Wawancara dengan Francisco Sanz: CEO The Security Sentinel

Security Sentinel (TSS) adalah perusahaan Spanyol yang didedikasikan untuk keamanan komputer, begitu dilupakan oleh banyak orang dan sangat penting. TSS didedikasikan untuk melakukan audit keamanan kepada perusahaan, berdasarkan uji peretasan etis atau pentesting, selain menyediakan kursus pelatihan keamanan.

Malware dan kerentanan adalah topik hangat di blog kami dan terutama dengan berita terbaru tentang VENOM, Heartbleed, dan masalah keamanan lainnya yang mempengaruhi GNU Linux. Itulah mengapa kami memutuskan untuk melakukan wawancara Francisco Sanz, CEO TSS yang akan memberi kita beberapa petunjuk tentang topik yang menarik ini.

Francisco (FS mulai sekarang) adalah salah satu profesional TSS. Ia belajar teknik komputer di Autonomous University of Madrid untuk kemudian memperoleh gelar dalam manajemen bisnis dan pemasaran di ESIC, mengambil kursus pemrograman Cisco CNNA, PHP dan MySQL, peretasan etis dan lulus sertifikat CEH dari EC-Council dengan klasifikasi 91% / 100%.

LinuxAdictos: GNU Linux sangat penting dalam bidang keamanan. Di blog kami, kami telah berbicara tentang distribusi seperti Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop, atau lainnya yang berorientasi pada penjelajahan dan privasi yang aman, seperti Tails dan Whonix. Dalam rutinitas harian Anda, mana yang Anda gunakan?

Fransiskus Sanchez: Tergantung pekerjaan yang akan dilakukan ... misalnya dalam pentesting saya menggunakan distribusi saya sendiri (TPS) dengan alat pentesting yang kami gunakan, tetapi berdasarkan seharusnya 7.

LA: Banyak yang menyerang perangkat lunak bebas atau sumber terbuka yang mengatakan kualitasnya buruk atau lebih tidak aman. Apa yang akan Anda katakan kepada orang-orang ini? Menurut Anda, apakah lebih mudah menyerang mesin GNU Linux atau FreeBSD karena ini open source daripada Windows karena merupakan kode hak milik, atau sebaliknya?

FS: Pertanyaan jutaan dolar. Atau pertanyaan biasa. Bagi saya ini bukan sistemnya, tapi orang yang menyiapkan sistem.
Meski begitu, jika saya harus memutuskan, saya akan selalu mengatakan LINUX. Mengapa? Ada banyak alasan, tetapi untuk tidak memperluas saya akan memberitahu Anda bahwa konfigurasi defaultnya lebih aman daripada Windows '; Anda juga dapat membuatnya lebih aman dengan memiliki beberapa opsi; sebagai perangkat lunak gratis, Anda dapat mengembangkan, memodifikasi, atau memperluas layanan keamanan.
Di sisi lain, tidak ada file executable yang dapat menginfeksi Anda dengan Trojan dengan mudah.
Meski begitu, tampaknya sekarang Windows adalah yang paling aman, menurut beberapa publikasi ... atau mungkin yang paling banyak uang ... Saya tidak tahu apakah saya menjelaskan diri saya sendiri Dalam perbandingan ini, mereka menyebut 119 kerentanan kernel Linux ... tidak ditentukan ... namun, 248 muncul di antara sistem Windows ... tetapi menentukan jumlah yang lebih rendah untuk setiap OS Windows ... yaitu ... sejumlah kecil angka. Banyak pemasaran;)

LA: Security Sentinel adalah mitra dari proyek Rapid7 Metasploit, proyek sumber terbuka, seperti banyak proyek lain yang digunakan untuk pentesting atau analisis forensik. Ini adalah contoh bagus yang memperjelas apa yang kami sebutkan di pertanyaan sebelumnya. Tidakkah menurutmu

FS: Nah, Metasploit (Rapid7), telah menghabiskan waktu bertahun-tahun menginvestasikan waktu dalam pengembangan eksploitasi untuk merusak sistem dari semua jenis.
Saya pikir kemungkinan bahwa Anda dapat mengembangkan, memodifikasi, atau memperluas tujuan eksploitasi dan dapat menggunakannya dengan kerangka kerja seperti ini, tanpa harus membayar atau menunggu eksploitasi baru, menjadi sumber terbuka, membuat pekerjaan Anda jauh lebih mudah.
Meskipun ada versi berbayar, dengan yang gratis dan dengan pengetahuan pemrograman dalam ruby, Python, perl ... Anda memiliki rekan kerja yang sangat, sangat berguna.
Saya juga harus berkomentar bahwa banyak pengguna Metasploit hanya menggunakan 10 atau 20% dari kemungkinan mereka. Dalam kursus Peretasan Etis berikutnya yang sedang kami kembangkan (CHEE), kami memiliki topik lengkap untuk Metasploit, di mana kami akan mengajarkan cara menggunakan alat ini secara maksimal.

LA: Python adalah bahasa pemrograman di bawah lisensi gratis lain (PSFL) dan yang Anda miliki di sektor keamanan. Mengapa? Apa yang spesial dari orang lain?

FS: Python memiliki keuntungan yang sangat besar dan itu adalah pustaka-nya. Penggunaan ini dan kemudahan belajar bahasa sangat membantu Anda untuk dapat menjalankan alat-alat kecil yang sangat berguna saat melakukan audit keamanan berdasarkan pentesting.
Anda juga dapat menghubungkan program Python kecil dengan yang lain seperti nmap, nessus dll ... dan ini membantu Anda lebih mempercepat kerja pentester.
Kami mengambil kursus pada tanggal 1 Juni untuk siswa kami, Python untuk pentester, karena kami percaya bahwa penting bagi pentester untuk menggunakan bahasa ini.

LA: Akhir-akhir ini, beberapa kerentanan kritis telah terdeteksi dalam proyek open source dan beberapa malware lain yang menyerang sistem GNU Linux. Perusahaan yang menjual perangkat lunak tertutup, seperti Apple dan Microsoft, memiliki auditor keamanan yang menyerang sistem mereka sendiri untuk meningkatkan keamanan. Menurut Anda, apakah komunitas pengembangan proyek open source harus mempertimbangkan untuk mempromosikan praktik ini?

FS: Nah, menurut Anda tidak ada auditor untuk Apache, Debian, Fedora, Ubuntu ... hal lainnya adalah mereka menagih biaya yang dikenakan perusahaan lain, tetapi ada, mereka ada, karena saya memahami bahwa distribusi besar memiliki orang yang mengerjakan ini. Tidak logis jika tidak memilikinya. Saya juga percaya bahwa semua ini adalah taruhan untuk masa depan. Masalahnya adalah, apakah Apple atau Windows akan menjadi distribusi open source paling kuat?

LA: Mari beralih ke pelanggan The Security Sentinel. Musim panas ini saya mengobrol dengan seorang insinyur Oracle dan dia memberi tahu saya bahwa semakin banyak server dan superkomputer yang dijual dengan Linux sehingga merugikan sistem mereka sendiri, Solaris, dan bahwa mereka bahkan menggunakan distribusi yang disebut Oracle Linux untuk pekerjaan mereka setiap hari. Apakah Anda menemukan semakin banyak perusahaan yang menggunakan Linux atau masih sangat bergantung pada Windows?

FS: Dalam aspek ini, Anda menemukan segalanya.
Klien saya sekarang menggunakan lebih banyak Linux untuk server daripada Windows, tetapi komputer pengguna masih 90% Windows dan persentase yang sangat tinggi masih menggunakan XP !!!

LA: Beberapa pemerintah atau perusahaan bermigrasi ke distribusi Linux karena kemungkinan dan keuntungan yang dibawanya. Beberapa terpikat oleh keamanan. Apakah Anda akan mendorong perusahaan dan organisasi untuk melakukan perubahan ini? Apakah TSS menyarankan proyek gratis untuk solusi keamanan apa pun yang Anda terapkan?

FS: Kami menyarankan tergantung pada kebutuhan masing-masing klien. Saya ingin orang-orang lebih terlibat dengan Linux, tetapi terkadang nama merek sangat memberatkan.
Meski begitu, kami, kapan pun kami bisa, menyarankan server Linux untuk ketahanan, fleksibilitas, dan keamanannya.

LA: Banyak pengguna atau perusahaan tidak memperhatikan keamanan. Sejauh mana praktik yang buruk itu dan nasihat apa yang akan Anda berikan kepada mereka? Ceritakan kepada kami tentang kasus serius yang dapat diekspos dan yang Anda amati selama pengalaman Anda untuk meningkatkan kesadaran di kalangan publik.

FS: Banyak? Hampir tidak ada. Hal pertama yang saya sarankan kepada mereka adalah memberikan kursus kesadaran kecil tentang peraturan dasar keamanan komputer.
Bahkan di Badan Pajak saya telah menemukan pengguna dengan post-it dengan kata sandi mereka di monitor!
Tapi sungguh luar biasa melihat in situ, dalam presentasi kecil perusahaan kami di klien yang mungkin, yang juga merupakan perusahaan yang bermain dengan sekuritas di pasar saham (broker), mendengarkan direktur operasi dari kantornya, berteriak ilmuwan komputer "APA ITU B ... A PASSWORD ?? !!"
Bahkan setelah melihat ini, klien potensial tidak mempekerjakan kami ... Tuhan menangkap mereka mengaku!

LA: Sekarang Anda juga mengajarkan kursus tentang peretasan dan keamanan. Anda mengikuti ujian EC-Council CEH (Council Ethical Hacking) sendiri dan dengan skor yang cukup bagus. Ada pepatah mengatakan bahwa "pertahanan terbaik adalah pelanggaran yang baik", saya mengatakan ini mengacu pada pertanyaan sebelumnya. Apakah Anda akan mendorong pengguna untuk mengambil kursus jenis ini?

FS: Saya akan mendorong mereka untuk tidak fokus pada "titulitis" melainkan mengambil kursus untuk belajar. Kami memfokuskan kursus kami pada latihan, karena saya tidak suka kursus ini yang Anda sebutkan, karena saya mempelajarinya sendiri, dan juga tanpa latihan. Itu hanya sebuah judul. Namun, siswa kami "ngeres" melakukan latihan. Tapi mereka memberitahumu ...
Seorang atlet harus berlatih setiap hari. Kami juga.

LA: Banyak yang percaya bahwa seorang hacker adalah orang jahat. Bahkan RAE mendefinisikannya sebagai seorang hacker yang menggunakan ilmunya untuk melakukan hal-hal buruk. Menyedihkan mendengar hal ini, karena bahkan istilah seperti "peretasan etis" harus dilihat sehingga orang tidak berpikir tentang penjahat dunia maya. Eric Reymond, membela istilah "hacker" dengan definisi aslinya dan menganjurkan penggunaan "cracker" untuk merujuk pada "orang jahat". Namun dalam menghadapi mesin propaganda Hollywood, yang juga menciptakan reputasi buruk dengan banyaknya film dan serial tentang peretas, apa yang bisa dilakukan ... Bagaimana menurut Anda sebagai pakar keamanan?

FS: Saya menganggap kata hacker sebagai spesialis komputer yang kadang-kadang menyelidiki secara obsesif sampai dia menemukan jawabannya. Tapi dari sana ke kejahatan ...
Tentu saja ada peretas yang juga penjahat, karena mungkin ada petugas pemadam kebakaran yang juga penjahat. Tetapi seperti halnya ini tidak digeneralisasikan dalam kasus kedua, mengapa melakukannya dalam kasus pertama?
Singkatnya, saya pikir RAE menunjukkan ketidaktahuan yang besar ketika menyebut kata hacker sebagai hacker. Hal Hollywood lebih baik tidak menyebutkannya ...

Saya harap Anda menyukai ini wawancara pertama dari seri yang kami angkat kepada tokoh-tokoh penting di kancah nasional dan internasional ...