Francisco Sanz와의 인터뷰 : The Security Sentinel의 CEO

Security Sentinel (TSS)은 컴퓨터 보안에 전념하는 스페인 회사입니다. 많은 사람들이 너무 잊고 중요합니다. TSS 보안 교육 과정을 제공하는 것 외에도 윤리적 해킹 또는 침투 테스트를 기반으로 기업에 보안 감사를 수행하는 데 전념합니다.

악성 코드와 취약성은 블로그에서 특히 VENOM, Heartbleed 및 GNU Linux에 영향을 미치는 기타 보안 문제에 대한 최신 뉴스와 함께 뜨거운 주제입니다. 그것이 우리가 인터뷰하기로 결정한 이유입니다 TSS의 CEO, Francisco Sanz 이 흥미로운 주제에 대한 단서를 제공 할 것입니다.

Francisco (지금부터 FS)는 TSS 전문가 중 한 명입니다.. 그는 마드리드 자치 대학교에서 컴퓨터 공학을 전공하여 나중에 ESIC에서 경영 및 마케팅 학위를 취득하고, Cisco CNNA, PHP 및 MySQL 프로그래밍 과정을 수강하고, 윤리적 해킹을 수강하고, 등급 91 %로 EC-Council의 CEH 인증서를 통과했습니다. / 100 %.

LinuxAdictos: GNU Linux는 보안 분야에서 매우 중요합니다. 블로그에서 Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop 또는 Tails 및 Whonix와 같은 안전한 브라우징 및 개인 정보 보호를 지향하는 다른 배포판에 대해 이야기했습니다. 당신의 일상에서 어떤 것을 사용합니까?

Francisco Sanz : 수행 할 작업에 따라 ... 예를 들어, 침투 테스트에서는 우리가 사용하는 침투 테스트 도구와 함께 자체 배포 (TPS)를 사용하지만,이를 기반으로 7을해야합니다.

LA : 많은 사람들이 공격이 없거나 오픈 소스 소프트웨어가 품질이 낮거나 안전하지 않다고 말합니다. 이 사람들에게 무엇을 말 하시겠습니까? GNU Linux 또는 FreeBSD 시스템이 독점 코드이기 때문에 Windows가있는 시스템보다 오픈 소스이기 때문에 공격하는 것이 더 쉽다고 생각합니까, 아니면 그 반대입니까?

FS : 백만 달러짜리 질문. 또는 일반적인 질문. 저에게는 시스템이 아니라 시스템을 설정하는 사람입니다.
그래도 결정해야한다면 항상 LINUX라고 말할 것입니다. 왜? 여러 가지 이유가 있지만 확장하지 않는 경우 기본 구성이 Windows보다 더 안전하다고 말할 것입니다. '; 여러 옵션을 사용하여 더 안전하게 만들 수도 있습니다. 자유 소프트웨어이므로 보안 서비스를 개발, 수정 또는 확장 할 수 있습니다.
반면에 트로이 목마를 쉽게 감염시킬 수있는 실행 파일은 없습니다.
그럼에도 불구하고 일부 출판물에 따르면 이제 Windows가 가장 안전한 것 같습니다 ... 또는 아마도 가장 많은 돈을 가진 사람 ... 내가 스스로 설명하는지 모르겠습니다 . 이 비교에서 그들은 119 개의 리눅스 커널 취약성 ... 미지정 ... 그러나 248 개는 Windows 시스템에 나타납니다 ... 그러나 각 Windows OS에 대해 더 낮은 양을 지정합니다 ... 즉 ... 소수의 숫자입니다. 많은 마케팅;)

LA : Security Sentinel은 침투 테스트 또는 포렌식 분석에 사용되는 다른 많은 프로젝트와 마찬가지로 오픈 소스 프로젝트 인 Rapid7 Metasploit 프로젝트의 파트너입니다. 이전 질문에서 언급 한 내용을 명확하게 보여주는 좋은 예입니다. 당신은 생각하지 않습니까?

FS : 음, Metasploit (Rapid7)은 모든 종류의 시스템을 손상시키는 익스플로잇 개발에 오랜 시간을 투자했습니다.
익스플로잇의 목표를 개발, 수정 또는 확장 할 수 있고 새로운 익스플로잇을 기다릴 필요없이 이와 같은 프레임 워크와 함께 사용할 수있는 가능성이 오픈 소스이기 때문에 작업이 훨씬 쉬워 진다고 생각합니다.
유료 버전이 있지만 무료 버전과 Ruby, Python, Perl에 대한 프로그래밍 지식을 갖춘 매우 유용한 동료가 있습니다.
또한 많은 Metasploit 사용자가 가능성의 10 ~ 20 % 만 사용한다고 언급해야합니다. 우리가 개발하고있는 다음 윤리적 해킹 과정 (CHEE)에서는 Metasploit에 대한 전체 주제가 있으며, 여기서 도구를 최대한 사용하는 방법을 가르 칠 것입니다.

LA : Python은 다른 무료 라이선스 (PSFL)에 따른 프로그래밍 언어이며 보안 분야에서 매우 많이 사용하고 있습니다. 왜? 다른 사람의 특별한 점은 무엇입니까?

FS : Python은 매우 큰 장점이 있으며 라이브러리입니다. 이들의 사용과 언어 학습의 용이성은 침투 테스트를 기반으로 한 보안 감사를 수행 할 때 매우 유용한 작은 도구를 수행하는 데 많은 도움이됩니다.
또한 작은 Python 프로그램을 nmap, nessus 등과 같은 다른 프로그램과 연결할 수 있으며 이는 펜 테스터의 작업 속도를 더욱 높이는 데 도움이됩니다.
우리는 펜 테스터가이 언어를 사용하는 것이 필수적이라고 믿기 때문에 1 월 XNUMX 일에 학생들을위한 과정, 침투 테스터를위한 Python을 수강합니다.

LA : 최근에 오픈 소스 프로젝트와 GNU Linux 시스템을 공격하는 다른 맬웨어에서 몇 가지 중요한 취약점이 발견되었습니다. Apple 및 Microsoft와 같은 폐쇄 형 소프트웨어를 판매하는 회사에는 보안을 개선하기 위해 자체 시스템을 공격하는 보안 감사자가 있습니다. 오픈 소스 프로젝트 개발 커뮤니티가이 관행을 홍보하는 것을 고려해야한다고 생각하십니까?

FS : 음, 아파치, 데비안, 페도라, 우분투에 대한 감사자가 없다고 생각합니다. 또 다른 한 가지는 그들이 다른 회사가 청구하는 것을 청구한다는 것입니다.하지만 존재합니다. 큰 배포판에는이 작업을하는 사람들이 있다는 것을 이해합니다. . 그것들을 가지지 않는 것은 비논리적입니다. 나는 또한이 모든 것이 미래를위한 내기라고 믿습니다. 문제는 애플이나 윈도우가 결국 가장 강력한 오픈 소스 배포판이 될까요?

LA : Security Sentinel 고객으로 이동하겠습니다. 이번 여름에 Oracle 엔지니어와 채팅을했는데 그는 점점 더 많은 서버와 슈퍼 컴퓨터가 Linux와 함께 판매되어 자체 시스템 인 Solaris를 손상시키고 있으며 매일 작업에 Oracle Linux라는 배포판을 사용한다고 말했습니다. Linux를 사용하거나 여전히 Windows에 많이 의존하는 회사를 점점 더 많이 찾고 있습니까?

FS : 이 측면에서 모든 것을 찾습니다.
내 클라이언트는 이제 Windows보다 서버에 더 많은 Linux를 사용하지만 사용자 컴퓨터는 여전히 Windows 90 %이고 매우 높은 비율은 여전히 ​​XP를 사용합니다 !!!

LA : 일부 정부 또는 회사는 가능성과 이점으로 인해 Linux 배포로 마이그레이션하고 있습니다. 일부는 안전에 끌립니다. 회사와 조직이 이러한 변화를하도록 장려 하시겠습니까? TSS는 구현하는 보안 솔루션에 대해 무료 프로젝트를 조언합니까?

FS : 각 고객의 요구에 따라 조언합니다. 사람들이 Linux에 더 많이 참여하기를 원하지만 때로는 브랜드 이름이 무겁습니다.
그럼에도 불구하고 우리는 가능할 때마다 Linux 서버의 견고성, 유연성 및 보안에 대해 조언합니다.

LA : 많은 사용자 또는 회사가 보안에주의를 기울이지 않습니다. 어느 정도까지 나쁜 습관이며 그들에게 어떤 조언을 하시겠습니까? 노출 될 수있는 심각한 사례와 대중의 인식을 높이기 위해 경험하는 동안 관찰 한 사례에 대해 알려주십시오.

FS : 많은? 거의 아무도. 내가 그들에게 가장 먼저 조언하는 것은 기본적인 컴퓨터 보안 규정에 대한 작은 인식 과정을 제공하는 것입니다.
세무사에서도 모니터에 비밀번호가있는 포스트잇 사용자를 찾았습니다!
그러나 가능한 고객에게 우리 회사의 작은 프레젠테이션에서 현장을 보는 것은 놀랍습니다. 또한 주식 시장 (브로커)에서 증권을 다루는 회사이기도합니다. 그의 사무실에서 운영 책임자의 말을 듣고 컴퓨터 과학자 "WHAT IS MY B ... A PASSWORD ?? !!"
이것을 본 후에도 잠재 고객은 우리를 고용하지 않았습니다 ... 하나님이 그들을 고백했습니다!

LA : 이제 해킹 및 보안에 대한 과정도 가르칩니다. EC-Council CEH (Council Ethical Hacking) 시험을 직접 보셨으며 꽤 좋은 점수를 받았습니다. “최선의 수비는 좋은 공격이다”라는 말이 있는데, 나는 앞의 질문을 참고로 이것을 말한다. 사용자가 이러한 유형의 과정을 수강하도록 장려 하시겠습니까?

FS : 나는 당신이 "간 질염"에 초점을 맞추지 말고 배우기위한 과정을 수강하는 것을 권장합니다. 우리는 연습에 중점을 둡니다. 왜냐하면 나는 당신이 명명 한이 과정이 마음에 들지 않았기 때문입니다. 왜냐하면 내가 직접 공부했고 또한 연습없이 공부했기 때문입니다. 제목 일뿐입니다. 그러나 우리 학생들은 연습을 "분쇄"합니다. 그러나 그들은 당신에게 말합니다 ...
운동 선수는 매일 훈련해야합니다. 또한 우리.

LA : 많은 사람들은 해커가 나쁜 사람이라고 생각합니다. RAE조차도 그를 자신의 지식을 사용하여 나쁜 일을하는 해커로 정의합니다. 사람들이 사이버 범죄자를 생각하지 않도록 "윤리적 해킹"과 같은 용어를 보도록 강요했기 때문에이 말을 듣게되어 슬프다. Eric Reymond는 원래 정의로 "해커"라는 용어를 옹호하고 "악당"을 지칭하기 위해 "크래커"를 사용하는 것을 옹호합니다. 하지만 해커에 관한 수많은 영화와 시리즈로 나쁜 평판을 만들어 낸 헐리우드의 선전 기계에 직면했을 때 어떻게해야할까요 ... 보안 전문가로서 어떻게 생각하세요?

FS : 나는 해커라는 단어를 때때로 그가 답을 찾을 때까지 집착 적으로 조사하는 컴퓨터 전문가라고 생각합니다. 그러나 거기에서 범죄까지 ...
물론 범죄자 인 해커도 있고, 범죄자 인 소방관도있을 수 있습니다. 그러나 두 번째 경우에서 일반화되지 않은 것처럼 왜 첫 번째 경우에서 수행됩니까?
요컨대, RAE는 해커라는 단어를 해커라고 부를 때 큰 무지를 보인다고 생각합니다. 할리우드는 언급하지 않는 것이 좋습니다 ...

나는 당신이 좋아하기를 바랍니다 우리가 모은 시리즈의 첫 번째 인터뷰 국내 및 국제 현장의 중요한 인물에게 ...