„Security Sentinel“ (TSS) yra Ispanijos kompanija, užsiimanti kompiuterių saugumu, taip daugelio pamiršta ir tokia svarbi. PSD yra skirtas atlikti saugumo auditą įmonėms, pagrįstas etikos įsilaužimo ar „pentesting“ testais, be to, rengia saugumo kursus.
Kenkėjiškos programos ir pažeidžiamumas yra aktuali tema mūsų tinklaraštyje, ypač su naujausiomis naujienomis apie VENOM, „Heartbleed“ ir kitas saugumo problemas, turinčias įtakos „GNU Linux“. Štai kodėl nusprendėme interviu Francisco Sanz, TSS generalinis direktorius kurie suteiks mums keletą užuominų šia įdomia tema.
Francisco (nuo šiol FS) yra vienas iš TSS profesionalų. Jis studijavo kompiuterių inžineriją Madride autonominiame universitete, kad vėliau baigtų komercijos vadybą ir rinkodarą ESIC, išklausė Cisco CNNA, PHP ir MySQL programavimo kursus, etinį įsilaužimą ir išlaikė EB Tarybos CEH sertifikatą, kurio klasifikacija 91% / 100 %.
LinuxAdictos: GNU Linux yra labai svarbus saugumo srityje. Savo tinklaraštyje kalbėjome apie tokius platinimus kaip „Santoku“, „Kali“, „BugTraq“, „Xiaopan“, „Parrot OS“, „WiFislax“, „DEFT“, „Backbox“, „IPCop“ ar kitus, orientuotus į saugų naršymą ir privatumą, tokius kaip „Tails“ ir „Whonix“. Kokias naudojate kasdienėje rutinoje?
Pranciškus Sanchezas: Priklausomai nuo atliktino darbo ... pavyzdžiui, pentestuodamas naudoju savo platinimą (TPS) naudodamas pentestavimo įrankius, kuriuos naudojame, bet pagal tai jie turėtų 7.
LA: Daugelis atakuoja nemokamą ar atviro kodo programinę įrangą sakydami, kad ji yra prastos kokybės ar nesaugesnė. Ką galėtumėte pasakyti šiems žmonėms? Ar manote, kad lengviau užpulti GNU „Linux“ ar „FreeBSD“ mašiną, nes ji yra atviro kodo, nei „Windows“, nes tai yra nuosavybės kodas, ar yra priešingai?
FS: Milijono dolerių klausimas. Arba įprastas klausimas. Man tai sukuria ne sistema, o žmogus.
Nepaisant to, jei turėčiau apsispręsti, visada sakyčiau „LINUX“. Kodėl? Yra daugybė priežasčių, tačiau nesiplečiant pasakyčiau, kad numatytoji jos konfigūracija yra saugesnė nei „Windows“; taip pat galite padaryti jį saugesnį turėdami kelias parinktis; būdami nemokama programine įranga, galite kurti, modifikuoti ar išplėsti saugos paslaugas.
Kita vertus, nėra vykdomųjų, kurie jus taip lengvai užkrėstų Trojos arklys.
Nepaisant to, atrodo, kad dabar, kai kurių publikacijų duomenimis, „Windows“ yra saugiausia ... o gal turinti daugiausiai pinigų ... Aš nežinau, ar aš pats paaiškinu. Šiame palyginime jie įvardija 119 „Linux“ branduolio pažeidžiamumų ... nenurodyti ... tačiau tarp „Windows“ sistemų atsiranda 248 ... tačiau kiekvienai „Windows“ operacinei sistemai nurodant mažesnę sumą ... tai yra ... mažas skaičių rinkinys. Daug rinkodaros;)
LA: „Security Sentinel“ yra atvirojo kodo projekto „Rapid7 Metasploit“ partneris, kaip ir daugelis kitų, naudojamų pentestavimui ar teismo ekspertizei. Tai yra geras pavyzdys, kuris aiškiai parodo, ką paminėjome ankstesniame klausime. Nemanai?
FS: Na, „Metasploit“ („Rapid7“) daugelį metų praleido investuodamas į visų rūšių sistemų pažeidimų išnaudojimo plėtrą.
Manau, kad galimybė kurti, modifikuoti ar išplėsti išnaudojimo tikslus ir sugebėti jį naudoti naudojant tokią sistemą, nereikalaujant mokėti ar laukiant naujų išnaudojimų, būnant atviro kodo, labai palengvina jūsų darbą.
Nors yra mokama versija, su nemokama ir programavimo žiniomis ruby, Python, perl ... turite labai labai naudingą bendradarbį.
Taip pat turiu pakomentuoti, kad daugelis „Metasploit“ vartotojų naudojasi tik 10 arba 20% savo galimybių. Kituose mūsų rengiamuose etinio įsilaužimo kursuose (CHEE) turime visą „Metasploit“ temą, kurioje mokysime, kaip iki galo naudotis šia priemone.
LA: „Python“ yra programavimo kalba, turinti kitą nemokamą licenciją (PSFL) ir kurią jūs labai naudojate saugos sektoriuje. Kodėl? Kuo ypatingi kiti?
FS: „Python“ turi labai didelį pranašumą ir tai yra jo bibliotekos. Jų naudojimas ir paprastas kalbos mokymasis labai padeda mokėti atlikti mažus įrankius, kurie yra labai naudingi atliekant saugumo auditą, pagrįstą pentesting.
Taip pat galite prijungti mažas „Python“ programas su kitomis, pvz., „Nmap“, „Nessus“ ir pan., Ir tai dar labiau padeda pagreitinti pentesterio darbą.
Birželio 1 d. Mes einame į kursą savo studentams, „Python“ - pentesteriams, nes manome, kad pentesteriui būtina vartoti šią kalbą.
LA: Pastaruoju metu kai kurie kritiniai pažeidžiamumai buvo aptikti atvirojo kodo projektuose ir kai kuriose kitose kenkėjiškose programose, kurios atakuoja GNU Linux sistemas. Įmonės, kurios parduoda uždarą programinę įrangą, tokios kaip „Apple“ ir „Microsoft“, turi saugumo auditorių, kurie puola savo sistemas, kad pagerintų saugumą. Ar manote, kad atvirojo kodo projektų vystymo bendruomenė turėtų apsvarstyti galimybę skatinti šią praktiką?
FS: Na, jūs manote, kad nėra „Apache“, „Debian“, „Fedora“, „Ubuntu“ auditorių ... kitas dalykas yra tas, kad jie ima tai, ką ima kitos firmos, tačiau yra, jie egzistuoja, nes aš suprantu, kad dideliuose paskirstymuose dirba žmonės. Būtų nelogiška jų neturėti. Taip pat manau, kad visa tai yra statymas ateičiai. Problema ta, ar „Apple“ ar „Windows“ galiausiai taps galingiausiais atvirojo kodo platintojais?
LA: Pereikime prie „The Security Sentinel“ klientų. Šią vasarą kalbėjausi su „Oracle“ inžinieriumi ir jis man pasakė, kad vis daugiau serverių ir superkompiuterių parduodama su „Linux“, kenkiant jų pačių sistemai „Solaris“ ir kad savo darbui jie kasdien naudoja net platinimą, vadinamą „Oracle Linux“. Ar randate vis daugiau įmonių, kurios naudojasi „Linux“ ar vis dar labai priklauso nuo „Windows“?
FS: Šiuo aspektu rasite viską.
Mano klientai dabar serveriams naudoja daugiau „Linux“ nei „Windows“, tačiau vartotojų kompiuteriai vis dar yra 90% „Windows“ ir labai didelis procentas vis dar naudoja XP!
LA: Kai kurios vyriausybės ar įmonės pereina prie „Linux“ platinimo dėl savo teikiamų galimybių ir pranašumų. Kai kuriuos suviliojo saugumas. Ar paskatintumėte įmones ir organizacijas atlikti šį pakeitimą? Ar TSS konsultuoja nemokamus projektus dėl bet kurio jūsų įdiegto saugos sprendimo?
FS: Mes patariame atsižvelgdami į kiekvieno kliento poreikius. Norėčiau, kad žmonės labiau įsitrauktų į „Linux“, tačiau kartais prekės ženklas labai sveria.
Nepaisant to, mes, kai tik galime, patariame „Linux“ serveriams jų patikimumą, lankstumą ir saugumą.
LA: Daugelis vartotojų ar kompanijų nekreipia dėmesio į saugumą. Kiek tai yra bloga praktika ir ką patartumėte jiems? Papasakokite apie rimtą atvejį, kuris gali būti atskleistas ir kurį pastebėjote per savo patirtį, kad padidintumėte visuomenės sąmoningumą.
FS: Daug? Beveik niekas. Pirmas dalykas, kurį aš jiems patarčiau, būtų surengti nedidelį informuotumo kursą apie pagrindines kompiuterio saugumo taisykles.
Net Mokesčių agentūroje radau vartotojų, turinčių „post-it“ su savo slaptažodžiu monitoriuje!
Bet buvo neįtikėtina matyti vietoje, mažame mūsų įmonės pristatyme apie galimą klientą, kuris taip pat yra įmonė, kuri vertybinių popierių biržoje žaidžia (brokeriai), klausosi operacijos direktoriaus iš savo biuro, šaukia informatikas "KAS YRA MANO B ... ATSIŽODIS ?? !!"
Net tai pamatęs potencialus klientas mūsų nesamdė ... Dieve, pagauk juos, prisipažinus!
LA: Dabar jūs taip pat skaitote įsilaužimų ir saugumo kursus. Jūs pats laikėte EB ir Tarybos CEH (Tarybos etinio įsilaužimo) egzaminą ir gavote gana gerą įvertinimą. Yra sakoma, kad „geriausia gynyba yra geras puolimas“, sakau tai remdamasis ankstesniu klausimu. Ar paskatintumėte vartotojus rinktis tokio tipo kursus?
FS: Raginčiau juos nesusitelkti ties „titulitu“, o mokytis kursuose. Mes orientuojamės į kursus į praktiką, nes man nepatiko šis kursas, kurį jūs įvardijote, nes aš jį mokiausi savarankiškai ir be praktikos. Tai tik pavadinimas. Tačiau mūsų studentai yra „sutriuškinti“ praktikuodami. Bet jie jums sako ...
Sportininkas privalo treniruotis kiekvieną dieną. Mes taip pat.
LA: Daugelis mano, kad įsilaužėlis yra blogas žmogus. Net RAE apibrėžia jį kaip įsilaužėlį, kuris savo žinias naudoja blogiems dalykams. Liūdna tai girdėti, nes tai netgi privertė matyti tokius terminus kaip „etinis įsilaužimas“, kad žmonės negalvotų apie kibernetinį nusikaltėlį. Ericas Reymondas gina terminą „įsilaužėlis“ pagal pradinę apibrėžtį ir pasisako už „blogio“ vartojimą vartojant „cracker“. Tačiau Holivudo propagandos mašinų akivaizdoje, kuri taip pat sukūrė blogą reputaciją daugybe filmų ir serialų apie įsilaužėlius, ką galima padaryti ... Ką manote kaip saugumo ekspertas?
FS: Žodį „įsilaužėlis“ laikau kompiuterių specialistu, kuris kartais įkyriai tiria, kol randa savo atsakymą. Bet nuo to iki nusikalstamumo ...
Žinoma, yra įsilaužėlių, kurie yra nusikaltėliai, nes gali būti ir ugniagesių, kurie taip pat yra nusikaltėliai. Bet kaip tai nėra apibendrinta antruoju atveju, kodėl tai daroma pirmuoju?
Trumpai tariant, manau, kad RAE rodo didžiulį neišmanymą, kai reikia pavadinti hakerį kaip įsilaužėlį. Holivudo dalyko geriau jo neminėti ...
Tikiuosi, kad tau tai patiko pirmasis mūsų iškeltas serialo interviu svarbiems šalies ir tarptautinės arenos veikėjams ...
Visai įdomus interviu, taip ir toliau. linuxadictos.com
Noriu prisijungti prie šios organizacijos