Temu ramah dengan Francisco Sanz: Ketua Pegawai Eksekutif The Security Sentinel

The Security Sentinel (TSS) adalah syarikat Sepanyol yang khusus untuk keselamatan komputer, begitu dilupakan oleh banyak dan sangat penting. TSS didedikasikan untuk melakukan audit keselamatan kepada syarikat, berdasarkan peretasan etika atau ujian pentesting, selain menyediakan kursus latihan keselamatan.

Perisian hasad dan kerentanan adalah topik hangat di blog kami dan terutama dengan berita terkini mengenai VENOM, Heartbleed, dan masalah keselamatan lain yang mempengaruhi GNU Linux. Itulah sebabnya kami memutuskan untuk menemu ramah Francisco Sanz, Ketua Pegawai Eksekutif TSS yang akan memberi kita petunjuk mengenai topik menarik ini.

Francisco (FS mulai sekarang) adalah salah seorang profesional TSS. Dia belajar kejuruteraan komputer di Autonomous University of Madrid untuk lulus dalam pengurusan komersial dan pemasaran di ESIC, mengikuti kursus pengaturcaraan Cisco CNNA, PHP dan MySQL, penggodaman etika dan lulus sijil CEH dari EC-Council dengan klasifikasi 91% / 100 %.

LinuxAdictos: GNU Linux sangat penting dalam bidang keselamatan. Di blog kami, kami telah membincangkan mengenai pengedaran seperti Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop, atau yang lain yang berorientasi pada penyemakan imbas dan privasi yang selamat, seperti Tails dan Whonix. Dalam rutin harian anda, mana yang anda gunakan?

Francis Sanchez: Bergantung pada kerja yang akan dilakukan ... sebagai contoh, dalam pentesting saya menggunakan taburan saya sendiri (TPS) dengan alat pentesting yang kami gunakan, tetapi berdasarkan 7.

THE: Banyak perisian sumber terbuka atau terbuka yang mengatakan bahawa ia tidak berkualiti atau lebih selamat. Apa yang akan anda katakan kepada orang-orang ini? Adakah anda fikir lebih mudah menyerang mesin GNU Linux atau FreeBSD kerana ia adalah sumber terbuka daripada satu dengan Windows kerana ia adalah kod proprietari, atau sebaliknya?

FS: Soalan juta dolar. Atau soalan biasa. Bagi saya ini bukan sistem, tetapi orang yang mengatur sistem.
Walaupun begitu, jika saya mesti membuat keputusan, saya selalu mengatakan LINUX. Kenapa? Terdapat banyak sebab, tetapi kerana tidak berkembang, saya akan memberitahu anda bahawa konfigurasi lalainya lebih selamat daripada Windows '; anda juga boleh menjadikannya lebih selamat dengan mempunyai banyak pilihan; sebagai perisian percuma, anda boleh mengembangkan, mengubah atau memperluas perkhidmatan keselamatan.
Sebaliknya, tidak ada yang boleh dilaksanakan untuk menjangkiti anda dengan Trojan dengan mudah.
Walaupun begitu, nampaknya sekarang Windows adalah yang paling selamat, menurut beberapa penerbitan ... atau mungkin, yang paling banyak wangnya ... Saya tidak tahu sama ada saya menjelaskan sendiri . Dalam perbandingan ini, mereka menamakan 119 kerentanan kernel Linux ... tidak ditentukan ... namun, 248 muncul di antara sistem Windows ... tetapi menentukan jumlah yang lebih rendah untuk setiap OS Windows ... iaitu ... sejumlah kecil. Banyak pemasaran;)

THE: Security Sentinel adalah rakan kongsi projek Rapid7 Metasploit, projek sumber terbuka, seperti banyak yang lain digunakan untuk pentesting atau analisis forensik. Ini adalah contoh yang baik yang menjelaskan apa yang telah kita sebutkan dalam soalan sebelumnya. Tidakkah anda berfikir

FS: Nah, Metasploit (Rapid7), telah menghabiskan bertahun-tahun melabur masa dalam pengembangan eksploitasi untuk merosakkan sistem dari semua jenis.
Saya berpendapat bahawa kemungkinan anda dapat mengembangkan, mengubah atau memperluas objektif eksploitasi dan dapat menggunakannya dengan kerangka seperti ini, tanpa perlu membayar atau menunggu eksploitasi baru, menjadi sumber terbuka, menjadikan pekerjaan anda lebih mudah.
Walaupun ada versi berbayar, dengan yang percuma dan dengan pengetahuan pengaturcaraan di ruby, Python, perl ... anda mempunyai rakan sekerja yang sangat berguna.
Saya juga harus memberi komen bahawa banyak pengguna Metasploit hanya menggunakan 10 atau 20% kemungkinannya. Dalam kursus Peretasan Etika seterusnya yang sedang kami kembangkan (CHEE), kami mempunyai keseluruhan topik untuk Metasploit, di mana kami akan mengajar bagaimana menggunakan alat ini sepenuhnya.

THE: Python adalah bahasa pengaturcaraan di bawah lesen percuma lain (PSFL) dan yang anda miliki sangat jelas dalam sektor keselamatan. Kenapa? Apa yang istimewa tentang orang lain?

FS: Python mempunyai kelebihan yang sangat besar dan ia adalah perpustakaannya. Penggunaan ini dan kemudahan belajar bahasa banyak membantu anda untuk dapat melaksanakan alat kecil yang sangat berguna ketika melakukan audit keselamatan berdasarkan pentesting.
Anda juga boleh menghubungkan program Python kecil dengan yang lain seperti nmap, nessus dan lain-lain ... dan ini dapat membantu anda untuk mempercepat kerja pentester.
Kami mengikuti kursus pada 1 Jun untuk pelajar kami, Python untuk pentesters, kerana kami percaya bahawa sangat penting bagi pentester untuk menggunakan bahasa ini.

THE: Akhir-akhir ini, beberapa kelemahan kritikal telah dikesan dalam projek sumber terbuka dan beberapa perisian hasad lain yang menyerang sistem GNU Linux. Syarikat yang menjual perisian tertutup, seperti Apple dan Microsoft, mempunyai juruaudit keselamatan yang menyerang sistem mereka sendiri untuk meningkatkan keselamatan. Adakah anda berpendapat bahawa komuniti pembangunan projek sumber terbuka harus mempertimbangkan untuk mempromosikan amalan ini?

FS: Anda rasa tidak ada juruaudit untuk Apache, Debian, Fedora, Ubuntu ... satu lagi perkara ialah mereka mengenakan caj yang dikenakan oleh firma lain, tetapi memang ada, kerana saya faham bahawa pengedaran besar mempunyai orang yang mengusahakannya. Adalah tidak logik untuk tidak memilikinya. Saya juga percaya bahawa semua ini adalah pertaruhan untuk masa depan. Masalahnya ialah, adakah Apple atau Windows akan menjadi pengedaran sumber terbuka yang paling kuat?

THE: Mari beralih kepada pelanggan The Security Sentinel. Musim panas ini saya berbual dengan jurutera Oracle dan dia memberitahu saya bahawa semakin banyak pelayan dan superkomputer dijual dengan Linux sehingga menjejaskan sistem mereka sendiri, Solaris, dan mereka bahkan menggunakan sebaran yang disebut Oracle Linux untuk kerja mereka setiap hari. Adakah anda menjumpai semakin banyak syarikat yang menggunakan Linux atau masih banyak bergantung pada Windows?

FS: Dalam aspek ini, anda menemui segalanya.
Pelanggan saya sekarang menggunakan lebih banyak Linux untuk pelayan daripada Windows, tetapi komputer pengguna masih 90% Windows dan peratusan yang sangat tinggi masih menggunakan XP !!!

THE: Beberapa kerajaan atau syarikat berpindah ke distribusi Linux kerana kemungkinan dan kelebihan yang dibawanya. Ada yang terpikat dengan keselamatan. Adakah anda mendorong syarikat dan organisasi untuk membuat perubahan ini? Adakah TSS menasihatkan projek percuma untuk penyelesaian keselamatan yang anda laksanakan?

FS: Kami memberi nasihat bergantung kepada keperluan setiap pelanggan. Saya mahu orang lebih banyak terlibat dengan Linux, tetapi kadang-kadang nama jenama sangat berat.
Walaupun begitu, kami, bila boleh, menasihati pelayan Linux untuk ketahanan, fleksibiliti dan keselamatan mereka.

THE: Ramai pengguna atau syarikat tidak memperhatikan keselamatan. Sejauh mana amalan buruk dan nasihat apa yang akan anda berikan kepada mereka? Beritahu kami tentang kes serius yang dapat didedahkan dan yang anda perhatikan selama pengalaman anda untuk meningkatkan kesedaran masyarakat.

FS: Banyak? Hampir tiada siapa. Perkara pertama yang saya nasihatkan kepada mereka ialah memberi kursus kesedaran kecil mengenai peraturan keselamatan komputer asas.
Malah di Agensi Cukai, saya telah menemui pengguna yang mempunyainya dengan kata laluan mereka di monitor!
Tetapi sungguh luar biasa untuk melihat secara in situ, dalam persembahan kecil syarikat kami mengenai kemungkinan pelanggan, yang juga merupakan syarikat yang bermain dengan sekuriti di pasaran saham (broker), dengarkan pengarah operasi dari pejabatnya, berteriak kepada saintis komputer "APAKAH SAYA B ... KATA LALUAN ?? !!"
Walaupun setelah melihat ini, bakal pelanggan tidak mengupah kami ... Tuhan tangkap mereka mengaku!

THE: Sekarang anda juga mengajar kursus peretasan dan keselamatan. Anda sendiri mengambil ujian EC-Council CEH (Majlis Etika Peretasan) dan dengan skor yang cukup baik. Ada pepatah bahawa "pertahanan terbaik adalah kesalahan yang baik", saya mengatakan ini merujuk kepada soalan sebelumnya. Adakah anda mendorong pengguna untuk mengikuti kursus seperti ini?

FS: Saya mendorong anda untuk tidak memberi tumpuan kepada "titulitis" tetapi sebaliknya mengikuti kursus untuk belajar. Kami memfokuskan kursus kami pada latihan, kerana saya tidak menyukai kursus ini yang anda namakan, kerana saya mempelajarinya sendiri, dan juga tanpa latihan. Ia hanya tajuk. Walau bagaimanapun, pelajar kita "hancur" melakukan latihan. Tetapi mereka memberitahu anda ...
Seorang atlet mesti berlatih setiap hari. Kita juga.

THE: Ramai yang percaya bahawa penggodam adalah orang jahat. Malah RAE mendefinisikannya sebagai penggodam yang menggunakan pengetahuannya untuk melakukan perkara buruk. Sungguh menyedihkan apabila mendengarnya, kerana malah memaksa istilah seperti "peretasan etika" dilihat agar orang tidak memikirkan penjenayah siber. Eric Reymond, mempertahankan istilah "penggodam" dengan definisi asal dan menganjurkan menggunakan "cracker" untuk merujuk kepada "orang jahat." Tetapi dalam menghadapi mesin propaganda Hollywood, yang juga telah mencipta reputasi buruk dengan banyak filem dan siri mengenai penggodam, apa yang boleh dilakukan ... Apa pendapat anda sebagai pakar keselamatan?

FS: Saya menganggap penggodam perkataan sebagai pakar komputer yang kadang-kadang melakukan penyelidikan secara obsesif sehingga dia menemui jawapannya. Tetapi dari sana ke jenayah ...
Sudah tentu ada penggodam yang merupakan penjenayah, kerana mungkin ada anggota bomba yang juga penjenayah. Tetapi seperti yang tidak digeneralisasikan dalam kes kedua, mengapa melakukannya pada yang pertama?
Ringkasnya, saya berpendapat bahawa RAE menunjukkan kebodohan besar dalam menyebut perkataan hacker sebagai hacker. Perkara Hollywood lebih baik untuk tidak menyebutnya ...

Saya harap anda menyukai ini wawancara pertama siri yang telah kami bangkitkan kepada tokoh penting di persada nasional dan antarabangsa ...