Notre interview de cette semaine est pour une autre grande, dans ce cas Chema Alonso a été victime de nos questions. Vous avez bien voulu prendre le temps de nous répondre en exclusivité, ce que nous apprécions de connaître votre emploi du temps.
Je pense que Chema Alonso, l'un de nos hackers nationaux les plus populairesIl n'a pas besoin d'être présenté et de comprendre par "hacker" le vrai sens du mot. Pour ceux qui ne le connaissent pas, vous pouvez en savoir plus sur lui en googlant et je vous encourage à accéder à son blog, où vous trouverez des articles intéressants sur la sécurité. Vous connaissez Le côté du mal vous attend. En attendant, vous pouvez lire ce qu'il nous a répondu.
Linux Adictos: 1- La première question s'impose… Pablo Motos, Jordi Évole, Mamen Mendizábal et maintenant moi. Que vous est-il arrivé, Chema?
Chema Alonso : J'essaye de servir tout le monde. Répondez aux e-mails et messages de tout le monde. C'est vrai que je ne donne pas assez. Ils m'ont mis des messages sur Twitter, Facebook, Google+, Youtube, Instragram, le blog, les courriels, etc., et il m'est totalement impossible de trouver le temps de répondre à tous, mais je jure que j'essaye. Quant aux journalistes, la vérité est que j'ai dû être avec certains très bons à la télévision, mais d'autres aussi très bons dans la presse et dans le monde Internet. Si je prends du temps, je réponds aux interviews.
LxA : 2-Je comprends que vous avez été professeur de Linux et au cours de votre carrière, vous avez travaillé avec des distributions Linux. Qu'est-ce que tu aimes et qu'est-ce que tu aimerais y changer?
AC: Oui c'est vrai. Je suis professeur de GNU / Linux depuis de nombreuses années et j'ai donné de nombreux cours RedHat - qui étaient les plus avancés à la fin des années 90 -. À propos de GNU / Linux J'aime le fait que vous puissiez construire beaucoup de choses avec ces systèmes, la modularité qui existe pour le faire à votre goût et la quantité d'outils qu'il y a. Les distributions avec Kali Linux, CentOS, Ubuntu ou Debian sont des exemples de la façon dont le même noyau peut être adapté à de nombreux environnements différents. Je n'aime pas la religion que certains professent avec le logiciel libre et le manque d'outils de gestion d'entreprise et d'environnements utilisateurs. Là, je préfère toujours les systèmes Microsoft Windows ou OS X.
LxA : 3-Comme il est courant, l'open source suscite sympathie et haine. Certains pensent qu'il est de mauvaise qualité ou qu'il est plus dangereux que celui fermé. Que diriez-vous à ceux qui pensent cela?
AC: Chacune de ces déclarations, en elle-même, est fausse. L'important n'est pas de savoir si le code est ouvert ou fermé, mais ce qu'on en fait. Il existe des projets de logiciels libres très élaborés et travaillés, et d’autres qui ne le sont pas. Penser qu'un projet parce qu'il est OpenSource va être audité par tout le monde n'est pas vrai. Vous devez faire bien plus que cela. De plus, quelle que soit la quantité de code source dont vous disposez, la découverte de bogues de sécurité peut n'apparaître que lorsque le code est compilé pour une certaine architecture et exécuté dans un certain environnement. C'est pourquoi les techniques de Fuzzing sont utilisées.
D'autre part, publier le code source et les mises à jour de sécurité dans les projets Open Source, ouvre une fenêtre d'opportunité pour les moteurs de recherche 0days lorsqu'il s'agit de générer des exploits avant qu'il n'y ait un patch qui le résout dans le binaire distribuable. Nous l'avons vu dans de nombreux cas. Mon opinion est que, qu'il soit OpenSource ou non, ce qui compte c'est la qualité du logiciel et si le logiciel a été réalisé dans nos entreprises pour notre sécurité, en plus de bien l'auditer, je préfère que le code source reste à la maison}: ).
LxA : 4-Vous possédez 0xMot. J'ai plusieurs titres sur votre sécurité et je recommande à tout le monde de se promener sur le Web. C'est une librairie quelque peu atypique, car vous donnez des opportunités aux nouveaux écrivains qui souhaitent publier leur livre sur la sécurité ou d'autres sujets. Le logiciel libre offre également de nombreuses opportunités et je pense qu'il est vital pour l'éducation. Ne pensez-vous pas que les entreprises qui développent des logiciels propriétaires devraient repenser l'ouverture de leur code?
AC: Beaucoup le font déjà, mais je ne pense pas que ce devrait être une majorité. D'énormes quantités de code source publié sont disponibles aujourd'hui, ce qui est une excellente aide à l'apprentissage. Je pense qu'une entreprise devrait ouvrir son code dans certaines circonstances, mais je ne pense pas que ce devrait être le seul moyen. Il se peut qu'une petite entreprise ouvre son code libre et qu'une grande entreprise en profite en l'améliorant et en l'exploitant sans que la petite entreprise puisse se faire concurrence. Je pense que pour un étudiant ou un professionnel, créer des programmes open source est une excellente lettre de motivation, et pour les entreprises, cela peut être un moyen de créer une communauté et de mieux positionner le produit, mais ce n'est pas le seul.
LxA : 5-Et à la collation de la question précédente. Notre blog est axé sur les logiciels libres et Linux, mais nous avons beaucoup écrit sur Microsoft ces derniers temps. Il a ouvert certains de ses projets, certaines déclarations sont apparues qui nous ont surpris, ils lancent .NET Core et Visual Studio Code pour Linux et la rumeur veut que Windows open source soit discuté en interne. Souhaitez-vous voir un Windows open source?
AC: Microsoft a déjà une grande partie de ses sources ouvertes et devrait en ouvrir davantage à l'avenir. Peut-être qu'ils le publieront en open source dans le futur, mais je ne pense pas qu'ils le feront bientôt - peut-être que je me trompe -. À ce jour, le système d'exploitation Windows continue de générer beaucoup de ventes par rapport à ses concurrents, et c'est en grande partie à cause de la façon dont ils font les choses dans le noyau et au niveau du système d'exploitation. C'est un avantage concurrentiel qu'ils veulent positionner pour lutter contre d'autres systèmes comme Android, iOS ou OS X qui ont d'autres avantages concurrentiels.
LxA : 6-C'est derrière Eleven Paths, une entreprise de sécurité numérique issue d'Informática 64 et Telefónica. Cette dernière société, avec laquelle vous êtes en relation, a opté pour le système d'exploitation Firefox OS pour les appareils mobiles. Que pensez-vous de Firefox OS et quels avantages voyez-vous sur iOS, Android, Tizen, ...?
AC: Non seulement j'ai une relation avec Telefónica, mais je travaille également chez Telefónica. La société est depuis longtemps attachée à la liberté de choix des utilisateurs et à la neutralité du net. Et si certaines entreprises parlent de neutralité du Net pour créer des services aux possibilités égales, elles rendent leurs systèmes moins interopérables de jour en jour. Transférer votre vie numérique d'iOS vers Android ou d'Android vers Windows Phone est une douleur. Ils ne sont pas du tout interopérables. L'engagement de Telefónica est de soutenir un écosystème plus large et moins fermé, c'est pourquoi il a opté pour Firefox OS et continue de le soutenir. L'avantage est que la fondation Mozilla crée un écosystème d'applications Web pouvant fonctionner sur n'importe quel système. C'est l'avantage que les "fous" Mozilla veulent valoriser.
LxA : 7-Parlons maintenant de l'OFAC. C'est un logiciel merveilleux, mais de notre point de vue, il a un bogue qui n'a pas été corrigé. Non disponible pour Linux! Nous pouvons l'exécuter à partir de Wine, avoir d'autres outils ou avec MetaShield Analyzer, mais cela nous manque toujours. Il existe de nombreux outils de pentesting, d'analyse médico-légale, etc., pour Linux. Il existe également de nombreuses distributions comme Kali, Parrot OS, Santoku, DEFT et un Largo, etc. Linux est sans aucun doute très important dans cette section. Pourquoi avez-vous décidé de ne pas porter l'OFAC?
AC: Nous n'avons jamais porté FOCA en raison du manque de ressources, maintenant nous pensons publier le code en .NET et que les gens décident s'ils veulent le compiler pour Linux avec la nouvelle annonce de Microsoft ou l'améliorer jour après jour. Vous devrez attendre un peu.
LxA : 8-NeXT a décidé de créer un système d'exploitation Unix, qui deviendrait plus tard le germe de Mac OS X lorsque Apple a racheté l'entreprise. Unix est certainement un excellent système et Microsoft a flirté avec Xenix. Mais finalement Windows NT (OS / 2) est apparu. Pensez-vous que si Windows était un * nix aujourd'hui, ce serait mieux?
AC: Non, loin de là. Microsoft n'a pas «flirté» avec UNIX, Microsoft a construit XENIX qui a été vendu à Santa Cruz Operations et SCO UNIX est devenu l'UNIX le plus déployé au monde. Le noyau Windows est une merveille et cela est démontré par les performances et l'expérience utilisateur des noyaux 6.x.
Quoi qu'il en soit, penser que le noyau Windows et le noyau UNIX diffèrent grandement ... est une erreur. Il y a une excellente conférence de Mark Russinovich intitulée "Une histoire de deux noyaux" où il regarde ce que les noyaux Windows NT et Linux ont, et il est surprenant de voir à quel point ils sont précis.
En fait, j'aime une phrase que Linux Torvalds a dite il y a des années lors d'une conférence lui demandant pourquoi les développeurs de noyau étaient une communauté qui changeait si peu de visage et incorporait peu de nouvelles personnes. Il a dit qu'en plus de ne pas être la communauté la plus amicale, le temps des solutions simples à des problèmes simples lors de la création de noyaux monolithiques est passé des années.
LxA : 9-Je vous entends toujours dire que vous devez utiliser un antivirus. Non seulement sous Windows, mais aussi sur d'autres plates-formes telles que Mac OS X. Beaucoup disent qu'un antivirus sous Linux ne sert qu'à ralentir l'ordinateur. Quels conseils donnez-vous aux Linux à ce sujet et quel antivirus recommandez-vous?
AC: Si le problème est de ralentir le système, supprimez le pare-feu, les protections de l'ensemble du système d'exploitation ... et lancez-vous! } :)
LxA : 10 - Et le dernier le plus difficile de tous. Était-ce la pire interview de votre vie? ; p
AC: Nooon, loin de là. Ils sont venus me demander tellement de bêtises ... J'ai dit une fois à un journaliste de radio: "S'il vous plaît ne me demandez pas ce qui est de la connerie." Il y a des moments où je leur écris les questions qu'ils doivent me poser pour que je puisse expliquer correctement les choses actuelles. Si je comptais….
C'est un plaisir d'avoir des gens comme Chema Alonso pour notre série d'interviews et qui, en plus, dans ce cas nous apporte de bonnes nouvelles pour l'avenir et c'est peut-être avons-nous FOCA pour GNU / Linux ...
Grand travail , Linux Adictos :3 salutations.
Eh bien, beaucoup de gens pensent le contraire de ce mercenaire de Telefónica et fidèle adepte des noyaux NT, et c'est qu'une open source permet l'innovation et l'évolution d'un logiciel, et peu importe combien il est audité, il est moins enclin à 0 jours.
Qu'est-ce qui rend l'open source moins sujet aux jours 0, aussi mal audité soit-il? Et de la même manière ... qu'est-ce qui le rend innovant et permet son évolution s'il est mal audité ou suscite peu d'intérêt dans la communauté? raison de votre commentaire.
J'imagine que cela le dit à cause d'un 100% qui utilise du code ouvert, même pas 10% doivent analyser le code peut-être à la maison si vous l'analysez, mais vous n'entrez que 10%.
Mercenaire de Microsoft, si un cas.
Que Telefónica est attaché à la neutralité du Net? Qu'il le dise à son patron, César Alierta, pour voir comment il rit (alcoolique, bien sûr). On ne peut s'attendre à trop de critiques de la part de M. Alonso de ses employeurs; cependant, il n'est pas difficile de le trouver à la limite du ridicule pour les défendre. Avec celle de la meilleure sécurité des systèmes fermés, je suppose qu'il se référera à celles d'entreprises ou d'entités dignes de confiance, et non à son bien-aimé Microsoft (ou Apple, Google ou tant d'autres) pour dont les pratiques contre leurs clients ont été si nombreuses démasqué (de bien avant PRISM jusqu'à maintenant, avec les informations que Windows 10 envoie, si le client l'accepte ou s'il marque tout ce qu'il n'a pas)
Vous confondez la confidentialité avec les failles de sécurité (les pannes surviennent) et dans les échecs C'EST CELUI AVEC LE MOINS
C'est aussi un type de faille de sécurité, qu'elle soit intentionnelle, externe, etc. mais c'est le cas.
Chema est le putain de maître!
Allez fanwin ce hack, non? XD
Toutes nos félicitations! très bonne interview.
Allez, le commentaire de l'utilisateur est un peu vieux, de nos jours ne pas auditer le code a conduit à de nombreuses vulnérabilités en 2014. Des vulnérabilités qui avaient plus de 20 ans et personne n'a rien dit, beaucoup de vulnérabilités Zero Day qui n'ont pas été découvertes par les chercheurs éthiques, elles le sont déjà entre les mains d'entreprises et de criminels qui les vendent aux autorités de chaque pays, là prend fin le mythe de l'open source
J'étais à une conférence où il a présenté son programme FOCA, et il a dit qu'il lui avait donné ce nom parce que les phoques mangent des pingouins xD
Je pense que l'antivirus est une très mauvaise réponse, en particulier pour une personne considérée comme l'une des meilleures en matière de sécurité. Mettre la consommation de pare-feu au niveau d'un antivirus est ridicule, en plus de ne pas avoir répondu à la question de manière cohérente, comme:
Pour une personne ordinaire, l'utilisation d'un antivirus sous Linux peut être lourde, et peu efficace, cependant pour une entreprise c'est une exigence de sécurité essentielle.
le sceau ne l'a pas fait. puisque le programme le connaissait avant qu'il ne l'utilise. il était déjà utilisé pour comprendre les choses dans les métadonnées.