Intervista a Francisco Sanz: CEO di The Security Sentinel

La Security Sentinel (TSS) è una società spagnola dedicata alla sicurezza informatica, così dimenticato da molti e così importante. TSS si dedica a condurre audit di sicurezza alle aziende, sulla base di test di hacking etico o pentesting, oltre a fornire corsi di formazione sulla sicurezza.

Malware e vulnerabilità sono un argomento caldo sul nostro blog e in particolare con le ultime notizie su VENOM, Heartbleed e altri problemi di sicurezza che interessano GNU Linux. Ecco perché abbiamo deciso di intervistare Francisco Sanz, CEO di TSS che ci darà alcuni indizi su questo interessante argomento.

Francisco (FS d'ora in poi) è uno dei professionisti della TSS. Ha studiato ingegneria informatica presso l'Università Autonoma di Madrid per ottenere successivamente una laurea in gestione aziendale e marketing presso ESIC, seguire i corsi di programmazione Cisco CNNA, PHP e MySQL, hacking etico e superare il certificato CEH dall'EC-Council con una classificazione del 91% / 100%.

LinuxAdictos: GNU Linux è molto importante nel campo della sicurezza. Nel nostro blog abbiamo parlato di distribuzioni come Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop o altre orientate alla navigazione sicura e alla privacy, come Tails e Whonix. Nella tua routine quotidiana, quali usi?

Francesco Sanz: A seconda del lavoro da fare ... ad esempio, nel pentesting utilizzo la mia distribuzione (TPS) con strumenti di pentesting che usiamo, ma in base a questi dovrebbero 7.

LA: Molti attaccano software gratuito o open source dicendo che è di scarsa qualità o più insicuro. Cosa diresti a queste persone? Pensi che sia più facile attaccare una macchina GNU Linux o FreeBSD perché è open source rispetto a una con Windows perché è codice proprietario, o è il contrario?

Vendo: La domanda da un milione di dollari. O la solita domanda. Per me non è il sistema, ma la persona che imposta il sistema.
Anche così, se devo decidere, direi sempre LINUX. Perché? Ci sono molte ragioni, ma per non espandere ti direi che la sua configurazione predefinita è più sicura di quella di Windows; puoi anche renderlo più sicuro avendo più opzioni; essendo software libero, puoi sviluppare, modificare o espandere i servizi di sicurezza.
D'altra parte, non ci sono eseguibili per infettarti con trojan così facilmente.
Anche così, sembra che ora Windows sia il più sicuro, secondo alcune pubblicazioni ... o forse, quello con più soldi ... non so se mi spiego. In questo confronto vengono nominate 119 vulnerabilità del kernel Linux ... non specificate ... tuttavia 248 compaiono tra i sistemi Windows ... ma specificando una quantità inferiore per ogni sistema operativo Windows ... cioè ... un piccolo insieme di numeri. Molto marketing;)

LA: Il Security Sentinel è un partner del progetto Rapid7 Metasploit, un progetto open source, come molti altri utilizzati per pentesting o analisi forense. È un buon esempio che chiarisce ciò che abbiamo menzionato nella domanda precedente. Non credi

Vendo: Ebbene, Metasploit (Rapid7) ha investito molti anni nello sviluppo di exploit per danneggiare sistemi di ogni tipo.
Penso che la possibilità che tu possa sviluppare, modificare o espandere gli obiettivi di un exploit e poterlo utilizzare con un framework come questo, senza dover pagare o aspettare nuovi exploit, essendo open source, renda il tuo lavoro molto più semplice.
Sebbene esista una versione a pagamento, con quella gratuita e con conoscenze di programmazione in ruby, Python, perl ... hai un collaboratore molto, molto utile.
Devo anche commentare che molti utenti di Metasploit utilizzano solo il 10 o il 20% delle loro possibilità. Nel prossimo corso di Ethical Hacking che stiamo sviluppando (CHEE), abbiamo un intero argomento per Metasploit, dove insegneremo come utilizzare lo strumento al meglio.

LA: Python è un linguaggio di programmazione con un'altra licenza gratuita (PSFL) e che hai molto presente nel settore della sicurezza. Perché? Cos'hanno di speciale gli altri?

Vendo: Python ha un grande vantaggio e sono le sue librerie. L'uso di questi e la facilità di apprendimento della lingua ti aiuta molto a poter realizzare piccoli strumenti che sono molto utili quando si esegue un audit di sicurezza basato sul pentesting.
Puoi anche connettere piccoli programmi Python con altri come nmap, nessus ecc ... e questo ti aiuta ancora di più a velocizzare il lavoro di un pentester.
Facciamo un corso il 1 giugno per i nostri studenti, Python for pentester, perché crediamo che sia essenziale per un pentester usare questo linguaggio.

LA: Ultimamente, alcune vulnerabilità critiche sono state rilevate in progetti open source e alcuni altri malware che attaccano i sistemi GNU Linux. Le aziende che vendono software chiuso, come Apple e Microsoft, dispongono di revisori della sicurezza che attaccano i propri sistemi per migliorare la sicurezza. Pensi che la comunità di sviluppo di progetti open source dovrebbe prendere in considerazione la promozione di questa pratica?

Vendo: Beh, pensi che non ci siano revisori per Apache, Debian, Fedora, Ubuntu ... un'altra cosa è che fanno pagare quello che fanno pagare le altre aziende, ma ci sono, esistono, perché capisco che le grandi distribuzioni hanno persone che ci lavorano. Sarebbe illogico non averli. Credo anche che tutto questo sia una scommessa per il futuro. Il problema è: Apple o Windows finiranno per essere le più potenti distribuzioni open source?

LA: Passiamo ai clienti di The Security Sentinel. Quest'estate stavo chiacchierando con un ingegnere Oracle e mi ha detto che sempre più server e supercomputer vengono venduti con Linux a scapito del loro sistema, Solaris, e che usano persino una distribuzione chiamata Oracle Linux per il loro lavoro ogni giorno. Trovi sempre più aziende che usano Linux o dipendono ancora molto da Windows?

Vendo: In questo aspetto trovi tutto.
I miei clienti ora usano più Linux per server rispetto a Windows, ma i computer degli utenti sono ancora al 90% Windows e una percentuale molto alta usa ancora XP !!!

LA: Alcuni governi o aziende stanno migrando alle distribuzioni Linux a causa delle possibilità e dei vantaggi che porta. Alcuni attirati dalla sicurezza. Incoraggeresti le aziende e le organizzazioni a fare questo cambiamento? TSS consiglia progetti gratuiti per le soluzioni di sicurezza che implementate?

Vendo: Consigliamo a seconda delle esigenze di ogni cliente. Vorrei che le persone fossero più coinvolte con Linux, ma a volte un marchio pesa molto.
Anche così, ogni volta che possiamo, consigliamo i server Linux per la loro robustezza, flessibilità e sicurezza.

LA: Molti utenti o aziende non prestano attenzione alla sicurezza. In che misura è una cattiva pratica e che consiglio daresti loro? Raccontaci di un caso grave che può essere smascherato e che hai osservato durante la tua esperienza per sensibilizzare il pubblico.

Vendo: Un sacco di? Quasi nessuno. La prima cosa che consiglierei loro sarebbe di tenere un piccolo corso di sensibilizzazione sulle norme di base sulla sicurezza dei computer.
Anche in Agenzia delle Entrate ho trovato utenti con il post-it con la password sul monitor!
Ma è stato incredibile vedere in situ, in una piccola presentazione della nostra azienda in un possibile cliente, che è anche un'azienda che gioca con i titoli in borsa (broker), ascoltare il direttore delle operazioni dal suo ufficio, gridare a l'informatico "QUAL È LA MIA B ... PASSWORD ?? !!"
Anche dopo aver visto questo, il potenziale cliente non ci ha assunto ... Dio li ha confessato!

LA: Ora insegni anche corsi su hacking e sicurezza. Hai sostenuto l'esame CEH (Council Ethical Hacking) del Consiglio CE da solo e con un punteggio piuttosto buono. C'è un detto che "la miglior difesa è un buon attacco", lo dico in riferimento alla domanda precedente. Incoraggeresti gli utenti a seguire questo tipo di corso, ovviamente?

Vendo: Li incoraggerei a non concentrarsi sulla "titulite" ma invece sul seguire dei corsi per imparare. Concentriamo i nostri corsi sulla pratica, perché non mi è piaciuto questo corso che chiami, dato che l'ho studiato da solo e anche senza pratica. È solo un titolo. Tuttavia, i nostri studenti sono "schiacciati" facendo le pratiche. Ma ti dicono ...
Un atleta deve allenarsi ogni giorno. Anche noi.

LA: Molti credono che un hacker sia una persona cattiva. Anche la RAE lo definisce un hacker che usa la sua conoscenza per fare cose cattive. È triste sentirlo, perché ha persino forzato la visualizzazione di termini come "hacking etico" in modo che le persone non pensino a un criminale informatico. Eric Reymond, difende il termine "hacker" con la definizione originale e sostiene l'uso di "cracker" per riferirsi a "cattivi". Ma di fronte alla macchina della propaganda di Hollywood, che ha anche creato una cattiva reputazione con una moltitudine di film e serie sugli hacker, cosa si può fare ... Cosa ne pensi come esperto di sicurezza?

Vendo: Considero la parola hacker come uno specialista di computer che a volte indaga ossessivamente finché non trova la sua risposta. Ma da lì al crimine ...
Ovviamente ci sono hacker che sono criminali, in quanto potrebbero esserci vigili del fuoco che sono anche criminali. Ma proprio come nel secondo caso non è generalizzato, perché nel primo?
In breve, penso che la RAE mostri una grande ignoranza quando si tratta di chiamare la parola hacker come un hacker. La cosa di Hollywood è meglio non parlarne ...

Spero ti sia piaciuto prima intervista della serie che abbiamo sollevato a figure importanti del panorama nazionale ed internazionale ...