Interview met Francisco Sanz: CEO van The Security Sentinel

The Security Sentinel (TSS) is een Spaans bedrijf dat zich toelegt op computerbeveiliging, zo vergeten door velen en zo belangrijk. TSS legt zich toe op het uitvoeren van beveiligingsaudits bij bedrijven op basis van ethische hacking- of pentesting-tests, naast het geven van trainingen over beveiliging.

Malware en kwetsbaarheden zijn een hot topic op onze blog en vooral met het laatste nieuws over VENOM, Heartbleed en andere beveiligingsproblemen die GNU Linux treffen. Daarom hebben we besloten om te interviewen Francisco Sanz, de CEO van TSS wat ons enkele aanwijzingen zal geven over dit interessante onderwerp.

Francisco (FS vanaf nu) is een van de TSS-professionals​ Hij studeerde computertechniek aan de Autonome Universiteit van Madrid om later een graad in bedrijfsbeheer en marketing te behalen bij ESIC, de programmeercursussen Cisco CNNA, PHP en MySQL te volgen, ethisch hacken en het CEH-certificaat van EC-Council te behalen met een classificatie van 91%. / 100%.

LinuxAdictos: GNU Linux is erg belangrijk op het gebied van beveiliging. In onze blog hebben we het gehad over distributies zoals Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop en anderen gericht op veilig browsen en privacy, zoals Tails en Whonix. Welke gebruik je in je dagelijkse routine?

Francis Sánchez: Afhankelijk van het te doen werk ... bij pentesting gebruik ik bijvoorbeeld mijn eigen distributie (TPS) met pentesting tools die we gebruiken, maar op basis daarvan zouden 7.

LA: Velen vallen gratis of open source software aan en zeggen dat het van slechte kwaliteit of onveiliger is. Wat zou je tegen deze mensen zeggen? Denk je dat het gemakkelijker is om een ​​GNU Linux- of FreeBSD-machine aan te vallen omdat deze open source is dan een met Windows omdat het propriëtaire code is, of is het het tegenovergestelde?

FS: De vraag van een miljoen dollar. Of de gebruikelijke vraag. Voor mij is het niet het systeem, maar de persoon die het systeem opzet.
Toch, als ik moet beslissen, zou ik altijd LINUX zeggen. Waarom? Er zijn veel redenen, maar om niet uit te breiden, zou ik u willen zeggen dat de standaardconfiguratie veiliger is dan die van Windows '; je kunt het ook veiliger maken door meerdere opties te hebben; omdat het vrije software is, kunt u beveiligingsdiensten ontwikkelen, wijzigen of uitbreiden.
Aan de andere kant zijn er geen uitvoerbare bestanden die u zo gemakkelijk met Trojaanse paarden kunnen infecteren.
Toch lijkt het erop dat Windows nu het veiligste is, volgens sommige publicaties ... of misschien degene met het meeste geld ... Ik weet niet of ik het mezelf uitleg. In deze vergelijking noemen ze 119 kwetsbaarheden in de Linux-kernel ... niet gespecificeerd ... maar 248 verschijnen onder Windows-systemen ... maar specificeren een lager aantal voor elk Windows-besturingssysteem ... dat is ... een kleine reeks getallen. Veel marketing;)

LA: De Security Sentinel is een partner van het Rapid7 Metasploit-project, een open source-project dat net als vele andere wordt gebruikt voor pentesting of forensische analyse. Het is een goed voorbeeld dat duidelijk maakt wat we in de vorige vraag hebben genoemd. Denk je niet

FS: Metasploit (Rapid7) heeft jarenlang tijd gestoken in de ontwikkeling van exploits om allerlei soorten systemen te beschadigen.
Ik denk dat de mogelijkheid dat je de doelstellingen van een exploit kunt ontwikkelen, wijzigen of uitbreiden en het kunt gebruiken met een framework als dit, zonder dat je hoeft te betalen of hoeft te wachten op nieuwe exploits, omdat het open source is, je werk veel gemakkelijker maakt.
Hoewel er een betaalde versie is, met de gratis versie en met programmeerkennis in ruby, Python, perl ... heb je een heel, heel nuttige medewerker.
Ik moet ook opmerken dat veel Metasploit-gebruikers slechts 10 of 20% van hun mogelijkheden gebruiken. In de volgende Ethical Hacking-cursus die we ontwikkelen (CHEE), hebben we een heel onderwerp voor Metasploit, waar we zullen leren hoe we de tool optimaal kunnen gebruiken.

LA: Python is een programmeertaal onder een andere gratis licentie (PSFL) en die je erg aanwezig bent in de beveiligingssector. Waarom? Wat is er speciaal aan anderen?

FS: Python heeft een heel groot voordeel en het zijn zijn bibliotheken. Het gebruik hiervan en het gemak van het leren van de taal helpt je veel om kleine tools uit te kunnen voeren die erg handig zijn bij het uitvoeren van een security audit op basis van pentesting.
Je kunt ook kleine Python-programma's verbinden met andere zoals nmap, nessus enz ... en dit helpt je nog meer om het werk van een pentester te versnellen.
We volgen op 1 juni een cursus voor onze studenten, Python voor pentesters, omdat we geloven dat het essentieel is voor een pentester om deze taal te gebruiken.

LA: De laatste tijd zijn enkele kritieke kwetsbaarheden gedetecteerd in open source-projecten en enkele andere malware die GNU Linux-systemen aanvalt. Bedrijven die gesloten software verkopen, zoals Apple en Microsoft, hebben beveiligingsauditors die hun eigen systemen aanvallen om de beveiliging te verbeteren. Vindt u dat de open source-gemeenschap voor projectontwikkeling zou moeten overwegen om deze praktijk te promoten?

FS: Nou, je denkt dat er geen auditors zijn voor Apache, Debian, Fedora, Ubuntu ... een ander ding is dat ze kosten in rekening brengen bij andere bedrijven, maar die zijn er, ze bestaan, omdat ik begrijp dat de grote distributies mensen hebben die hieraan werken. Het zou onlogisch zijn om ze niet te hebben. Ik geloof ook dat dit allemaal een weddenschap is voor de toekomst. Het probleem is: zullen Apple of Windows de krachtigste open source-distributies worden?

LA: Laten we verder gaan met de klanten van The Security Sentinel. Deze zomer was ik aan het chatten met een Oracle-ingenieur en hij vertelde me dat er steeds meer servers en supercomputers met Linux worden verkocht ten koste van hun eigen systeem, Solaris, en dat ze zelfs elke dag een distributie genaamd Oracle Linux gebruiken voor hun werk. Vindt u steeds meer bedrijven die Linux gebruiken of nog veel afhankelijk zijn van Windows?

FS: In dit aspect vind je alles.
Mijn klanten gebruiken nu meer Linux voor servers dan Windows, maar de gebruikerscomputers zijn nog steeds 90% Windows en een zeer hoog percentage gebruikt nog steeds XP !!!

LA: Sommige overheden of bedrijven migreren naar Linux-distributies vanwege de mogelijkheden en voordelen die dit met zich meebrengt. Sommigen gelokt door veiligheid. Zou u bedrijven en organisaties aanmoedigen om deze verandering door te voeren? Adviseert TSS gratis projecten voor de beveiligingsoplossingen die u implementeert?

FS: We adviseren afhankelijk van de behoeften van elke klant. Ik zou graag willen dat mensen meer betrokken raken bij Linux, maar soms weegt een merknaam veel.
Toch adviseren we Linux-servers wanneer we maar kunnen vanwege hun robuustheid, flexibiliteit en veiligheid.

LA: Veel gebruikers of bedrijven letten niet op beveiliging. In hoeverre is het een slechte gewoonte en welk advies zou je ze geven? Vertel ons over een ernstig geval dat aan het licht kan worden gebracht en dat u tijdens uw ervaring hebt geobserveerd om het publiek bewust te maken.

FS: Veel? Bijna niemand. Het eerste dat ik hen zou adviseren, is om een ​​kleine bewustmakingscursus te geven over elementaire computerbeveiligingsvoorschriften.
Zelfs bij de Belastingdienst heb ik gebruikers gevonden met de post-it met hun wachtwoord op de monitor!
Maar het was ongelofelijk om in situ, in een kleine presentatie van ons bedrijf in een mogelijke klant, dat ook een bedrijf is dat speelt met effecten op de beurs (makelaars), vanuit zijn kantoor naar de directeur operaties te luisteren, te roepen naar de computerwetenschapper "WAT IS MIJN B ... EEN WACHTWOORD ?? !!"
Zelfs nadat hij dit had gezien, huurde de potentiële klant ons niet in ... God betrapte ze, bekend!

LA: Nu geef je ook cursussen over hacken en beveiliging. Je hebt zelf het EC-Council CEH (Council Ethical Hacking) examen afgelegd en met een redelijk goede score. Er is een gezegde dat "de beste verdediging een goede overtreding is", ik zeg dit in verwijzing naar de vorige vraag. Zou u gebruikers aanmoedigen om dit soort cursussen te volgen?

FS: Ik zou ze willen aanmoedigen om zich niet te concentreren op "titulitis", maar op het volgen van cursussen om te leren. We richten onze cursussen op de praktijk, omdat ik deze cursus die je noemt niet leuk vond, omdat ik hem alleen heb gestudeerd, en ook zonder oefening. Het is maar een titel. Onze studenten zijn echter "verpletterd" door oefeningen te doen. Maar ze vertellen je ...
Een atleet moet elke dag trainen. Wij ook.

LA: Velen geloven dat een hacker een slecht persoon is. Zelfs de RAE omschrijft hem als een hacker die zijn kennis gebruikt om slechte dingen te doen. Het is triest om dit te horen, want het heeft zelfs gedwongen termen als "ethisch hacken" te zien, zodat mensen niet aan een cybercrimineel denken. Eric Reymond, verdedigt de term "hacker" met de oorspronkelijke definitie en pleit ervoor "cracker" te gebruiken om naar "slechteriken" te verwijzen. Maar in het licht van de propagandamachine van Hollywood, die ook een slechte reputatie heeft opgebouwd met een veelvoud aan films en series over hackers, wat kan er gedaan worden ... Wat denk je als beveiligingsexpert?

FS: Ik beschouw het woord hacker als een computerspecialist die soms obsessief onderzoekt totdat hij zijn antwoord vindt. Maar van daaruit naar de misdaad ...
Natuurlijk zijn er hackers die criminelen zijn, net als brandweerlieden die ook criminelen zijn. Maar zoals het in het tweede geval niet gegeneraliseerd is, waarom zou het dan wel in het eerste geval?
Kortom, ik denk dat de RAE grote onwetendheid toont als het erom gaat het woord hacker een hacker te noemen. Het Hollywood-ding is beter om het niet te noemen ...

Ik hoop dat je dit leuk vond eerste interview van de serie die we hebben besproken aan belangrijke figuren op het nationale en internationale toneel ...