Haastattelu Francisco Sanzin kanssa: The Security Sentinelin toimitusjohtaja

Security Sentinel (TSS) on espanjalainen yritys, joka on sitoutunut tietoturvaan, niin monien unohtama ja niin tärkeä. TSS on omistettu suorittamaan yrityksille tietoturvatarkastuksia, jotka perustuvat eettisiin hakkerointi- tai testitesteihin, sekä tarjoamaan turvallisuuskoulutuskursseja.

Haittaohjelmat ja haavoittuvuudet ovat tärkeä aihe blogissamme ja etenkin uusimpien uutisten kanssa VENOMista, Heartbleedistä ja muista GNU Linuxiin vaikuttavista tietoturvakysymyksistä. Siksi olemme päättäneet haastatella Francisco Sanz, TSS: n toimitusjohtaja joka antaa meille vihjeitä tästä mielenkiintoisesta aiheesta.

Francisco (FS tästä lähtien) on yksi TSS-ammattilaisista. Hän opiskeli tietokonetekniikkaa Madridin autonomisessa yliopistossa saadakseen myöhemmin tutkinnon liikkeenjohdosta ja markkinoinnista ESIC: ssä, suorittamalla Cisco CNNA-, PHP- ja MySQL-ohjelmointikurssit, eettisen hakkeroinnin ja läpäisemällä CE-sertifikaatin EY-neuvostolta luokituksella 91% / 100%.

LinuxAdictos: GNU Linux on erittäin tärkeä tietoturva-alalla. Blogissamme olemme puhuneet jakeluista, kuten Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop tai muista turvalliseen selaamiseen ja yksityisyyteen suuntautuneista, kuten Tails ja Whonix. Mitä käytät päivittäisessä rutiinissasi?

Francis Sanchez: Tehtävästä työstä riippuen ... esimerkiksi pentestissä käytän omaa jakelua (TPS) käyttämiemme pentestointityökaluilla, mutta niiden perusteella niiden pitäisi olla 7.

LA: Monet hyökkäävät vapaita tai avoimen lähdekoodin ohjelmistoja sanoen, että ne ovat huonolaatuisia tai epävarmempia. Mitä sanoisit näille ihmisille? Luuletko, että GNU Linux- tai FreeBSD-koneita on helpompi hyökätä, koska se on avointa lähdekoodia kuin Windows, koska se on oma koodi, vai onko se päinvastoin?

FS: Miljoonan dollarin kysymys. Tai tavallinen kysymys. Minulle se ei ole järjestelmä, vaan henkilö, joka asettaa järjestelmän.
Silti, jos minun on päätettävä, sanoisin aina LINUX. Miksi? Syitä on monia, mutta laajentumisen estämiseksi sanoisin, että sen oletusasetukset ovat turvallisempia kuin Windows '; voit myös tehdä siitä turvallisemman, kun sinulla on useita vaihtoehtoja; Koska olet ilmainen ohjelmisto, voit kehittää, muokata tai laajentaa tietoturvapalveluja.
Toisaalta ei ole suoritettavia tiedostoja, jotka tartuttavat sinut troijalaisiin niin helposti.
Silti näyttää siltä, ​​että nyt Windows on turvallisin joidenkin julkaisujen mukaan ... tai ehkä se, jolla on eniten rahaa ... en tiedä selitänkö itseni. Vertailussa he nimeävät 119 Linux-ytimen haavoittuvuutta ... määrittelemätöntä ... kuitenkin 248 esiintyy Windows-järjestelmien joukossa ... mutta määrittelemällä pienempi määrä kullekin Windows-käyttöjärjestelmälle ... se on ... pieni joukko numeroita. Paljon markkinointia;)

LA: Security Sentinel on Rapid7 Metasploit -projektin, avoimen lähdekoodin projektin, kumppani, kuten monet muutkin, joita käytetään pentestointiin tai rikostekniseen analyysiin. Se on hyvä esimerkki, joka tekee selväksi sen, mitä mainitsimme edellisessä kysymyksessä. Luuletko

FS: No, Metasploit (Rapid7) on viettänyt monta vuotta investoimalla aikaa kaikenlaisten järjestelmien vahingoittamiseen tarkoitettujen hyödykkeiden kehittämiseen.
Mielestäni mahdollisuus, että voit kehittää, muokata tai laajentaa hyödyntämisen tavoitteita ja pystyä käyttämään sitä tällaisella kehyksellä ilman, että sinun tarvitsee maksaa tai odottaa uusia hyökkäyksiä, ollessasi avoimen lähdekoodin, tekee työstäsi paljon helpompaa.
Vaikka on olemassa maksettu versio, ilmaisella versiolla ja ohjelmointitiedoilla ruby, Python, perl ... sinulla on erittäin, erittäin hyödyllinen työtoveri.
Minun on myös kommentoitava, että monet Metasploit-käyttäjät käyttävät vain 10 tai 20% mahdollisuuksistaan. Seuraavalla kehittämällämme eettisen hakkeroinnin kurssilla (CHEE) meillä on Metasploitille koko aihe, jossa opetetaan työkalun käyttöä täysimääräisesti.

LA: Python on ohjelmointikieli toisen ilmaisen lisenssin (PSFL) alaisena ja jota sinulla on hyvin läsnä turvallisuusalalla. Miksi? Mikä on erityistä muissa?

FS: Pythonilla on erittäin suuri etu ja se on sen kirjastot. Näiden käyttö ja kielen oppimisen helppous auttavat sinua paljon pystymään suorittamaan pieniä työkaluja, jotka ovat erittäin hyödyllisiä suoritettaessa pentestointiin perustuvaa turvatarkastusta.
Voit myös yhdistää pienet Python-ohjelmat muiden kanssa, kuten nmap, nessus jne ... ja tämä auttaa sinua entistäkin nopeammin pentesterin työtä.
Suoritamme opiskelijoille kurssin, Python pentestereille, koska uskomme, että pentesterin on välttämätöntä käyttää tätä kieltä.

LA: Viime aikoina joitain kriittisiä haavoittuvuuksia on havaittu avoimen lähdekoodin projekteissa ja joissakin muissa haittaohjelmissa, jotka hyökkäävät GNU Linux -järjestelmiä vastaan. Suljettuja ohjelmistoja myyvillä yrityksillä, kuten Apple ja Microsoft, on turvatarkastajia, jotka hyökkäävät omiin järjestelmiinsä turvallisuuden parantamiseksi. Luuletko, että avoimen lähdekoodin projektikehitysyhteisön tulisi harkita tämän käytännön edistämistä?

FS: Luulet, että Apache, Debian, Fedora, Ubuntu ei ole tilintarkastajia ... toinen asia on, että he veloittavat muiden yritysten veloittamat tiedot, mutta on olemassa, koska niitä on olemassa, koska ymmärrän, että suurissa jakeluissa työskentelee ihmisiä. Olisi epäloogista, ettei niitä olisi. Uskon myös, että kaikki tämä on veto tulevaisuuteen. Ongelmana on, ovatko Apple tai Windows lopulta tehokkaimmat avoimen lähdekoodin jakelut?

LA: Siirrytään The Security Sentinel -asiakkaille. Tänä kesänä keskustelin Oracle-insinöörin kanssa ja hän kertoi minulle, että yhä useammat palvelimet ja supertietokoneet myydään Linuxin kanssa heidän oman Solaris-järjestelmänsä vahingoksi ja että he jopa käyttävät päivittäin työhönsä Oracle Linux -nimistä jakelua. Löydätkö yhä enemmän yrityksiä, jotka käyttävät Linuxia tai riippuvat silti paljon Windowsista?

FS: Tältä osin löydät kaiken.
Asiakkaani käyttävät nyt enemmän Linuxia palvelimille kuin Windows, mutta käyttäjätietokoneet ovat edelleen 90% Windowsia ja erittäin suuri prosenttiosuus käyttää edelleen XP: tä !!!

LA: Jotkut hallitukset tai yritykset siirtyvät Linux-jakeluihin sen tuomien mahdollisuuksien ja etujen vuoksi. Jotkut houkuttelivat turvallisuutta. Kannustaisitko yrityksiä ja organisaatioita tekemään tämän muutoksen? Neuvoo TSS ilmaisia ​​projekteja mille tahansa käyttöön otettavista tietoturvaratkaisuista?

FS: Neuvomme kunkin asiakkaan tarpeiden mukaan. Haluaisin ihmisten olevan enemmän tekemisissä Linuxin kanssa, mutta joskus tuotenimi painaa paljon.
Siitä huolimatta me, aina kun voimme, neuvomme Linux-palvelimia niiden vankkuudesta, joustavuudesta ja turvallisuudesta.

LA: Monet käyttäjät tai yritykset eivät kiinnitä huomiota turvallisuuteen. Missä määrin se on huono käytäntö ja mitä neuvoja annat heille? Kerro meille vakavasta tapauksesta, joka voidaan paljastaa ja jonka olet havainnut kokemuksesi aikana lisätäksesi yleisön tietoisuutta.

FS: Paljon? Lähes kukaan. Ensimmäinen asia, jota neuvoisin heille, olisi antaa pieni tietokonekurssi tietokoneturvallisuuden perussäännöistä.
Jopa verovirastosta olen löytänyt käyttäjiä, joilla on post-it-salasana näytöllä!
Mutta oli uskomatonta nähdä paikan päällä pienessä esityksessä yrityksestämme mahdollisessa asiakkaassa, joka on myös yritys, joka leikkii arvopapereilla osakemarkkinoilla (välittäjät), kuunnella toimiston johtajaa toimistostaan, huutaa tietojenkäsittelytieteen tutkija "MIKÄ ON B ... SALASANA ??!"
Edes nähtyään tämän potentiaalinen asiakas ei palkannut meitä ... Jumala saisi heidät tunnustamaan!

LA: Nyt opetat myös hakkerointia ja tietoturvaa koskevia kursseja. Suoritit itse EC-neuvoston CEH (Council Ethical Hacking) -tutkimuksen melko hyvillä pisteillä. Sanotaan, että "paras puolustus on hyvä rikos", sanon tämän viitaten edelliseen kysymykseen. Kannustaisitko käyttäjiä käymään tämän tyyppisiä kursseja?

FS: Kehotan heitä olemaan keskittymättä "tituliittiin", vaan sen sijaan opiskelemaan kursseja. Keskitymme kursseihimme käytäntöön, koska en pitänyt tästä nimeämäsi kurssista, koska opiskelin sitä yksin ja myös ilman harjoittelua. Se on vain otsikko. Opiskelijamme ovat kuitenkin "murskattuja" tekemällä käytäntöjä. Mutta he kertovat sinulle ...
Urheilijan on harjoiteltava joka päivä. Me myös.

LA: Monet uskovat, että hakkeri on huono ihminen. Jopa RAE määrittelee hänet hakkeriksi, joka käyttää tietojaan tekemään pahoja asioita. On surullista kuulla tämän, koska se on jopa pakottanut havaitsemaan sellaiset termit kuin "eettinen hakkerointi", jotta ihmiset eivät ajattele tietoverkkorikollista. Eric Reymond puolustaa termiä "hakkeri" alkuperäisellä määritelmällä ja kannattaa "krakkausyksikön" käyttämistä viittaamaan "pahiksiin". Mutta mitä Hollywoodin propagandakoneella, joka on myös luonut huonon maineen lukuisilla hakkereita käsittelevillä elokuvilla ja sarjoilla, voidaan tehdä ... Mitä luulet turvallisuusasiantuntijana?

FS: Pidän hakkeri-sanaa tietotekniikan asiantuntijana, joka joskus pakkomielteisesti tutkii, kunnes löytää vastauksen. Mutta sieltä rikokseen ...
Tietenkin on hakkereita, jotka ovat rikollisia, koska saattaa olla palomiehiä, jotka ovat myös rikollisia. Mutta aivan kuten toisessa tapauksessa sitä ei ole yleistetty, miksi se tehdään ensimmäisessä tapauksessa?
Lyhyesti sanottuna mielestäni RAE osoittaa suurta tietämättömyyttä sanan hakkeri kutsumiseksi hakkereiksi. Hollywoodin asia on parempi olla mainitsematta sitä ...

Toivottavasti pidit tästä ensimmäinen haastattelu sarjasta, jonka olemme nostaneet tärkeille henkilöille kansallisella ja kansainvälisellä näyttämöllä ...