Intervju s Franciscom Sanzom: izvršnim direktorom The Security Sentinela

Isaac

9 minuta

Sigurnosni stražar

Security Sentinel (TSS) je španjolska tvrtka posvećena računalnoj sigurnosti, tako zaboravljen od mnogih i tako važan. TSS posvećen je provođenju sigurnosnih revizija za tvrtke, na temelju etičkih testova hakiranja ili testiranja, uz održavanje tečajeva o sigurnosti.

Zlonamjerni softver i ranjivosti vruća su tema na našem blogu, posebno s najnovijim vijestima o VENOM-u, Heartbleed-u i drugim sigurnosnim problemima koji utječu na GNU Linux. Zbog toga smo odlučili intervjuirati Francisco Sanz, izvršni direktor TSS-a što će nam dati neke tragove o ovoj zanimljivoj temi.

 

Francisco (FS od sada) jedan je od TSS profesionalaca. Studirao je računalni inženjering na Autonomnom sveučilištu u Madridu da bi kasnije stekao diplomu poslovnog upravljanja i marketinga na ESIC-u, pohađao tečajeve programiranja Cisco CNNA, PHP i MySQL, etičko hakiranje i položio CEH certifikat od EC-Vijeća s klasifikacijom 91% / 100%.

LinuxAdictos: GNU Linux je vrlo važan u području sigurnosti. Na našem blogu govorili smo o distribucijama kao što su Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop ili drugima orijentiranim na sigurno pregledavanje i privatnost, poput Tails i Whonix. Koje u svojoj svakodnevnoj rutini koristite?

Francis Sanchez: Ovisno o poslu koji treba obaviti ... na primjer, u pentestiranju koristim vlastitu distribuciju (TPS) s alatima za pentestiranje koje koristimo, ali na temelju kojih bi trebali 7.

DO: Mnogi napadaju besplatni softver ili softver otvorenog koda rekavši da je nekvalitetan ili nesigurniji. Što biste poručili tim ljudima? Mislite li da je lakše napasti GNU Linux ili FreeBSD stroj jer je on otvorenog koda nego onaj sa Windowsom jer je to zaštićeni kôd ili je suprotno?

FS: Pitanje za milijun dolara. Ili uobičajeno pitanje. Za mene to nije sustav, već osoba koja ga postavlja.
Bez obzira na to, ako moram odlučiti, uvijek bih rekao LINUX. Zašto? Mnogo je razloga, ali zbog neširenja rekao bih vam da je njegova zadana konfiguracija sigurnija od Windowsa '; možete ga i učiniti sigurnijim ako imate više mogućnosti; budući da ste besplatan softver, možete razvijati, mijenjati ili proširivati ​​sigurnosne usluge.
S druge strane, nema izvršnih datoteka koje bi vas tako lako zarazile trojanskim virusima.
Unatoč tome, čini se da je sada Windows najsigurniji, prema nekim publikacijama ... ili možda onaj s najviše novca ... Ne znam da li se objašnjavam. U ovoj usporedbi imenuju 119 ranjivosti jezgre Linuxa ... neodređeno ... međutim, među sustavima Windows pojavljuje se 248 ... ali specificirajući niži iznos za svaki Windows OS ... to jest ... mali skup brojeva. Puno marketinga;)

DO: Security Sentinel partner je projekta Rapid7 Metasploit, projekta otvorenog koda, kao i mnogi drugi koji se koriste za pentest ili forenzičku analizu. Dobar je primjer koji jasno pokazuje ono što smo spomenuli u prethodnom pitanju. Zar ne misliš

FS: Pa, Metasploit (Rapid7) je proveo mnogo godina ulažući vrijeme u razvoj eksploatacija kako bi oštetio sustave svih vrsta.
Mislim da mogućnost da možete razviti, izmijeniti ili proširiti ciljeve eksploatacije i moći ga koristiti s takvim okvirom, a da ne morate plaćati ili čekati nove eksploatacije, budući da ste otvoreni izvor, znatno olakšava vaš rad.
Iako postoji plaćena verzija, s besplatnom i sa znanjem programiranja na rubyu, Pythonu, perlu ... imate vrlo, vrlo korisnog suradnika.
Također moram komentirati da mnogi korisnici Metasploita koriste samo 10 ili 20% svojih mogućnosti. Na sljedećem tečaju etičkog hakiranja koji razvijamo (CHEE) imamo cijelu temu za Metasploit, gdje ćemo naučiti kako koristiti alat u potpunosti.

DO: Python je programski jezik pod drugom besplatnom licencom (PSFL) i koji ste vrlo prisutni u sigurnosnom sektoru. Zašto? Što je posebno kod drugih?

FS: Python ima vrlo veliku prednost i to su njegove knjižnice. Njihova upotreba i lakoća učenja jezika uvelike vam pomažu u izvođenju malih alata koji su vrlo korisni pri obavljanju sigurnosne revizije temeljene na pentestingu.
Također možete povezati male Python programe s drugima kao što su nmap, nessus itd. ... i to vam još više pomaže da ubrzate rad pentestera.
Pohađamo tečaj 1. lipnja za naše studente, Python za pentestere, jer vjerujemo da je za pentestera bitno koristiti ovaj jezik.

DO: U posljednje vrijeme otkrivene su neke kritične ranjivosti u projektima otvorenog koda i nekom drugom zlonamjernom softveru koji napada GNU Linux sustave. Tvrtke koje prodaju zatvoreni softver, poput Applea i Microsofta, imaju sigurnosne revizore koji napadaju vlastite sustave kako bi poboljšali sigurnost. Mislite li da bi zajednica za razvoj projekata s otvorenim kodom trebala razmisliti o promicanju ove prakse?

FS: Pa, mislite da nema revizora za Apache, Debian, Fedoru, Ubuntu ... druga stvar je da oni naplaćuju ono što naplaćuju druge tvrtke, ali postoje, postoje, jer razumijem da velike distribucije imaju ljude koji rade na ovome . Bilo bi nelogično da ih nema. Također vjerujem da je sve ovo oklada za budućnost. Problem je u tome hoće li Apple ili Windows na kraju biti najmoćnija distribucija otvorenog koda?

DO: Prijeđimo na kupce The Security Sentinela. Ovog ljeta razgovarao sam s Oracle inženjerom i rekao mi je da se sve više poslužitelja i superračunala prodaje s Linuxom na štetu vlastitog sustava, Solarisa, te da čak svakodnevno koriste distribuciju pod nazivom Oracle Linux za svoj rad. Pronalazite li sve više tvrtki koje koriste Linux ili još uvijek uvelike ovise o sustavu Windows?

FS: U ovom aspektu možete pronaći sve.
Moji klijenti sada koriste više Linuxa za poslužitelje nego Windows, ali korisnička računala su i dalje 90% Windows i vrlo visok postotak i dalje koristi XP !!!

DO: Neke vlade ili tvrtke prelaze na Linux distribucije zbog mogućnosti i prednosti koje donosi. Neke mamio sigurnost. Biste li potaknuli tvrtke i organizacije na ovu promjenu? Da li TSS savjetuje besplatne projekte za bilo koje sigurnosno rješenje koje provodite?

FS: Savjetujemo ovisno o potrebama svakog klijenta. Volio bih da se ljudi više uključuju u Linux, ali ponekad ime marke puno teži.
Unatoč tome, mi kad god možemo savjetujemo Linux poslužitelje zbog njihove robusnosti, fleksibilnosti i sigurnosti.

DO: Mnogi korisnici ili tvrtke ne obraćaju pažnju na sigurnost. U kojoj je mjeri to loša praksa i koji biste im savjet dali? Recite nam o ozbiljnom slučaju koji se može otkriti i koji ste tijekom svog iskustva primijetili kako biste podigli svijest javnosti.

FS: Mnogo? Gotovo nitko. Prvo što bih im savjetovao bilo bi da održe mali tečaj o osnovnim propisima o računalnoj sigurnosti.
Čak sam i u Poreznoj agenciji pronašao korisnike s post-itom s lozinkom na monitoru!
Ali bilo je nevjerojatno vidjeti in situ, u maloj prezentaciji naše tvrtke u mogućem klijentu, a to je također tvrtka koja se igra vrijednosnim papirima na burzi (brokeri), slušati direktora poslovanja iz svog ureda, vikati informatičar "ŠTO JE MOJA B ... LOZINKA !! !!"
Čak i nakon što je to vidio, potencijalni klijent nas nije zaposlio ... Bog ih uhvatio kako su priznali!

DO: Sada također predajete tečajeve o hakiranju i sigurnosti. Sami ste polagali ispit EC-Council CEH (Council Ethical Hacking) s prilično dobrim rezultatom. Postoji izreka da je "najbolja obrana dobar prekršaj", kažem to u odnosu na prethodno pitanje. Biste li potaknuli korisnike da pohađaju ovu vrstu tečaja?

FS: Potaknuo bih ih da se ne usredotoče na "titulitis", već na pohađanje tečajeva za učenje. Svoje smo tečajeve fokusirali na praksu, jer mi se ovaj tečaj koji vi imenujete nije svidio, budući da sam ga učio sam, a također bez prakse. To je samo naslov. Međutim, naši su studenti "zgaženi" radeći vježbe. Ali oni vam kažu ...
Sportaš mora trenirati svaki dan. Mi također.

DO: Mnogi vjeruju da je haker loša osoba. Čak ga i RAE definira kao hakera koji koristi svoje znanje da čini loše stvari. Žalosno je to čuti, jer je čak prisililo da se vide pojmovi poput "etičkog hakiranja" kako ljudi ne bi pomislili na cyber kriminalca. Eric Reymond, brani pojam "haker" s izvornom definicijom i zagovara da se "cracker" koristi kao "negativci". No, pred propagandnim strojem Hollywooda, koji je također stvorio lošu reputaciju s mnoštvom filmova i serija o hakerima, što se može učiniti ... Što mislite kao sigurnosni stručnjak?

FS: Riječ haker smatram računalnim stručnjakom koji ponekad opsesivno istražuje dok ne pronađe svoj odgovor. Ali odatle do zločina ...
Naravno da postoje hakeri koji su kriminalci, jer mogu biti i vatrogasci koji su također kriminalci. Ali kao što nije uopćen u drugom slučaju, zašto to učiniti u prvom slučaju?
Ukratko, mislim da RAE pokazuje veliko neznanje kad je riječ haker nazvao hakerom. O holivudskoj stvari je bolje ne spominjati ...

Nadam se da vam se svidjelo prvi intervju iz serije koji smo pokrenuli važnim ličnostima na nacionalnoj i međunarodnoj sceni ...


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Kavgadžija dijo
    zec 9 godina

    Jako zanimljiv intervju, samo tako nastavi. linuxadictos.com

    Odgovor Hektoru
  2.   Ismael dijo
    zec 8 godina

    Želim ući u ovu organizaciju, molim vas ako me želite primiti moj broj je 7351979719 Živim u morelosu, znam što je to i stvarno želim ući

    Odgovor Ismaelu