; Πιστεύετε ότι είναι ευκολότερο να επιτεθείτε σε ένα μηχάνημα GNU Linux ή FreeBSD επειδή είναι ανοιχτού κώδικα παρά σε ένα με Windows επειδή είναι αποκλειστικός κώδικας ή είναι το αντίστροφο;

FS: Η ερώτηση των εκατομμυρίων δολαρίων. Ή η συνηθισμένη ερώτηση. Για μένα δεν είναι το σύστημα, αλλά το άτομο που ρυθμίζει το σύστημα.
Ακόμα κι έτσι, αν πρέπει να αποφασίσω, θα έλεγα πάντα LINUX. Επειδή? Υπάρχουν πολλοί λόγοι, αλλά για να μην πάμε πολύ μακριά θα σας έλεγα ότι η προεπιλεγμένη διαμόρφωση του είναι πιο ασφαλής από αυτή των Windows. Μπορείτε επίσης να το κάνετε πιο ασφαλές έχοντας πολλές επιλογές. Ως ελεύθερο λογισμικό, μπορείτε να αναπτύξετε, να τροποποιήσετε ή να επεκτείνετε τις υπηρεσίες ασφαλείας.
Από την άλλη, δεν υπάρχουν εκτελέσιμα για να μπορείς να μολυνθείς με Trojans τόσο εύκολα.
Ακόμα κι έτσι, φαίνεται ότι τα Windows είναι πλέον τα πιο ασφαλή, σύμφωνα με κάποια δημοσιεύματα... ή ίσως, αυτά με τα περισσότερα χρήματα... Δεν ξέρω αν καταλαβαίνω τον εαυτό μου. Σε αυτή τη σύγκριση, ονομάζουν 119 τρωτά σημεία Linux Kernel... χωρίς να προσδιορίζουν... ωστόσο, 248 εμφανίζονται μεταξύ των συστημάτων Windows... αλλά καθορίζουν έναν μικρότερο αριθμό για κάθε λειτουργικό σύστημα Windows... δηλαδή... ένα μικρό σύνολο αριθμών . Πολύ μάρκετινγκ ;)

LA: Το Security Sentinel είναι εταίρος του έργου Rapid7 Metasploit, ενός έργου ανοιχτού κώδικα, όπως πολλά άλλα που χρησιμοποιούνται για διενέργεια δοκιμής ή εγκληματολογικής ανάλυσης. Είναι ένα καλό παράδειγμα που καθιστά σαφές αυτό που αναφέραμε στην προηγούμενη ερώτηση. Δεν νομίζεις;

FS: Λοιπόν, το Metasploit (Rapid7), έχει ξοδέψει πολλά χρόνια επενδύοντας χρόνο στην ανάπτυξη εκμεταλλεύσεων για την παραβίαση συστημάτων κάθε είδους.
Νομίζω ότι η δυνατότητα να αναπτύξεις, να τροποποιήσεις ή να επεκτείνεις τους στόχους ενός exploit και να μπορείς να το χρησιμοποιήσεις με ένα πλαίσιο σαν αυτό, χωρίς να χρειάζεται να πληρώσεις ή να περιμένεις νέα exploit, όντας ανοιχτού κώδικα, κάνει τη δουλειά σου πολύ πιο εύκολη.
Αν και υπάρχει πληρωμένη έκδοση, με τη δωρεάν και με γνώσεις προγραμματισμού σε ruby, Python, perl... έχεις έναν πολύ χρήσιμο συνεργάτη.
Πρέπει επίσης να σχολιάσω ότι πολλοί χρήστες του Metasploit χρησιμοποιούν μόνο το 10 ή 20% των δυνατοτήτων τους. Στο επόμενο μάθημα Ethical Hacking που αναπτύσσουμε (CHEE), έχουμε ένα ολόκληρο θέμα για το Metasploit, όπου θα διδάξουμε πώς να χρησιμοποιείτε το εργαλείο στο έπακρο.

LA: Η Python είναι μια γλώσσα προγραμματισμού με άλλη δωρεάν άδεια (PSFL) και την οποία έχετε πολύ στο μυαλό σας στον τομέα της ασφάλειας. Επειδή? Τι το ιδιαίτερο έχουν οι άλλοι;

FS: Η Python έχει ένα πολύ μεγάλο πλεονέκτημα και είναι οι βιβλιοθήκες της. Η χρήση αυτών και η ευκολία εκμάθησης της γλώσσας σάς βοηθάει πολύ για να μπορείτε να πραγματοποιήσετε μικρά εργαλεία που είναι πολύ χρήσιμα κατά τη διεξαγωγή ενός ελέγχου ασφαλείας με βάση τη διενέργεια δοκιμής.
Μπορείτε επίσης να συνδέσετε μικρά προγράμματα Python με άλλα όπως nmap, nessus κ.λπ.. και αυτό σας βοηθά ακόμα περισσότερο να επιταχύνετε τη δουλειά ενός pentester.
Παρακολουθούμε ένα μάθημα την 1η Ιουνίου για τους μαθητές μας, Python για pentesters, γιατί πιστεύουμε ότι είναι απαραίτητο για έναν pentester να χρησιμοποιεί αυτή τη γλώσσα.

LA: Πρόσφατα, έχουν εντοπιστεί ορισμένες κρίσιμες ευπάθειες σε έργα ανοιχτού κώδικα και κάποιο άλλο κακόβουλο λογισμικό που επιτίθεται σε συστήματα GNU Linux. Οι εταιρείες που πωλούν κλειστό λογισμικό, όπως η Apple και η Microsoft, έχουν ελεγκτές ασφαλείας που επιτίθενται στα δικά τους συστήματα για να βελτιώσουν την ασφάλεια. Πιστεύετε ότι η κοινότητα ανάπτυξης έργων ανοιχτού κώδικα θα πρέπει να εξετάσει το ενδεχόμενο προώθησης αυτής της πρακτικής;

FS: Λοιπόν, νομίζεις ότι δεν υπάρχουν ελεγκτές για Apache, Debian, Fedora, Ubuntu... άλλο πράγμα είναι ότι χρεώνουν ό,τι χρεώνουν οι άλλες εταιρείες, αλλά υπάρχουν, υπάρχουν, αφού καταλαβαίνω ότι οι μεγάλες διανομές έχουν κόσμο. εργάζονται σε αυτό. Θα ήταν παράλογο να μην τα έχουμε. Πιστεύω επίσης ότι όλο αυτό είναι ένα στοίχημα για το μέλλον. Το πρόβλημα είναι, θα καταλήξουν οι πιο ισχυρές διανομές ανοιχτού κώδικα να είναι η νέα Apple ή τα Windows;

LA: Ας περάσουμε στους πελάτες του The Security Sentinel. Αυτό το καλοκαίρι συνομιλούσα με έναν μηχανικό της Oracle και μου είπε ότι όλο και περισσότεροι διακομιστές και υπερυπολογιστές με Linux πωλούνται εις βάρος του δικού τους συστήματος, του Solaris, και ότι χρησιμοποιούν ακόμη και μια διανομή που ονομάζεται Oracle Linux για την εργασία τους σε ένα σε καθημερινή βάση. Βρίσκετε όλο και περισσότερες εταιρείες που χρησιμοποιούν Linux ή εξακολουθούν να εξαρτώνται σε μεγάλο βαθμό από τα Windows;

FS: Από αυτή την άποψη, βρίσκεις τα πάντα.
Οι πελάτες μου χρησιμοποιούν τώρα περισσότερο Linux για διακομιστές παρά Windows, αλλά οι υπολογιστές χρηστών εξακολουθούν να είναι κατά 90% Windows και ένα πολύ υψηλό ποσοστό εξακολουθεί να χρησιμοποιεί XP!!!

LA: Ορισμένες κυβερνήσεις ή εταιρείες μεταναστεύουν σε διανομές Linux λόγω των δυνατοτήτων και των πλεονεκτημάτων που προσφέρει. Κάποιοι έλκονται από την ασφάλεια. Θα ενθαρρύνατε εταιρείες και οργανισμούς να κάνουν αυτήν την αλλαγή; Η TSS συμβουλεύει δωρεάν έργα για οποιαδήποτε από τις λύσεις ασφαλείας που εφαρμόζετε;

FS: Συμβουλεύουμε ανάλογα με τις ανάγκες του κάθε πελάτη. Θα ήθελα οι άνθρωποι να επενδύσουν περισσότερο στο Linux, αλλά μερικές φορές το όνομα μιας μάρκας βαραίνει πολύ.
Ακόμα κι έτσι, όποτε μπορούμε, προτείνουμε διακομιστές Linux για την ευρωστία, την ευελιξία και την ασφάλειά τους.

LA: Πολλοί χρήστες ή εταιρείες δεν δίνουν σημασία στην ασφάλεια. Σε ποιο βαθμό είναι κακή πρακτική και τι συμβουλή θα τους δίνατε; Μιλήστε μας για μια σοβαρή περίπτωση που μπορεί να αποκαλυφθεί και που έχετε παρατηρήσει κατά τη διάρκεια της εμπειρίας σας για να ευαισθητοποιήσετε το κοινό.

FS: Πολλά? Σχεδόν κανένας. Το πρώτο πράγμα που θα τους συμβούλευα θα ήταν να παρακολουθήσουν ένα μικρό μάθημα ευαισθητοποίησης σχετικά με τους βασικούς κανονισμούς ασφάλειας υπολογιστών.
Ακόμα και στην Εφορία έχω βρει χρήστες με το post-it με τον κωδικό τους στην οθόνη!
Αλλά ήταν απίστευτο να δούμε in situ, σε μια μικρή παρουσίαση της εταιρείας μας σε έναν πιθανό πελάτη, ο οποίος είναι επίσης εταιρεία που παίζει με τίτλους στο χρηματιστήριο (μεσίτες), να ακούει τον διευθυντή επιχειρήσεων από το γραφείο του, να φωνάζει ο επιστήμονας υπολογιστών "ΤΙ ΕΙΝΑΙ ΤΟ Π... ΚΩΔΙΚΟΣ ΜΟΥ;;!!"
Ακόμα και αφού το είδε αυτό, η προοπτική δεν μας προσέλαβε… ας τους πιάσει ο Θεός να ομολογούν!

LA: Τώρα διδάσκετε επίσης μαθήματα για το hacking και την ασφάλεια. Εσείς ο ίδιος κάνατε την εξέταση CEH (Council Ethical Hacking) από το EC-Council και με αρκετά καλή βαθμολογία. Υπάρχει ένα ρητό που λέει ότι «η καλύτερη άμυνα είναι μια καλή επίθεση», το λέω σε σχέση με την προηγούμενη ερώτηση. Θα ενθαρρύνατε τους χρήστες να παρακολουθήσουν αυτό το είδος μαθημάτων;

FS: Θα τους παρότρυνα να μην επικεντρωθούν στον «τιτλισμό» και να παρακολουθήσουν μαθήματα για να μάθουν. Τα μαθήματά μας επικεντρώνονται στην πρακτική, γιατί δεν μου άρεσε αυτό το μάθημα που ονομάζετε, αφού το σπούδασα δωρεάν, αλλά και χωρίς πρακτική. Είναι απλά ένας τίτλος. Ωστόσο, οι μαθητές μας «τσακίζουν» κάνοντας πρακτικές. Αν δεν σου πουν...
Ένας αθλητής πρέπει να προπονείται κάθε μέρα. Εμείς επίσης.

LA: Πολλοί πιστεύουν ότι ένας χάκερ είναι κακός άνθρωπος. Ακόμη και η ΡΑΕ τον ορίζει ως χάκερ που χρησιμοποιεί τις γνώσεις του για να κάνει άσχημα πράγματα. Είναι λυπηρό να το ακούς αυτό, γιατί έχει αναγκάσει ακόμη και όρους όπως "ηθική πειρατεία" να φανούν, έτσι ώστε οι άνθρωποι να μην σκέφτονται έναν κυβερνοεγκληματία. Ο Eric Reymond υπερασπίζεται τον όρο "hacker" με τον αρχικό ορισμό και υποστηρίζει τη χρήση του "cracker" για να αναφερθεί στους "κακούς". Μπροστά όμως στη μηχανή προπαγάνδας του Χόλιγουντ, που έχει αναλάβει και τη δημιουργία κακής φήμης με πλήθος ταινιών και σειρών για χάκερ, τι μπορεί να γίνει... Τι πιστεύεις ως ειδικός σε θέματα ασφάλειας;

FS: Θεωρώ τη λέξη χάκερ ως ειδικό στους υπολογιστές που μερικές φορές ερευνά με εμμονή μέχρι να βρει την απάντησή του. Αλλά από εκεί στο έγκλημα...
Φυσικά υπάρχουν χάκερ που είναι εγκληματίες, όπως μπορεί να υπάρχουν και πυροσβέστες που είναι επίσης εγκληματίες. Αλλά όπως δεν γενικεύεται στη δεύτερη περίπτωση, γιατί να το κάνουμε στην πρώτη;
Εν ολίγοις, νομίζω ότι η ΡΑΕ δείχνει μεγάλη έλλειψη κουλτούρας όταν πρόκειται να αποκαλέσει τη λέξη χάκερ ως χάκερ υπολογιστών. Το θέμα του Χόλιγουντ είναι καλύτερα να μην το αναφέρουμε...

Ελπίζω να σου άρεσε αυτό πρώτη συνέντευξη της σειράς που έχουμε θέσει σε σημαντικές προσωπικότητες του εθνικού και διεθνούς πανοράματος…