Intervija ar Francisco Sanz: The Security Sentinel izpilddirektors

Security Sentinel (TSS) ir Spānijas uzņēmums, kas nodarbojas ar datoru drošību, tik daudz aizmirsts un tik svarīgs. TSS ir veltīts drošības revīziju veikšanai uzņēmumiem, pamatojoties uz ētikas uzlaušanas vai pentesta testiem, papildus drošības apmācības kursu nodrošināšanai.

Ļaunprātīga programmatūra un ievainojamība ir aktuāla tēma mūsu emuārā, īpaši saistībā ar jaunākajām ziņām par VENOM, Heartbleed un citām drošības problēmām, kas ietekmē GNU Linux. Tāpēc esam nolēmuši intervēt Francisco Sanz, TSS izpilddirektors kas mums dos dažas norādes par šo interesanto tēmu.

Fransisko (turpmāk FS) ir viens no TSS profesionāļiem. Viņš studēja datortehniku ​​Madrides autonomajā universitātē, lai vēlāk iegūtu biznesa vadības un mārketinga grādu ESIC, apgūtu Cisco CNNA, PHP un MySQL programmēšanas kursus, ētisko hakeru un nodotu EK Padomes CEH sertifikātu ar 91% klasifikāciju. / 100%.

LinuxAdictos: GNU Linux ir ļoti svarīga drošības jomā. Mūsu emuārā mēs esam runājuši par tādiem izplatījumiem kā Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop vai citiem, kas orientēti uz drošu pārlūkošanu un privātumu, piemēram, Tails un Whonix. Kurus savā ikdienas režīmā jūs izmantojat?

Fransisko Sancs: Atkarībā no veicamā darba ... piemēram, pentestingā es izmantoju savu izplatīšanu (TPS) ar pentesting rīkiem, kurus mēs izmantojam, bet, pamatojoties uz tiem, vajadzētu to darīt 7.

LA: Daudzi uzbrūk bezmaksas vai atvērtā pirmkoda programmatūrai, sakot, ka tā ir sliktas kvalitātes vai nedrošāka. Ko jūs teiktu šiem cilvēkiem? Vai jūs domājat, ka ir vieglāk uzbrukt GNU Linux vai FreeBSD mašīnai, jo tā ir atvērta pirmkoda, nevis ar Windows, jo tas ir patentēts kods, vai tas ir tieši pretēji?

FS: Miljonu dolāru jautājums. Vai arī parastais jautājums. Man sistēmu izveido nevis sistēma, bet cilvēks.
Pat ja tā būtu jāizlemj, es vienmēr teiktu: LINUX. Kāpēc? Ir daudz iemeslu, taču, lai nepaplašinātu, es jums saku, ka tā noklusējuma konfigurācija ir drošāka nekā Windows '; jūs varat arī padarīt to drošāku, izmantojot vairākas iespējas; būdams bezmaksas programmatūra, jūs varat izstrādāt, pārveidot vai paplašināt drošības pakalpojumus.
No otras puses, nav neviena izpildāmā faila, kas jūs tik viegli inficētu ar Trojas zirgiem.
Pat ja tā, šķiet, ka tagad Windows ir drošākais, pēc dažu publikāciju domām ... vai varbūt tas, kuram ir visvairāk naudas ... Es nezinu, vai es paskaidroju sevi. Šajā salīdzinājumā viņi nosauc 119 Linux kodola ievainojamības ... neprecizētas ... tomēr 248 parādās starp Windows sistēmām ... bet katrai Windows OS norādot zemāku summu ... tas ir ... nelielu skaitļu kopu. Daudz mārketinga;)

LA: Security Sentinel ir atvērtā pirmkoda projekta Rapid7 Metasploit partneris, tāpat kā daudzi citi, kurus izmanto pentestēšanai vai tiesu ekspertīzei. Tas ir labs piemērs, kas skaidri parāda to, ko mēs pieminējām iepriekšējā jautājumā. Vai tu nedomā

FS: Nu, Metasploit (Rapid7) ir pavadījis daudzus gadus, ieguldot laiku visu veidu sistēmu bojājumu izmantošanas attīstībā.
Es domāju, ka iespēja, ka jūs varat attīstīt, pārveidot vai paplašināt ekspluatācijas mērķus un spēt to izmantot ar šādu sistēmu, nemaksājot vai negaidot jaunus ekspluatācijas gadījumus, būdams atvērts avots, ievērojami atvieglo jūsu darbu.
Lai gan ir apmaksāta versija, ar bezmaksas versiju un programmēšanas zināšanām rubīnā, Python, perl ... jums ir ļoti, ļoti noderīgs kolēģis.
Man arī jāteic, ka daudzi Metasploit lietotāji izmanto tikai 10 vai 20% no savām iespējām. Nākamajā ētiskā hakeru kursā, kuru mēs izstrādājam (CHEE), mums ir visa Metasploit tēma, kurā mēs iemācīsim pilnībā izmantot rīku.

LA: Python ir programmēšanas valoda ar citu bezmaksas licenci (PSFL) un kuru jūs ļoti labi pārstāvat drošības nozarē. Kāpēc? Kas ir īpašs pārējos?

FS: Python ir ļoti lielas priekšrocības, un tās ir tās bibliotēkas. To izmantošana un valodas iemācīšanās vieglums jums ļoti palīdz veikt nelielus rīkus, kas ir ļoti noderīgi, veicot drošības auditu, kura pamatā ir pentestēšana.
Jūs varat arī savienot nelielas Python programmas ar citām, piemēram, nmap, nessus utt., Un tas jums vēl vairāk palīdz paātrināt pentesta darbu.
Mēs 1. jūnijā apmeklējam kursu saviem studentiem, Python - pentesteriem, jo ​​uzskatām, ka pentesterim ir svarīgi lietot šo valodu.

LA: Pēdējā laikā atklātā pirmkoda projektos un dažās citās ļaunprogrammatūrās, kas uzbrūk GNU Linux sistēmām, ir atklātas dažas kritiskas ievainojamības. Uzņēmumiem, kas pārdod slēgtu programmatūru, piemēram, Apple un Microsoft, ir drošības auditori, kuri uzbrūk savām sistēmām, lai uzlabotu drošību. Vai jūs domājat, ka atklātā pirmkoda projektu izstrādes kopienai būtu jāapsver šīs prakses popularizēšana?

FS: Nu, jūs domājat, ka nav Apache, Debian, Fedora, Ubuntu auditoru ... cita lieta ir tā, ka viņi iekasē to, ko iekasē citas firmas, bet ir, viņi pastāv, jo es saprotu, ka lielajos izplatījumos cilvēki strādā pie šī. Būtu neloģiski, ja viņiem nebūtu. Es arī uzskatu, ka tas viss ir likme uz nākotni. Problēma ir tā, vai Apple vai Windows galu galā būs visspēcīgākie atvērtā koda izplatītāji?

LA: Pārejam pie The Security Sentinel klientiem. Šovasar es tērzēju ar Oracle inženieri, un viņš man teica, ka arvien vairāk serveru un superdatoru tiek pārdoti kopā ar Linux, kaitējot viņu pašu sistēmai Solaris un ka viņi pat savā darbā katru dienu izmanto izplatīšanu ar nosaukumu Oracle Linux. Vai atrodat arvien vairāk uzņēmumu, kas izmanto Linux vai joprojām ir ļoti atkarīgi no Windows?

FS: Šajā aspektā jūs atrodat visu.
Mani klienti tagad serveriem izmanto vairāk Linux nekā Windows, taču lietotāju datori joprojām ir 90% Windows un ļoti liela daļa joprojām izmanto XP !!!

LA: Dažas valdības vai uzņēmumi pāriet uz Linux izplatīšanu to sniegto iespēju un priekšrocību dēļ. Dažus vilina drošība. Vai jūs mudinātu uzņēmumus un organizācijas veikt šīs izmaiņas? Vai TSS konsultē bezmaksas projektus par jebkuru no jūsu ieviestajiem drošības risinājumiem?

FS: Mēs konsultējam atkarībā no katra klienta vajadzībām. Es gribētu, lai cilvēki vairāk iesaistītos Linux, taču dažreiz zīmola nosaukums sver daudz.
Pat ja tā, mēs, kad vien varam, konsultējam Linux serverus par to izturību, elastību un drošību.

LA: Daudzi lietotāji vai uzņēmumi nepievērš uzmanību drošībai. Cik lielā mērā tā ir slikta prakse un kādu padomu jūs viņiem sniegtu? Pastāstiet mums par nopietnu gadījumu, kas var tikt atklāts un ko esat novērojis savas pieredzes laikā, lai palielinātu sabiedrības informētību.

FS: Daudz? Gandrīz neviens. Pirmā lieta, ko es viņiem iesaku, būtu organizēt nelielu izpratnes kursu par pamata datoru drošības noteikumiem.
Pat Nodokļu aģentūrā monitorā esmu atradis lietotājus ar post-it ar paroli!
Bet bija neticami redzēt uz vietas, nelielā mūsu uzņēmuma prezentācijā iespējamajā klientā, kas ir arī uzņēmums, kas spēlē ar vērtspapīriem biržā (brokeri), klausās operāciju direktoru no sava biroja, kliegt datorzinātnieks "KAS IR MANS B ... PAROLE ?? !!"
Pat to redzot, potenciālais klients mūs nepieņēma darbā ... Dievs viņus noķer, viņi atzīstas!

LA: Tagad jūs pasniedzat arī hakeru un drošības kursus. Jūs pats kārtojāt EK un Padomes CEH (Council Ethical Hacking) eksāmenu un ar diezgan labu rezultātu. Ir teiciens, ka "labākā aizsardzība ir labs pārkāpums", es to saku, atsaucoties uz iepriekšējo jautājumu. Vai jūs mudinātu lietotājus apmeklēt šāda veida kursus?

FS: Es aicinātu viņus nekoncentrēties uz "titulītu", bet gan uz kursu apguvi, lai mācītos. Mēs koncentrējamies uz kursiem uz praksi, jo man nepatika šis kurss, kuru tu nosauci, jo es to mācījos pats un arī bez prakses. Tas ir tikai nosaukums. Tomēr mūsu studenti tiek "saspiesti", veicot praksi. Bet viņi tev saka ...
Sportistam jātrenējas katru dienu. Mēs arī.

LA: Daudzi uzskata, ka hakeris ir slikts cilvēks. Pat RAE viņu definē kā hakeru, kurš savas zināšanas izmanto sliktu lietu izdarīšanai. Ir skumji to dzirdēt, jo tas pat ir licis redzēt tādus terminus kā “ētiska uzlaušana”, lai cilvēki nedomātu par kibernoziedznieku. Ēriks Reimonds aizstāv terminu "hakeris" ar sākotnējo definīciju un iestājas par "krekinga" izmantošanu, lai apzīmētu "sliktos puišus". Bet, ņemot vērā Holivudas propagandas mašīnu, kas arī ir radījusi sliktu reputāciju ar daudzām filmām un seriāliem par hakeriem, ko var darīt ... Ko jūs domājat kā drošības eksperts?

FS: Es uzskatu vārdu hakeris par datorspeciālistu, kurš dažreiz uzmācīgi pēta, līdz atrod savu atbildi. Bet no turienes līdz noziedzībai ...
Protams, ir hakeri, kas ir noziedznieki, jo var būt ugunsdzēsēji, kas arī ir noziedznieki. Bet tāpat kā otrajā gadījumā tas nav vispārināts, kāpēc to darīt pirmajā gadījumā?
Īsāk sakot, es domāju, ka RAE izrāda lielu nezināšanu, kad vārdu hakeri sauc par hakeriem. Holivudas lieta ir labāk to neminēt ...

Es ceru, ka jums tas patika pirmā mūsu izvirzītā sērijas intervija nozīmīgām personām valsts un starptautiskajā arēnā ...