सिक्योरिटी सेंटिनल (टीएसएस) एक स्पेनिश कंपनी है जो कंप्यूटर सुरक्षा के लिए समर्पित है। बहुतों द्वारा भुला दिया गया और इतना महत्वपूर्ण। टीएसएस सुरक्षा प्रशिक्षण पाठ्यक्रम प्रदान करने के अलावा, एथिकल हैकिंग या पेंटेस्टिंग परीक्षणों के आधार पर कंपनियों को सुरक्षा ऑडिट करने के लिए समर्पित है।
मैलवेयर और कमजोरियाँ हमारे ब्लॉग पर एक गर्म विषय हैं और विशेष रूप से वेनम, हार्टब्लीड और जीएनयू लिनक्स को प्रभावित करने वाले अन्य सुरक्षा मुद्दों के बारे में नवीनतम समाचारों के साथ। इसलिए हमने इंटरव्यू का फैसला किया.' फ्रांसिस्को सैन्ज़, टीएसएस के सीईओ इससे हमें इस दिलचस्प विषय पर कुछ सुराग मिलेंगे।
फ्रांसिस्को (अब से एफएस) टीएसएस पेशेवरों में से एक है. उन्होंने मैड्रिड के स्वायत्त विश्वविद्यालय में कंप्यूटर इंजीनियरिंग का अध्ययन किया और बाद में ईएसआईसी में व्यवसाय प्रबंधन और विपणन में स्नातक की उपाधि प्राप्त की, सिस्को सीएनएनए, पीएचपी और माईएसक्यूएल प्रोग्रामिंग पाठ्यक्रम, एथिकल हैकिंग लिया और 91% वर्गीकरण के साथ ईसी-काउंसिल सीईएच प्रमाणपत्र पास करने में कामयाब रहे। 100%.
LinuxAdictos: GNU Linux सुरक्षा के क्षेत्र में बहुत महत्वपूर्ण है। हमारे ब्लॉग में हमने सैंटोकू, काली, बगट्रैक, ज़ियाओपैन, पैरट ओएस, वाईफाईस्लैक्स, डीईएफटी, बैकबॉक्स, आईपीसीओपी, या टेल्स और व्होनिक्स जैसे सुरक्षित ब्राउज़िंग और गोपनीयता की ओर उन्मुख अन्य वितरणों के बारे में बात की है। अपनी दैनिक दिनचर्या में आप किनका उपयोग करते हैं?
फ़्रांसिस्को सान्ज़: किए जाने वाले कार्य के आधार पर... उदाहरण के लिए, पेंटेस्टिंग में मैं अपने स्वयं के वितरण (टीपीएस) का उपयोग पेंटटेस्टिंग टूल के साथ करता हूं जिनका हम उपयोग करते हैं, लेकिन डेबियन 7 पर आधारित है।
ला: कई लोग मुफ़्त या मुक्त स्रोत सॉफ़्टवेयर को ख़राब गुणवत्ता वाला या अधिक असुरक्षित कहकर हमला करते हैं। आप इन लोगों को क्या कहेंगे? क्या आपको लगता है कि जीएनयू लिनक्स या फ्रीबीएसडी मशीन पर हमला करना आसान है क्योंकि यह विंडोज़ के मुकाबले खुला स्रोत है क्योंकि यह मालिकाना कोड है या यह दूसरा तरीका है?
एफएस: मिलियन डॉलर का सवाल. या सामान्य प्रश्न. मेरे लिए यह सिस्टम नहीं है, बल्कि वह व्यक्ति है जो सिस्टम को कॉन्फ़िगर करता है।
फिर भी, अगर मुझे निर्णय लेना हो तो मैं हमेशा लिनक्स ही कहूंगा। क्योंकि? इसके कई कारण हैं, लेकिन ज्यादा दूर न जाने के लिए मैं आपको बताऊंगा कि इसका डिफ़ॉल्ट कॉन्फ़िगरेशन विंडोज़ की तुलना में अधिक सुरक्षित है; आप कई विकल्प अपनाकर इसे और अधिक सुरक्षित भी बना सकते हैं; मुफ़्त सॉफ़्टवेयर होने के कारण, आप सुरक्षा सेवाओं को विकसित, संशोधित या विस्तारित कर सकते हैं।
दूसरी ओर, कोई निष्पादनयोग्य नहीं है जिससे आप इतनी आसानी से ट्रोजन से संक्रमित हो सकें।
फिर भी, ऐसा लगता है कि कुछ प्रकाशनों के अनुसार, विंडोज अब सबसे सुरक्षित है... या शायद, सबसे अधिक पैसे वाला... मुझे नहीं पता कि मैं खुद को समझता हूं या नहीं। उस तुलना में, उन्होंने 119 लिनक्स कर्नेल कमजोरियों का नाम दिया है... निर्दिष्ट किए बिना... हालांकि, 248 विंडोज सिस्टम के बीच दिखाई देते हैं... लेकिन प्रत्येक विंडोज ओएस के लिए कम संख्या निर्दिष्ट करते हैं... यानी... संख्याओं का एक छोटा सेट . बहुत सारी मार्केटिंग ;)
ला: सुरक्षा प्रहरी रैपिड7 मेटास्प्लोइट परियोजना का एक भागीदार है, जो एक खुला स्रोत परियोजना है, कई अन्य परियोजनाओं की तरह, जिनका उपयोग परीक्षण या फोरेंसिक विश्लेषण के लिए किया जाता है। यह एक अच्छा उदाहरण है जो पिछले प्रश्न में हमने जो उल्लेख किया था उसे स्पष्ट करता है। क्या आपको नहीं लगता?
एफएस: खैर, मेटास्प्लोइट (रैपिड7) ने सभी प्रकार की प्रणालियों का उल्लंघन करने वाले कारनामों के विकास में कई वर्षों का समय बिताया है।
मुझे लगता है कि यह संभावना कि आप किसी शोषण के उद्देश्यों को विकसित, संशोधित या विस्तारित कर सकते हैं और इसे इस तरह के ढांचे के साथ उपयोग करने में सक्षम हैं, बिना भुगतान किए या नए शोषण के लिए इंतजार किए बिना, खुला स्रोत होने के कारण, आपका काम बहुत आसान हो जाता है।
हालाँकि इसका एक सशुल्क संस्करण भी है, मुफ़्त संस्करण के साथ और रूबी, पायथन, पर्ल में प्रोग्रामिंग ज्ञान के साथ... आपके पास एक बहुत, बहुत उपयोगी सहकर्मी है।
मुझे यह भी टिप्पणी करनी है कि कई मेटास्प्लोइट उपयोगकर्ता अपनी संभावनाओं का केवल 10 या 20% ही उपयोग करते हैं। अगले एथिकल हैकिंग कोर्स में जिसे हम विकसित कर रहे हैं (सीएचईई), हमारे पास मेटास्प्लोइट के लिए एक पूरा विषय है, जहां हम सिखाएंगे कि टूल का पूरी तरह से उपयोग कैसे करें।
ला: पायथन एक अन्य निःशुल्क लाइसेंस (पीएसएफएल) के तहत एक प्रोग्रामिंग भाषा है और सुरक्षा क्षेत्र में आपके मन में बहुत कुछ है। क्योंकि? दूसरों में क्या खास है?
एफएस: पाइथॉन का एक बहुत बड़ा फायदा है और वह है इसकी लाइब्रेरीज़। इनके उपयोग और भाषा सीखने में आसानी से आपको छोटे-छोटे उपकरण बनाने में बहुत मदद मिलती है जो पेनटेस्टिंग पर आधारित सुरक्षा ऑडिट करते समय बहुत उपयोगी होते हैं।
आप छोटे पायथन प्रोग्रामों को एनएमएपी, नेसस इत्यादि जैसे अन्य कार्यक्रमों से भी जोड़ सकते हैं और इससे आपको एक पेंटेस्टर के काम को तेज करने में और भी मदद मिलती है।
हम अपने छात्रों के लिए 1 जून को एक कोर्स लेते हैं, पेंटटेस्टर के लिए पायथन, क्योंकि हमारा मानना है कि पेंटटेस्टर के लिए इस भाषा का उपयोग करना आवश्यक है।
ला: हाल ही में, ओपन सोर्स प्रोजेक्ट्स में कुछ महत्वपूर्ण कमजोरियाँ और जीएनयू लिनक्स सिस्टम पर हमला करने वाले कुछ अन्य मैलवेयर का पता चला है। Apple और Microsoft जैसी बंद सॉफ़्टवेयर बेचने वाली कंपनियों के पास सुरक्षा ऑडिटर होते हैं जो सुरक्षा में सुधार के लिए अपने स्वयं के सिस्टम पर हमला करते हैं। क्या आपको लगता है कि ओपन सोर्स प्रोजेक्ट डेवलपमेंट समुदाय को इस प्रथा को बढ़ावा देने पर विचार करना चाहिए?
एफएस: ठीक है, आप सोचते हैं कि अपाचे, डेबियन, फेडोरा, उबंटू के लिए कोई ऑडिटर नहीं हैं... दूसरी बात यह है कि वे उतना शुल्क लेते हैं जितना अन्य कंपनियां लेती हैं, लेकिन उनका अस्तित्व है, उनका अस्तित्व है, क्योंकि मैं समझता हूं कि बड़े वितरण में लोग होते हैं इस पर काम कर रहे हैं. उनका न होना अतार्किक होगा। मेरा यह भी मानना है कि यह सब भविष्य के लिए दांव है. समस्या यह है कि क्या सबसे शक्तिशाली ओपन सोर्स वितरण अंततः नया Apple या Windows होगा?
ला: आइए सुरक्षा प्रहरी के ग्राहकों की ओर बढ़ते हैं। इस गर्मी में मैं एक ओरेकल इंजीनियर के साथ बातचीत कर रहा था और उसने मुझे बताया कि लिनक्स के साथ अधिक से अधिक सर्वर और सुपर कंप्यूटर उनके अपने सिस्टम, सोलारिस को नुकसान पहुंचाकर बेचे जा रहे हैं, और वे अपने काम के लिए ओरेकल लिनक्स नामक वितरण का भी उपयोग करते हैं। दैनिक आधार पर। क्या आपको अधिक से अधिक कंपनियाँ लिनक्स का उपयोग करते हुए मिलती हैं या क्या वे अभी भी विंडोज़ पर बहुत अधिक निर्भर हैं?
एफएस: इस पहलू में आपको सब कुछ मिल जाता है।
मेरे ग्राहक अब विंडोज़ की तुलना में सर्वरों के लिए अधिक लिनक्स का उपयोग करते हैं, लेकिन उपयोगकर्ता कंप्यूटर अभी भी 90% विंडोज़ हैं और बहुत अधिक प्रतिशत अभी भी XP का उपयोग करते हैं!!!
ला: कुछ सरकारें या कंपनियां लिनक्स वितरण की ओर स्थानांतरित हो रही हैं क्योंकि इससे मिलने वाली संभावनाएं और फायदे हैं। कुछ लोग सुरक्षा से आकर्षित हुए। क्या आप कंपनियों और संगठनों को यह बदलाव करने के लिए प्रोत्साहित करेंगे? क्या टीएसएस आपके द्वारा कार्यान्वित किसी भी सुरक्षा समाधान के लिए निःशुल्क परियोजनाओं की सलाह देता है?
एफएस: हम प्रत्येक ग्राहक की ज़रूरतों के आधार पर सलाह देते हैं। मैं चाहूंगा कि लोग लिनक्स के साथ और अधिक जुड़ें, लेकिन कभी-कभी किसी ब्रांड का नाम बहुत महत्वपूर्ण हो जाता है।
फिर भी, जब भी हम कर सकते हैं, हम उनकी मजबूती, लचीलेपन और सुरक्षा के लिए लिनक्स सर्वर की अनुशंसा करते हैं।
ला: कई यूजर्स या कंपनियां सुरक्षा पर ध्यान नहीं देते हैं। यह किस हद तक ख़राब प्रथा है और आप उन्हें क्या सलाह देंगे? हमें किसी ऐसे गंभीर मामले के बारे में बताएं जिसे उजागर किया जा सकता है और जिसे आपने सार्वजनिक जागरूकता बढ़ाने के अपने अनुभव के दौरान देखा हो।
एफएस: अनेक? लगभग कोई नहीं. पहली बात जो मैं उन्हें सलाह दूंगा वह बुनियादी कंप्यूटर सुरक्षा नियमों पर एक छोटा सा जागरूकता पाठ्यक्रम लेना होगा।
यहां तक कि टैक्स एजेंसी में भी मुझे मॉनिटर पर अपने पासवर्ड के साथ पोस्ट-इट वाले उपयोगकर्ता मिले हैं!
लेकिन एक संभावित ग्राहक के सामने हमारी कंपनी की एक छोटी सी प्रस्तुति में यह देखना अविश्वसनीय था, जो एक ऐसी कंपनी है जो शेयर बाजार (दलालों) पर प्रतिभूतियों के साथ खेलती है, अपने कार्यालय से परिचालन निदेशक को सुनें, चिल्लाएं कंप्यूटर वैज्ञानिक "मेरा पी... पासवर्ड क्या है??!!"
यह देखने के बाद भी, संभावना ने हमें नौकरी पर नहीं रखा... भगवान उन्हें कबूल करते हुए पकड़ लें!
ला: अब आप हैकिंग और सिक्योरिटी पर भी कोर्स पढ़ाते हैं. आपने खुद EC-काउंसिल से CEH (काउंसिल एथिकल हैकिंग) परीक्षा दी और काफी अच्छे स्कोर के साथ। एक कहावत है कि "सबसे अच्छा बचाव एक अच्छा हमला है", मैं इसे पिछले प्रश्न के संदर्भ में कह रहा हूं। क्या आप उपयोगकर्ताओं को इस प्रकार का पाठ्यक्रम लेने के लिए प्रोत्साहित करेंगे?
एफएस: मैं उन्हें "टाइटलाइटिस" पर ध्यान केंद्रित न करने और सीखने के लिए पाठ्यक्रम लेने के लिए प्रोत्साहित करूंगा। हमारे पाठ्यक्रम अभ्यास पर केंद्रित हैं, क्योंकि मुझे यह पाठ्यक्रम पसंद नहीं आया जिसका आप नाम बता रहे हैं, क्योंकि मैंने इसका अध्ययन निःशुल्क किया है, और अभ्यास के बिना भी। यह सिर्फ एक शीर्षक है. हालाँकि, हमारे छात्र अभ्यास करने को "कुचल" देते हैं। यदि वे आपको नहीं बताते...
एक एथलीट को प्रतिदिन प्रशिक्षण लेना चाहिए। हम भी।
ला: बहुत से लोग मानते हैं कि एक हैकर एक बुरा व्यक्ति होता है। यहां तक कि आरएई भी उसे एक हैकर के रूप में परिभाषित करता है जो अपने ज्ञान का उपयोग बुरे काम करने के लिए करता है। यह सुनकर दुख होता है, क्योंकि इसने "एथिकल हैकिंग" जैसे शब्दों को भी देखने के लिए मजबूर कर दिया है ताकि लोग साइबर अपराधी के बारे में न सोचें। एरिक रेमंड ने मूल परिभाषा के साथ "हैकर" शब्द का बचाव किया और "बुरे लोगों" को संदर्भित करने के लिए "क्रैकर" का उपयोग करने की वकालत की। लेकिन हॉलीवुड की प्रचार मशीन के सामने, जो हैकरों के बारे में कई फिल्मों और श्रृंखलाओं के साथ खराब प्रतिष्ठा बनाने के लिए भी जिम्मेदार है, क्या किया जा सकता है... एक सुरक्षा विशेषज्ञ के रूप में आप क्या सोचते हैं?
एफएस: मैं हैकर शब्द को एक कंप्यूटर विशेषज्ञ के रूप में मानता हूं जो कभी-कभी जुनूनी रूप से जांच करता है जब तक कि उसे अपना उत्तर नहीं मिल जाता। लेकिन वहां से अपराध तक...
निःसंदेह ऐसे हैकर भी होते हैं जो अपराधी होते हैं, ठीक वैसे ही जैसे अग्निशामक भी हो सकते हैं जो अपराधी होते हैं। लेकिन जैसे दूसरे मामले में इसे सामान्यीकृत नहीं किया गया है, तो पहले मामले में ऐसा क्यों किया जाए?
संक्षेप में, मुझे लगता है कि जब हैकर शब्द को कंप्यूटर हैकर कहने की बात आती है तो आरएई संस्कृति की भारी कमी दिखाता है। हॉलीवुड की बात का जिक्र न करना ही बेहतर है...
मुझे आशा है कि आपको यह पसंद आया होगा सीरीज का पहला इंटरव्यू जो हमने उठाया है राष्ट्रीय और अंतर्राष्ट्रीय परिदृश्य की महत्वपूर्ण हस्तियों के लिए...
काफी दिलचस्प साक्षात्कार, अच्छा काम करते रहें। linuxadictos.com
मैं इस संगठन में शामिल होना चाहता हूं, कृपया यदि आप मुझे प्राप्त करना चाहते हैं तो मेरा नंबर है 7351979719 मैं मोरेलोस में रहता हूं, मुझे पता है कि यह क्या है और मैं वास्तव में इसमें शामिल होना चाहता हूं