Sentinel Security (TSS) היא חברה ספרדית המוקדשת לאבטחת מחשבים, כל כך נשכח על ידי רבים וכל כך חשוב. TSS מוקדש לביצוע ביקורות אבטחה לחברות, המבוססות על פריצות אתיות או בדיקות מחומשות, בנוסף למתן קורסים להכשרת אבטחה.
תוכנות זדוניות ופגיעות הן נושא חם בבלוג שלנו ובמיוחד עם החדשות האחרונות בנושא VENOM, Heartbleed ובעיות אבטחה אחרות המשפיעות על GNU Linux. לכן החלטנו לראיין פרנסיסקו סאנץ, מנכ"ל TSS שייתן לנו כמה רמזים בנושא מעניין זה.
פרנסיסקו (FS מעתה ואילך) הוא אחד מאנשי המקצוע של TSS. הוא למד הנדסת מחשבים באוניברסיטה האוטונומית של מדריד כדי לקבל מאוחר יותר תואר בניהול עסקי ושיווק ב- ESIC, השתתף בקורסי התכנות של סיסקו CNNA, PHP ו- MySQL, פריצה אתית והעביר את תעודת CEH ממועצת EC עם ציון 91% / 100%.
LinuxAdictos: GNU לינוקס חשוב מאוד בתחום האבטחה. בבלוג שלנו דיברנו על הפצות כמו סנטוקו, קאלי, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop, או אחרים המכוונות לגלישה בטוחה ופרטיות, כגון Tails ו- Whonix. בשגרת היומיום שלך, באילו מהם אתה משתמש?
פרנסיסקו סאנץ: תלוי בעבודה שיש לבצע ... למשל, בפנטסינג אני משתמש בהפצה שלי (TPS) עם כלים מחומשים שאנו משתמשים בהם, אך בהתבסס עליהם הם צריכים להיות 7.
TO: רבים תוקפים תוכנת קוד חופשי או קוד פתוח האומרים שהיא באיכות ירודה או חסרת ביטחון. מה היית אומר לאנשים האלה? האם לדעתך קל יותר לתקוף מכונת GNU לינוקס או FreeBSD מכיוון שהיא קוד פתוח מאשר כזו עם Windows מכיוון שהיא קוד קנייני, או שמא ההפך?
FS: שאלת מיליון הדולר. או השאלה הרגילה. מבחינתי לא המערכת, אלא האדם שמקים את המערכת.
למרות זאת, אם אצטרך להחליט, תמיד הייתי אומר LINUX. למה? ישנן סיבות רבות, אך בגלל שלא התרחב הייתי אומר לך שתצורת ברירת המחדל שלה מאובטחת יותר מזו של Windows; אתה יכול גם להפוך את זה לאבטח יותר על ידי אפשרויות מרובות; בהיותך תוכנה חופשית, תוכל לפתח, לשנות או להרחיב שירותי אבטחה.
מצד שני, אין קבצי הפעלה שמדביקים אותך בסוסים טרויאניים כל כך בקלות.
למרות זאת, נראה שכעת חלונות הם הבטוחים ביותר, על פי פרסומים מסוימים ... או אולי זה עם הכי הרבה כסף ... אני לא יודע אם אני מסביר את עצמי. בהשוואה זו הם קוראים 119 נקודות תורפה של גרעין לינוקס ... לא מוגדר ... אולם 248 מופיעים בקרב מערכות Windows ... אך מציינים כמות נמוכה יותר עבור כל מערכת הפעלה של Windows ... כלומר ... סט מספרים קטן. שיווק רב;)
TO: Sentinel Security הוא שותף לפרויקט Rapid7 Metasploit, פרויקט קוד פתוח, כמו רבים אחרים המשמשים לניתוק מחומש או פלילי. זו דוגמה טובה שמבהירה את מה שהזכרנו בשאלה הקודמת. אתה לא חושב ש?
FS: ובכן, Metasploit (Rapid7) השקיעה שנים רבות בפיתוח מנצלים למערכות נזק מכל הסוגים.
אני חושב שהאפשרות שתוכל לפתח, לשנות או להרחיב את המטרות של ניצול ולהיות מסוגלת להשתמש בו עם מסגרת כזו, מבלי שתצטרך לשלם או לחכות למעללים חדשים, בהיותך קוד פתוח, מקלה על עבודתך.
אמנם יש גרסה בתשלום, עם החינמית ועם ידע בתכנות באודם, פייתון, פרל ... יש לך עמית לעבודה מאוד מאוד שימושי.
אני גם צריך להגיב שמשתמשים רבים מ Metasploit משתמשים רק ב- 10 או 20% מהאפשרויות שלהם. בקורס ההאקינג האתי הבא שאנו מפתחים (CHEE), יש לנו נושא שלם למטאספליט, בו נלמד כיצד להשתמש בכלי במלואו.
TO: פייתון היא שפת תכנות תחת רישיון חינם אחר (PSFL) ושאתה נוכח מאוד בתחום האבטחה. למה? מה מיוחד באחרים?
FS: לפייתון יתרון גדול מאוד והוא הספריות שלה. השימוש באלו וקלות למידת השפה עוזרים לך מאוד להיות מסוגל לבצע כלים קטנים שימושיים מאוד בעת ביצוע ביקורת אבטחה על בסיס חיזוק.
אתה יכול גם לחבר תוכניות פיתון קטנות עם אחרים כגון nmap, nessus וכו '... וזה עוזר לך עוד יותר להאיץ את עבודתו של פנטסטר.
אנו עוברים קורס ב -1 ביוני עבור תלמידינו, פייתון לפנטסטרים, מכיוון שאנו מאמינים כי חיוני לפנטסטר להשתמש בשפה זו.
TO: לאחרונה, התגלו כמה נקודות תורפה קריטיות בפרויקטים של קוד פתוח ובחלקם של תוכנות זדוניות אחרות שתוקפות מערכות GNU Linux. לחברות שמוכרות תוכנות סגורות, כמו אפל ומיקרוסופט, יש מבקרי אבטחה שתוקפים את המערכות שלהם כדי לשפר את האבטחה. האם אתה חושב שקהילת פיתוח פרויקטים בקוד פתוח צריכה לשקול לקדם פרקטיקה זו?
FS: ובכן, אתם חושבים שאין מבקרים של אפאצ'י, דביאן, פדורה, אובונטו ... דבר אחר הוא שהם גובים את מה שחברות אחרות גובות, אבל יש, הם קיימים, כי אני מבין שבפצות הגדולות יש אנשים שעובדים על זה . זה לא הגיוני שלא יהיה להם. אני גם מאמין שכל זה הימור לעתיד. הבעיה היא האם בסופו של דבר אפל או חלונות יהיו הפצות הקוד הפתוחות החזקות ביותר?
TO: בוא נעבור ללקוחות The Security Sentinel. בקיץ הזה שוחחתי עם מהנדס אורקל והוא אמר לי שיותר ויותר שרתים ומחשבי-על נמכרים עם לינוקס לרעת המערכת שלהם, סולאריס, והם אפילו משתמשים בהפצה שנקראת אורקל לינוקס לעבודתם מדי יום. האם אתה מוצא יותר ויותר חברות המשתמשות בלינוקס או שעדיין תלויות רבות ב- Windows?
FS: בהיבט זה, אתה מוצא הכל.
הלקוחות שלי משתמשים כעת בלינוקס לשרתים יותר מאשר ל- Windows, אך מחשבי המשתמשים עדיין הם 90% Windows ואחוז גבוה מאוד עדיין משתמשים ב- XP !!!
TO: יש ממשלות או חברות שעוברות להפצות לינוקס בגלל האפשרויות והיתרונות שהיא מביאה. חלקם פיתו על ידי בטיחות. האם תעודד חברות וארגונים לבצע את השינוי הזה? האם TSS מייעץ לפרויקטים בחינם עבור כל אחד מפתרונות האבטחה שאתה מיישם?
FS: אנו מייעצים בהתאם לצרכים של כל לקוח. הייתי רוצה שאנשים יתעסקו יותר בלינוקס, אבל לפעמים שם מותג שוקל הרבה.
עם זאת, אנו, בכל עת שנוכל, מייעצים לשרתי לינוקס על חוסנם, גמישותם וביטחונם.
TO: משתמשים או חברות רבים אינם שמים לב לאבטחה. עד כמה זה נוהג רע ואיזו עצה היית נותן להם? ספר לנו על מקרה חמור שניתן לחשוף ושצפת במהלך חווייתך כדי להעלות את המודעות בקרב הציבור.
FS: הרבה? כמעט אף אחד. הדבר הראשון שאמליץ להם יהיה לתת קורס מודעות קטן לתקנות בסיסיות לאבטחת מחשבים.
אפילו בסוכנות המס מצאתי משתמשים עם ההודעה עם הסיסמה שלהם על הצג!
אבל היה מדהים לראות באתר, במצגת קטנה של החברה שלנו בלקוח אפשרי, שהיא גם חברה שמשחקת בניירות ערך בשוק המניות (ברוקרים), להקשיב למנהל התפעול ממשרדו, צועק מדען המחשבים "מה זה B שלי ... סיסמת סיסמה ?? !!"
גם לאחר שראה זאת הלקוח הפוטנציאלי לא העסיק אותנו ... אלוהים יתפוס אותם הודה!
TO: עכשיו אתה מעביר גם קורסים בנושא פריצה ואבטחה. ניגשת לבחינת CEH (מועצת האתיקה של המועצה EC) בעצמך ועם ציון די טוב. יש אמירה ש"ההגנה הטובה ביותר היא עבירה טובה ", אני אומר זאת בהתייחס לשאלה הקודמת. האם תעודד משתמשים לעבור קורס מסוג זה?
FS: הייתי ממליץ להם לא להתמקד ב"טיטוליטיס "אלא לקחת קורסים ללמוד. אנו ממקדים את הקורסים שלנו בתרגול מכיוון שלא אהבתי את הקורס הזה שאתה שם, מכיוון שלמדתי אותו לבד וגם בלי תרגול. זה פשוט כותרת. עם זאת, התלמידים שלנו "מרוסקים" לעשות שיטות עבודה. אבל הם אומרים לך ...
אתלט חייב להתאמן כל יום. אנחנו גם.
TO: רבים מאמינים כי האקר הוא אדם רע. אפילו ה- RAE מגדיר אותו כהאקר שמשתמש בידע שלו כדי לעשות דברים רעים. עצוב לשמוע זאת, כי זה אפילו אילץ לראות מונחים כמו "פריצה אתית" כדי שאנשים לא יחשבו על פושע ברשת. אריק ריימונד, מגן על המונח "האקר" בהגדרה המקורית ודוגל להשתמש ב"קרקר "בכדי להתייחס ל"בחורים רעים". אבל מול מכונת התעמולה של הוליווד, שיצרה גם מוניטין רע עם שלל סרטים וסדרות על האקרים, מה אפשר לעשות ... מה אתה חושב כמומחה אבטחה?
FS: אני רואה במילה האקר מומחה למחשבים שלעתים בודק באובססיביות עד שהוא מוצא את תשובתו. אבל משם לפשע ...
כמובן שיש האקרים שהם עבריינים, כיוון שישנם כבאים שהם גם עבריינים. אבל כמו שזה לא כללי במקרה השני, מדוע לעשות זאת במקרה הראשון?
בקיצור, אני חושב שה- RAE מגלה בורות רבה בכל הנוגע לכינוי המילה האקר כהאקר. העניין ההוליוודי עדיף שלא להזכיר את זה ...
אני מקווה שאהבתם את זה ראיון ראשון לסדרה שהעלינו לדמויות חשובות בזירה הלאומית והבינלאומית ...
ראיון מעניין למדי, תמשיך כך. linuxadictos.com
אני רוצה להיכנס לארגון הזה בבקשה אם אתה רוצה לקבל אותי המספר שלי הוא 7351979719 אני גר במורלו, אני יודע מה זה ואני באמת רוצה להיכנס