Entretien avec Francisco Sanz: PDG de The Security Sentinel

La sentinelle de la sécurité

The Security Sentinel (TSS) est une société espagnole dédiée à la sécurité informatique, si oublié de beaucoup et si important. TSS se consacre à la réalisation d'audits de sécurité auprès des entreprises, basés sur des tests de piratage éthique ou de pentesting, en plus de dispenser des formations à la sécurité.

Les logiciels malveillants et les vulnérabilités sont un sujet brûlant sur notre blog et en particulier avec les dernières nouvelles sur VENOM, Heartbleed et d'autres problèmes de sécurité affectant GNU Linux. C'est pourquoi nous avons décidé d'interviewer Francisco Sanz, le PDG de TSS ce qui nous donnera quelques indices sur ce sujet intéressant.

 

Francisco (FS désormais) est l'un des professionnels TSS. Il a étudié l'ingénierie informatique à l'Université autonome de Madrid pour obtenir plus tard un diplôme en gestion d'entreprise et marketing à l'ESIC, suivre les cours de programmation Cisco CNNA, PHP et MySQL, le piratage éthique et passer le certificat CEH de EC-Council avec une classification de 91%. / 100%.

LinuxAdictos: GNU Linux est très important dans le domaine de la sécurité. Dans notre blog, nous avons parlé de distributions telles que Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop ou d'autres orientées vers la navigation sécurisée et la confidentialité, telles que Tails et Whonix. Dans votre routine quotidienne, lesquels utilisez-vous?

Francisco Sanz : En fonction du travail à faire ... par exemple, dans le pentesting, j'utilise ma propre distribution (TPS) avec les outils de pentesting que nous utilisons, mais basés sur ils devraient 7.

LA: Beaucoup attaquent les logiciels libres ou open source en disant qu'ils sont de mauvaise qualité ou moins sécurisés. Que diriez-vous à ces gens? Pensez-vous qu'il est plus facile d'attaquer une machine GNU Linux ou FreeBSD parce qu'elle est open source qu'une machine avec Windows parce que c'est du code propriétaire, ou est-ce le contraire?

FS: La question à un million de dollars. Ou la question habituelle. Pour moi, ce n'est pas le système, mais la personne qui installe le système.
Même ainsi, si je dois me décider, je dirais toujours LINUX. Parce que? Il y a de nombreuses raisons, mais pour ne pas étendre, je vous dirais que sa configuration par défaut est plus sécurisée que Windows '; vous pouvez également le rendre plus sûr en ayant plusieurs options; étant un logiciel libre, vous pouvez développer, modifier ou étendre les services de sécurité.
D'un autre côté, il n'y a pas d'exécutables pour vous infecter si facilement avec des chevaux de Troie.
Même ainsi, il semble que maintenant Windows soit le plus sûr, selon certaines publications ... ou peut-être celui qui a le plus d'argent ... je ne sais pas si je m'explique ». Dans cette comparaison, ils nomment 119 vulnérabilités du noyau Linux ... non spécifiées ... cependant, 248 apparaissent parmi les systèmes Windows ... mais en spécifiant un montant inférieur pour chaque système d'exploitation Windows ... c'est-à-dire ... un petit ensemble de chiffres. Beaucoup de marketing;)

LA: The Security Sentinel est partenaire du projet Rapid7 Metasploit, un projet open source, comme beaucoup d'autres utilisés pour le pentesting ou l'analyse médico-légale. C'est un bon exemple qui montre clairement ce que nous avons mentionné dans la question précédente. Vous ne pensez pas?

FS: Eh bien, Metasploit (Rapid7), a passé de nombreuses années à investir du temps dans le développement d'exploits pour endommager les systèmes de toutes sortes.
Je pense que la possibilité que vous puissiez développer, modifier ou étendre les objectifs d'un exploit et pouvoir l'utiliser avec un cadre comme celui-ci, sans avoir à payer ni attendre de nouveaux exploits, étant open source, rend votre travail beaucoup plus facile.
Bien qu'il existe une version payante, avec la version gratuite et avec des connaissances en programmation en ruby, Python, perl ... vous avez un collègue très, très utile.
Je dois également dire que de nombreux utilisateurs de Metasploit n'utilisent que 10 ou 20% de leurs possibilités. Dans le prochain cours de piratage éthique que nous développons (CHEE), nous avons tout un sujet pour Metasploit, où nous allons apprendre à utiliser l'outil au maximum.

LA: Python est un langage de programmation sous une autre licence libre (PSFL) et que vous avez très présent dans le secteur de la sécurité. Parce que? Qu'est-ce que les autres ont de spécial?

FS: Python a un très gros avantage et ce sont ses bibliothèques. L'utilisation de ceux-ci et la facilité d'apprentissage de la langue vous aident beaucoup à être en mesure de réaliser de petits outils très utiles lors de la réalisation d'un audit de sécurité basé sur le pentesting.
Vous pouvez également connecter de petits programmes Python avec d'autres tels que nmap, nessus etc ... et cela vous aide encore plus à accélérer le travail d'un pentester.
Nous suivons un cours le 1er juin pour nos étudiants, Python pour les pentesters, car nous pensons qu'il est essentiel pour un pentester d'utiliser ce langage.

LA: Dernièrement, certaines vulnérabilités critiques ont été détectées dans des projets open source et d'autres logiciels malveillants qui attaquent les systèmes GNU Linux. Les entreprises qui vendent des logiciels fermés, comme Apple et Microsoft, ont des auditeurs de sécurité qui attaquent leurs propres systèmes pour améliorer la sécurité. Pensez-vous que la communauté de développement de projets open source devrait envisager de promouvoir cette pratique?

FS: Eh bien, vous pensez qu'il n'y a pas d'auditeurs pour Apache, Debian, Fedora, Ubuntu ... une autre chose est qu'ils facturent ce que ceux des autres firmes facturent, mais il y en a, ils existent, car je comprends que les grandes distributions font travailler des gens sur ce. Ce serait illogique de ne pas les avoir. Je crois aussi que tout cela est un pari pour l’avenir. Le problème est, Apple ou Windows finiront-ils par être les distributions open source les plus puissantes?

LA: Passons aux clients de The Security Sentinel. Cet été, je discutais avec un ingénieur Oracle et il m'a dit que de plus en plus de serveurs et de supercalculateurs sont vendus avec Linux au détriment de leur propre système, Solaris, et qu'ils utilisent même une distribution appelée Oracle Linux pour leur travail au quotidien. Trouvez-vous de plus en plus d'entreprises qui utilisent Linux ou qui dépendent encore beaucoup de Windows?

FS: Dans cet aspect, vous trouvez tout.
Mes clients utilisent maintenant plus de Linux pour les serveurs que Windows, mais les ordinateurs des utilisateurs sont toujours à 90% Windows et un pourcentage très élevé utilise toujours XP !!!

LA: Certains gouvernements ou entreprises migrent vers des distributions Linux en raison des possibilités et des avantages que cela apporte. Certains attirés par la sécurité. Encouragez-vous les entreprises et les organisations à faire ce changement? TSS conseille-t-il des projets gratuits pour l'une des solutions de sécurité que vous implémentez?

FS: Nous conseillons en fonction des besoins de chaque client. J'aimerais que les gens s'impliquent davantage dans Linux, mais parfois un nom de marque pèse beaucoup.
Néanmoins, nous conseillons chaque fois que nous le pouvons les serveurs Linux pour leur robustesse, leur flexibilité et leur sécurité.

LA: De nombreux utilisateurs ou entreprises ne font pas attention à la sécurité. Dans quelle mesure s'agit-il d'une mauvaise pratique et quels conseils leur donneriez-vous? Parlez-nous d'un cas grave qui peut être exposé et que vous avez observé au cours de votre expérience pour sensibiliser le public.

FS: Beaucoup? Presque personne. La première chose que je leur conseillerais serait de donner un petit cours de sensibilisation sur les règles de base en matière de sécurité informatique.
Même dans l'agence fiscale, j'ai trouvé des utilisateurs avec le post-it avec leur mot de passe sur le moniteur!
Mais c'était incroyable de voir in situ, dans une petite présentation de notre société, chez un éventuel client, qui est aussi une société qui joue avec les titres en bourse (courtiers), écouter le directeur des opérations de son bureau, crier à l'informaticien "QU'EST-CE QUE MON B ... UN MOT DE PASSE ?? !!"
Même après avoir vu cela, le client potentiel ne nous a pas embauchés ... Dieu les a surpris!

LA: Maintenant, vous donnez également des cours sur le piratage et la sécurité. Vous avez passé vous-même l'examen EC-Council CEH (Council Ethical Hacking) et avec un assez bon score. Il y a un dicton selon lequel "la meilleure défense est une bonne attaque", je le dis en référence à la question précédente. Encouragez-vous les utilisateurs à suivre ce type de cours?

FS: Je les encourage à ne pas se concentrer sur la «titulite» mais plutôt à suivre des cours pour apprendre. Nous concentrons nos cours sur la pratique, car je n'aimais pas ce cours que vous nommez, puisque je l'ai étudié seul, et aussi sans pratique. C'est juste un titre. Cependant, nos étudiants sont «écrasés» en faisant des pratiques. Mais ils vous disent ...
Un athlète doit s'entraîner tous les jours. Nous aussi.

LA: Beaucoup pensent qu'un hacker est une mauvaise personne. Même le RAE le définit comme un pirate informatique qui utilise ses connaissances pour faire de mauvaises choses. C'est triste d'entendre cela, car il a même forcé des termes tels que «piratage éthique» à être vus pour que les gens ne pensent pas à un cybercriminel. Eric Reymond, défend le terme «hacker» avec la définition originale et préconise l'utilisation de «cracker» pour désigner les «méchants». Mais face à la machine de propagande d'Hollywood, qui a également créé une mauvaise réputation avec une multitude de films et séries sur les hackers, que peut-on faire ... Que pensez-vous en tant qu'expert en sécurité?

FS: Je considère le mot hacker comme un informaticien qui enquête parfois de manière obsessionnelle jusqu'à ce qu'il trouve sa réponse. Mais de là au crime ...
Bien sûr, il y a des hackers qui sont des criminels, car il peut y avoir des pompiers qui sont aussi des criminels. Mais de même qu'elle n'est pas généralisée dans le second cas, pourquoi le faire dans le premier?
En bref, je pense que le RAE fait preuve d'une grande ignorance lorsqu'il s'agit d'appeler le mot hacker comme un hacker. Le truc hollywoodien vaut mieux ne pas le mentionner ...

J'espère que tu as aimé ça première interview de la série que nous avons soulevée à des personnalités importantes de la scène nationale et internationale ...


2 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Hector dit

    Una entrevista bastante interesante, sigan así linuxadictos.com

  2.   Ismael dit

    Je veux entrer dans cette organisation s'il vous plaît si vous voulez me recevoir mon numéro est 7351979719 J'habite à morelos je sais ce que c'est et je veux vraiment entrer