Interjú Francisco Sanz-szal: a The Security Sentinel vezérigazgatójával

A Security Sentinel (TSS) egy spanyol cég, amely a számítógépek biztonságával foglalkozik, sokak által annyira elfeledett és olyan fontos. TSS elkötelezett a biztonsági auditok elvégzése érdekében a vállalatok számára, etikai hacker vagy penteszt tesztek alapján, a biztonsági tanfolyamok biztosítása mellett.

A rosszindulatú programok és a biztonsági rések kiemelt téma blogunkban, különösen a VENOM, a Heartbleed és a GNU Linuxot érintő egyéb biztonsági kérdések legfrissebb híreivel. Ezért döntöttünk az interjú mellett Francisco Sanz, a TSS vezérigazgatója amely néhány nyomot fog adni erről az érdekes témáról.

Francisco (ezentúl FS) a TSS egyik szakembere. Számítógépes mérnöki tanulmányokat folytatott a madridi Autonóm Egyetemen, hogy később üzleti menedzsment és marketing diplomát szerezzen az ESIC-n, részt vett a Cisco CNNA, PHP és MySQL programozási tanfolyamokon, etikai hackerezésen és 91% -os besorolással adta át az EK-Tanács CEH tanúsítványát. / 100%.

LinuxAdictos: A GNU Linux nagyon fontos a biztonság területén. Blogunkban olyan terjesztésekről beszéltünk, mint a Santoku, a Kali, a BugTraq, a Xiaopan, a Parrot OS, a WiFislax, a DEFT, a Backbox, az IPCop, vagy más, a biztonságos böngészésre és az adatvédelemre orientáltakról, például a Tails és a Whonix. Melyiket használja a mindennapi rutinban?

Francis Sanchez: Az elvégzendő munkától függően ... például a pentesztelés során saját terjesztésemet (TPS) használom pentesztelő eszközökkel, amelyeket használunk, de ezek alapján kell 7.

LA: Sokan támadnak ingyenes vagy nyílt forráskódú szoftvert, mondván, hogy az rossz minőségű vagy bizonytalanabb. Mit szólnál ezekhez az emberekhez? Szerinted könnyebb támadni egy GNU Linux vagy FreeBSD gépet, mert nyílt forráskódú, mint a Windows rendszerű, mert saját kód, vagy éppen ellenkezőleg?

FS: A millió dolláros kérdés. Vagy a szokásos kérdés. Számomra nem a rendszer, hanem az, aki beállítja a rendszert.
Ennek ellenére, ha döntenem kell, mindig a LINUX-ot mondanám. Miért? Sok oka van, de ha nem bővítem, azt mondanám, hogy az alapértelmezett konfiguráció biztonságosabb, mint a Windows '; több opcióval biztonságosabbá is teheti; ingyenes szoftverként biztonsági szolgáltatásokat fejleszthet, módosíthat vagy bővíthet.
Másrészt nincsenek olyan futtatható fájlok, amelyek ilyen könnyen megfertőzhetnének trójai programokkal.
Ennek ellenére úgy tűnik, hogy egyes kiadványok szerint most a Windows a legbiztonságosabb ... vagy talán az, akinek a legtöbb pénze van ... Nem tudom, elmagyarázom magam. Ebben az összehasonlításban 119 Linux kernel sebezhetőséget neveznek meg ... meghatározatlanok ... 248 azonban megjelenik a Windows rendszerek között ... de mindegyik Windows operációs rendszerhez alacsonyabb összeget ad meg ... vagyis egy kis számkészletet. Sok marketing;)

LA: A Security Sentinel a Rapid7 Metasploit projekt, egy nyílt forráskódú projekt partnere, mint sok más, pentesztelésre vagy törvényszéki elemzésre. Ez egy jó példa, amely világossá teszi, amit az előző kérdésben említettünk. Nem gondolod?

FS: Nos, a Metasploit (Rapid7) sok éven át befektetett időt mindenféle rendszer károsítására szolgáló kiaknázások fejlesztésébe.
Úgy gondolom, hogy az a lehetőség, hogy kifejlesztheti, módosíthatja vagy kibővítheti egy kizsákmányolás célkitűzéseit, és képes lehet használni egy ilyen keretrendszerrel, anélkül, hogy fizetnie vagy várnia kellene az új kiaknázásokra, nyílt forráskódúvá válik, sokkal könnyebbé teszi munkáját.
Bár létezik fizetett változat, az ingyenes verzióval és a ruby, Python, perl programozási ismeretekkel ... nagyon-nagyon hasznos munkatársad van.
Azt is meg kell jegyeznem, hogy sok Metasploit felhasználó csak lehetőségeinek 10 vagy 20% -át használja ki. A következő általunk fejlesztett etikai hacker tanfolyamon (CHEE) egy teljes témakör áll rendelkezésünkre a Metasploit számára, ahol megtanítjuk az eszköz teljes körű használatát.

LA: A Python egy programozási nyelv, amely egy másik ingyenes licenc (PSFL) alatt áll, és amelyet Ön nagyon jól képvisel a biztonsági szektorban. Miért? Mi a különleges a többiekben?

FS: A Pythonnak nagyon nagy előnye van, és a könyvtárai. Ezek használata és a nyelvtanulás egyszerűsége sokat segít abban, hogy olyan kis eszközöket hajthasson végre, amelyek nagyon hasznosak a pentesztelésen alapuló biztonsági audit végrehajtásakor.
Csatlakoztathat kis Python programokat másokkal is, például nmap, nessus stb., És ez még jobban segít a pentester munkájának felgyorsításában.
Június 1-én veszünk egy tanfolyamot hallgatóink számára, Python a pentesterek számára, mert úgy gondoljuk, hogy a pentester számára elengedhetetlen ennek a nyelvnek a használata.

LA: Az utóbbi időben kritikus sebezhetőségeket fedeztek fel nyílt forráskódú projektekben és más rosszindulatú programokban, amelyek a GNU Linux rendszereket támadják meg. A zárt szoftvereket forgalmazó vállalatoknak, például az Apple-nek és a Microsoftnak vannak biztonsági auditorjai, akik saját rendszerükre támadnak a biztonság javítása érdekében. Gondolod, hogy a nyílt forráskódú projektfejlesztő közösségnek fontolóra kellene vennie ennek a gyakorlatnak a népszerűsítését?

FS: Nos, úgy gondolja, hogy nincsenek ellenőrök az Apache, a Debian, a Fedora, az Ubuntu számára ... egy másik dolog az, hogy ők felszámítják azt, amit más cégek felszámítanak, de vannak, léteznek, mert megértem, hogy a nagy disztribúciókban emberek dolgoznak ezen. Logikátlan lenne, ha nem lennének. Azt is hiszem, hogy mindez a jövőre nézve fogadás. A probléma az, hogy végül az Apple vagy a Windows lesz a legerősebb nyílt forráskódú disztribúció?

LA: Térjünk át a The Security Sentinel ügyfelekre. Ezen a nyáron egy Oracle mérnökkel csevegtem, és elmondta, hogy egyre több szervert és szuperszámítógépet adnak el Linux-szal a saját rendszerük, a Solaris kárára, és még az Oracle Linux nevű disztribúciót is használják munkájukhoz minden nap. Egyre több olyan vállalatot talál, amely Linux-ot használ, vagy még mindig nagyon függ a Windows-tól?

FS: Ebben a vonatkozásban mindent megtalálsz.
Ügyfeleim ma már több Linuxot használnak a szerverekhez, mint a Windows, de a felhasználói számítógépek még mindig 90% -osak a Windows-ban, és nagyon magas százalékuk még mindig XP-t használ !!!

LA: Néhány kormány vagy vállalat a Linux-disztribúciókra tér át az általa kínált lehetőségek és előnyök miatt. Néhányat a biztonság csábít. Arra ösztönözné a vállalatokat és szervezeteket, hogy hajtsák végre ezt a változást? A TSS ingyenes projekteket tanácsol az Ön által bevezetett bármely biztonsági megoldáshoz?

FS: Tanácsot adunk az egyes ügyfelek igényeitől függően. Szeretném, ha az emberek jobban bekapcsolódnának a Linuxba, de néha a márkanév sokat nyom.
Ennek ellenére, amikor csak tudunk, tanácsot adunk a Linux szervereknek robusztusságukról, rugalmasságukról és biztonságukról.

LA: Sok felhasználó vagy vállalat nem figyel a biztonságra. Mennyire rossz gyakorlat, és milyen tanácsokat adna nekik? Meséljen egy súlyos esetről, amelyet ki lehet fedni, és amelyet tapasztalata során megfigyelt, hogy felhívja a nyilvánosság figyelmét.

FS: Sok? Szinte senki. Első dologként azt tanácsolom nekik, hogy tartanak egy kis ismeretterjesztő tanfolyamot az alapvető számítógépes biztonsági előírásokról.
Még az adóügynökségnél is találtam olyan felhasználókat, akik a monitoron jelöltjük a post-it!
De hihetetlen volt látni a helyszínen, a társaságunk kis bemutatóján egy lehetséges ügyfélnél, amely szintén egy olyan társaság, amely értékpapírokkal játszik a tőzsdén (brókerek), az irodájából hallgatja a műveleti igazgatót, kiabál az informatikus "MI A B ... AZ JELSZÓ ?? !!"
Ezt látva a potenciális ügyfél sem vett fel minket ... Isten elkapja, vallják be őket!

LA: Most tanításokat is tart a hackelésről és a biztonságról. Ön maga tette le az EC-Council CEH (Council Ethical Hacking) vizsgát, és nagyon jó pontszámmal. Van egy mondás, miszerint "a legjobb védekezés jó támadás", ezt az előző kérdésre hivatkozva mondom. Arra ösztönözné a felhasználókat, hogy vegyenek részt ilyen típusú tanfolyamokon?

FS: Arra bátorítanám őket, hogy ne a "titulitisre" összpontosítsanak, hanem a tanfolyamok elvégzésére. Tanfolyamainkat a gyakorlatra összpontosítjuk, mert nekem nem tetszett ez a kurzus, amit ön megnevezett, mivel egyedül tanultam, és gyakorlat nélkül is. Ez csak egy cím. Diákjaink azonban "összetörik" a gyakorlatokat. De azt mondják ...
A sportolóknak minden nap edzeniük kell. Mi is.

LA: Sokan úgy gondolják, hogy a hacker rossz ember. Még a RAE is hackerként határozza meg, aki tudását rossz dolgokra használja. Szomorú ezt hallani, mert még olyan kifejezéseket is kényszerített, mint az „etikus hackelés”, hogy az emberek ne gondoljanak számítógépes bűnözőre. Eric Reymond, az eredeti definícióval védi a "hacker" kifejezést, és a "cracker" használatát szorgalmazza a "rossz fiúk" kifejezésre. De szembesülve Hollywood propagandagépezetével, amely szintén rossz hírnevet szerzett a hackerekről szóló filmek és sorozatok sokaságával, mit lehet tenni ... Mit gondolsz biztonsági szakértőként?

FS: A hacker szót számítógépes szakembernek tartom, aki időnként megszállottan nyomoz, amíg meg nem találja a választ. De onnan a bűnözésig ...
Természetesen vannak hackerek, akik bűnözők, mivel lehetnek tűzoltók, akik szintén bűnözők. De ahogy a második esetben sem általánosított, miért tegyük az elsőnél?
Röviden, azt gondolom, hogy a RAE nagy tudatlanságot mutat, amikor a hacker szót hackerként hívják. A hollywoodi dolog jobb, ha nem is említem ...

Remélem ez tetszett a sorozat első interjúja, amelyet felvetettünk fontos szereplőknek a nemzeti és nemzetközi színtéren ...