フランシスコ・サンスへのインタビュー：セキュリティセンチネルのCEO

Security Sentinel（TSS）は、コンピュータセキュリティを専門とするスペインの企業です。 多くの人に忘れられて、とても重要です。 TSS は、セキュリティトレーニングコースの提供に加えて、倫理的なハッキングまたは侵入テストに基づいて、企業に対するセキュリティ監査を実施することに専念しています。

マルウェアと脆弱性は私たちのブログでホットなトピックであり、特にVENOM、Heartbleed、およびGNULinuxに影響を与えるその他のセキュリティ問題に関する最新ニュースがあります。 だからインタビューすることにしました TSSのCEO、フランシスコ・サンス これは、この興味深いトピックに関するいくつかの手がかりを与えてくれます。

フランシスコ（今後はFS）はTSSの専門家のXNUMX人です。 彼はマドリッド自治大学でコンピューターエンジニアリングを学び、後にESICで経営管理とマーケティングの学位を取得し、Cisco CNNA、PHP、MySQLプログラミングコース、倫理的ハッキングを受講し、EC-Councilから91％の分類でCEH証明書に合格しました。 / 100％。

LinuxAdictos: GNU Linuxは、セキュリティの分野で非常に重要です。 私たちのブログでは、Santoku、Kali、BugTraq、Xiaopan、Parrot OS、WiFislax、DEFT、Backbox、IPCopなどのディストリビューション、またはTailsやWhonixなどの安全なブラウジングとプライバシーを目的としたその他のディストリビューションについて説明しました。 日常生活の中で、どれを使っていますか？

フランシスコ・サンス： 実行する作業に応じて...たとえば、侵入テストでは、使用する侵入テストツールを使用して独自のディストリビューション（TPS）を使用しますが、それに基づいて7を実行する必要があります。

LA： 多くの人が無料またはオープンソースのソフトウェアを攻撃し、品質が低いか、安全性が低いと言っています。 あなたはこれらの人々に何と言いますか？ GNU LinuxまたはFreeBSDマシンは、プロプライエタリコードであるためWindowsを使用するマシンよりもオープンソースであるため、攻撃しやすいと思いますか、それともその逆ですか？

FS： 百万ドルの質問。 または通常の質問。 私にとって、それはシステムではなく、システムをセットアップする人です。
それでも、私が決めなければならないのであれば、私はいつもLINUXと言います。 どうして？ 多くの理由がありますが、拡張しないために、デフォルトの構成はWindowsよりも安全であると言います。 複数のオプションを用意することで、より安全にすることもできます。 自由ソフトウェアであるため、セキュリティサービスを開発、変更、または拡張できます。
一方、トロイの木馬に簡単に感染する実行可能ファイルはありません。
それでも、いくつかの出版物によると、今ではWindowsが最も安全であるように思われます...または多分最もお金のあるものです...私が自分自身を説明するかどうかはわかりません。 この比較では、それらは119のLinuxカーネルの脆弱性に名前を付けています...指定されていません...しかし、248はWindowsシステムに表示されます...しかし、WindowsOSごとに少ない量を指定しています...つまり...小さな数のセットです。 多くのマーケティング;）

LA： Security Sentinelは、ペネトレーションテストやフォレンジック分析に使用される他の多くのプロジェクトと同様に、オープンソースプロジェクトであるRapid7Metasploitプロジェクトのパートナーです。 これは、前の質問で述べたことを明確にする良い例です。 思いませんか

FS： さて、Metasploit（Rapid7）は、あらゆる種類のシステムに損害を与えるエクスプロイトの開発に何年も投資してきました。
エクスプロイトの目的を開発、変更、拡張し、このようなフレームワークで使用できる可能性があるため、オープンソースであるため、新しいエクスプロイトにお金を払ったり待つ必要がなく、作業がはるかに簡単になると思います。
有料版もありますが、無料版と、Ruby、Python、Perlのプログラミング知識があります...あなたには非常に便利な同僚がいます。
また、多くのMetasploitユーザーは可能性の10％または20％しか使用していないことにもコメントする必要があります。 私たちが開発している次の倫理的ハッキングコース（CHEE）では、Metasploitのトピック全体を取り上げ、ツールを最大限に活用する方法を学びます。

LA： Pythonは、別の無料ライセンス（PSFL）に基づくプログラミング言語であり、セキュリティセクターに非常に存在しています。 どうして？ 他の人の何が特別なのですか？

FS： Pythonには非常に大きな利点があり、それはそのライブラリです。 これらの使用と言語の習得の容易さは、侵入テストに基づくセキュリティ監査を実行するときに非常に役立つ小さなツールを実行できるようにするのに大いに役立ちます。
小さなPythonプログラムをnmap、nessusなどの他のプログラムと接続することもできます。これにより、ペネトレーションテストの作業をさらにスピードアップできます。
ペンテスターがこの言語を使用することが不可欠であると考えているため、1月XNUMX日に学生向けのコース、ペネトレーションテスト向けのPythonのコースを受講します。

LA： 最近、いくつかの重大な脆弱性がオープンソースプロジェクトやGNULinuxシステムを攻撃する他のマルウェアで検出されました。 AppleやMicrosoftなどのクローズドソフトウェアを販売する企業には、セキュリティを向上させるために自社のシステムを攻撃するセキュリティ監査人がいます。 オープンソースプロジェクト開発コミュニティは、この実践を促進することを検討すべきだと思いますか？

FS： ええと、Apache、Debian、Fedora、Ubuntuの監査人はいないと思います...別のことは、他の会社が請求するものを請求するということですが、大規模なディストリビューションにはこれに取り組んでいる人々がいることを理解しているので、存在します。 それらを持たないのは非論理的です。 私はまた、これらすべてが将来への賭けであると信じています。 問題は、AppleまたはWindowsが最終的に最も強力なオープンソースディストリビューションになるのかということです。

LA： SecuritySentinelのお客様に移りましょう。 この夏、私はOracleのエンジニアと話をしていましたが、彼は、Linuxで販売されるサーバーやスーパーコンピューターが増えて、自社のシステムであるSolarisが犠牲になり、毎日OracleLinuxと呼ばれるディストリビューションを使用していると話していました。 Linuxを使用している、またはWindowsに大きく依存している企業が増えていますか？

FS： この側面では、あなたはすべてを見つけます。
私のクライアントは現在、サーバーにWindowsよりも多くのLinuxを使用していますが、ユーザーのコンピューターは依然として90％がWindowsであり、非常に高い割合でXPを使用しています。

LA： 一部の政府や企業は、Linuxディストリビューションがもたらす可能性と利点のために、Linuxディストリビューションに移行しています。 安全に誘われた人もいます。 企業や組織にこの変更を行うように勧めますか？ TSSは、実装するセキュリティソリューションのいずれかについて無料のプロジェクトをアドバイスしていますか？

FS： 各クライアントのニーズに応じてアドバイスします。 Linuxにもっと関わってもらいたいのですが、ブランド名が重くなることもあります。
それでも、可能な場合はいつでも、Linuxサーバーの堅牢性、柔軟性、およびセキュリティについてアドバイスします。

LA： 多くのユーザーや企業はセキュリティに注意を払っていません。 それはどの程度悪い習慣であり、あなたは彼らにどのようなアドバイスをしますか？ 暴露される可能性があり、一般の認識を高めるために経験中に観察した深刻なケースについて教えてください。

FS： たくさんの？ ほとんど誰も。 私が彼らに最初にアドバイスすることは、基本的なコンピュータセキュリティ規制についての小さな意識向上コースを提供することです。
税務署でも、モニターにパスワードが付いたポストイットのユーザーを見つけました！
しかし、その場で、株式市場で証券を扱っている可能性のあるクライアント（ブローカー）での当社の小さなプレゼンテーションで、彼のオフィスからオペレーションディレクターの話を聞いて、叫ぶのを見るのは信じられないほどでしたコンピュータ科学者「私のBは何ですか...パスワード?? !!」
これを見た後でも、潜在的なクライアントは私たちを雇いませんでした...神は彼らが告白されたのを捕まえます！

LA： 今、あなたはハッキングとセキュリティに関するコースも教えています。 EC-Council CEH（Council Ethical Hacking）試験を自分で受け、かなり良いスコアでした。 「最善の防御は良い攻撃である」ということわざがありますが、これは前の質問を参考にして言います。 ユーザーにこのタイプのコースを受講するように勧めますか？

FS： 私は彼らに「乳頭炎」に焦点を合わせるのではなく、代わりに学ぶためのコースを受講することを勧めます。 私はあなたが名前を挙げたこのコースが好きではなかったので、私は自分でそれを勉強したので、そしてまた練習なしで、私たちのコースを練習に集中させます。 ただのタイトルです。 しかし、私たちの学生はインターンシップをすることによって「押しつぶされ」ます。 しかし、彼らはあなたに言います...
アスリートは毎日トレーニングする必要があります。 私達も。

LA： 多くの人がハッカーは悪い人だと信じています。 RAEでさえ、彼を彼の知識を使って悪いことをするハッカーと定義しています。 これを聞くのは悲しいことです。なぜなら、人々がサイバー犯罪者のことを考えないように、「倫理的ハッキング」のような用語を見ることさえ強制されているからです。 エリック・レイモンドは、「ハッカー」という用語を元の定義で擁護し、「クラッカー」を使用して「悪者」を指すことを提唱しています。 しかし、ハッカーに関する多数の映画やシリーズで評判が悪いハリウッドのプロパガンダマシンに直面して、何ができるか...セキュリティの専門家としてどう思いますか？

FS： 私は、ハッカーという言葉を、答えが見つかるまで執拗に調査するコンピューターの専門家だと考えています。 しかし、そこから犯罪まで...
もちろん、犯罪者でもある消防士がいる可能性があるため、犯罪者であるハッカーもいます。 しかし、XNUMX番目のケースで一般化されていないのと同じように、なぜ最初のケースでそれを行うのでしょうか。
つまり、RAEは、ハッカーという言葉をハッカーと呼ぶことに関しては、大きな無知を示していると思います。 ハリウッドのことは言うまでもなく良いです...

私はあなたがこれを好きだったと思います 私たちが提起したシリーズの最初のインタビュー 国内および国際的なシーンの重要人物に..。