Intervjuet vårt denne uken er for en annen stor, i dette tilfellet Chema Alonso har vært offer for spørsmålene våre. Du har ønsket å ta deg tid til å svare oss utelukkende, noe vi setter pris på å kjenne tidsplanen din.
Jeg tror Chema Alonso, en av våre mest populære nasjonale hackereDet trenger ingen introduksjon og forstå av "hacker" den sanne betydningen av ordet. For de som ikke kjenner ham, kan du finne ut mer om ham ved å google, og jeg oppfordrer deg til å få tilgang til bloggen hans, hvor du finner interessante innlegg om sikkerhet. Du vet Onde side venter på deg. I mellomtiden kan du lese hva han har svart oss.
Linuxmisbrukere: 1 - Det første spørsmålet er obligatorisk ... Pablo Motos, Jordi Évole, Mamen Mendizábal og nå meg. Hva skjedde med deg, Chema?
Chema Alonso: Jeg prøver å tjene alle. Svar på alles e-post og meldinger. Det er sant at jeg ikke gir nok. De setter meg meldinger på Twitter, Facebook, Google+, Youtube, Instragram, bloggen, e-post osv., Og det er helt umulig for meg å finne tid til å svare på dem alle, men jeg sverger på at jeg prøver. Når det gjelder journalister, er sannheten at jeg har måttet være sammen med noen veldig gode i fjernsyn, men andre også veldig bra i pressen og i internettverdenen. Hvis jeg tar meg tid, svarer jeg på intervjuene.
LxB: 2-Jeg forstår at du har vært en Linux-lærer, og i løpet av karrieren din har du jobbet med Linux-distribusjoner. Hva liker du og hva vil du endre ved det?
AC: Ja det er riktig. Jeg har vært GNU / Linux-lærer i mange år og har gitt mange RedHat-kurs - som var det mest avanserte på slutten av 90-tallet -. Jeg liker med GNU / Linux at du kan bygge mange ting med disse systemene, modulariteten som finnes for å gjøre det etter eget ønske, og mengden verktøy som finnes. Distribusjoner med Kali Linux, CentOS, Ubuntu eller Debian er eksempler på hvordan den samme kjernen kan tilpasses til mange forskjellige miljøer. Jeg liker ikke religionen som noen bekjenner seg med gratis programvare og mangelen på noen verktøy for forretningsadministrasjon og brukermiljøer. Der foretrekker jeg fortsatt Microsoft Windows-systemer eller OS X-systemer.
LxB: 3-Som vanlig, vekker open source sympati og hat. Noen mener at det er av dårlig kvalitet, eller at det er mer utrygt enn det lukkede. Hva vil du si til de som tror det?
AC: Noen av disse uttalelsene er i seg selv feil. Det viktige er ikke om koden er åpen eller lukket, men hva som gjøres med den. Det er veldig forseggjorte og fungerte gratis programvareprosjekter, og andre som ikke er det. Å tro at et prosjekt fordi det er OpenSource kommer til å bli revidert av alle, er ikke sant. Du må gjøre mye mer enn det. Uansett hvor mye du har kildekoden, er det bare å oppdage sikkerhetsfeil som bare kan vises når koden er kompilert for en bestemt arkitektur og kjøres i et bestemt miljø. Det er derfor Fuzzing-teknikker brukes.
På den annen side åpner publisering av kildekode og sikkerhetsoppdateringer i Open Source-prosjekter et mulighetsvindu for 0-dagers søkemotorer når det gjelder å generere utnyttelser før det er en oppdatering som løser den i den distribuerbare binæren. Vi har sett det i mange tilfeller. Min oppfatning er at det som betyr noe, uansett om det er OpenSource eller ikke, er kvaliteten på programvaren, og hvis programvaren er laget i våre selskaper for vår sikkerhet, i tillegg til å revidere den godt, foretrekker jeg at kildekoden forblir hjemme}: ).
LxB: 4-Du eier 0xord. Jeg har flere titler på sikkerheten din, og jeg anbefaler alle å ta en tur rundt på nettet. Det er en litt atypisk bokhandel, fordi du gir muligheter til nye forfattere som ønsker å gi ut boka om sikkerhet eller andre emner. Gratis programvare gir også mange muligheter, og jeg tror det er viktig for utdanning. Tror du ikke at selskaper som utvikler proprietær programvare, bør tenke nytt på å åpne koden sin?
AC: Mange gjør det allerede, men jeg synes ikke det skal være flertall. Enorme mengder publisert kildekode er tilgjengelig i dag, noe som er et flott læringshjelpemiddel. Jeg mener at et selskap bør åpne koden under visse omstendigheter, men jeg tror ikke det skal være den eneste måten. Det kan være at et lite selskap åpner sin gratis kode, og et stort selskap utnytter det ved å forbedre og utnytte det uten at det lille selskapet kan konkurrere om det. Jeg tror at for en student eller en profesjonell å lage åpen kildekode-programmer er et flott følgebrev, og for bedrifter kan det være en måte å skape et fellesskap og bedre posisjonere produktet, men det er ikke den eneste måten.
LxB: 5-Og til sortering av forrige spørsmål. Bloggen vår er rettet mot gratis programvare og Linux, men vi har skrevet mye om Microsoft i det siste. Han har åpnet noen av prosjektene sine, noen uttalelser har dukket opp som har overrasket oss, de lanserer .NET Core og Visual Studio Code for Linux, og det ryktes at åpen kildekode Windows blir diskutert internt. Vil du se en åpen kildekode Windows?
AC: Microsoft har allerede mye av kilden åpen, og vil sannsynligvis åpne mer i fremtiden. Kanskje de vil frigjøre det åpen kildekode i fremtiden, men jeg tror ikke de vil gjøre det om kort tid - kanskje jeg tar feil -. Den dag i dag fortsetter Windows-operativsystemet å ha mye salg i forhold til konkurrentene, og i stor grad er det på grunn av hvordan de gjør ting i kjernen og ved operativsystemlaget. Det er en konkurransefortrinn at de ønsker å posisjonere seg for å kjempe mot andre systemer som Android, iOS eller OS X som har andre konkurransefortrinn.
LxB: 6-Det er bak Eleven Paths, et selskap om digital sikkerhet som stammer fra Informática 64 og Telefónica. Dette siste selskapet, som du har et forhold til, valgte Firefox OS-operativsystemet for mobile enheter. Hva synes du om Firefox OS og hvilke fordeler ser du over iOS, Android, Tizen, ...?
AC: Ikke bare har jeg et forhold til Telefónica, jeg jobber også på Telefónica. Selskapet har lenge vært forpliktet til brukernes valgfrihet og nettneutralitet. Og mens noen selskaper snakker om nettneutralitet for å skape tjenester med like muligheter, gjør de systemene deres mindre interoperable hver dag. Å flytte det digitale livet ditt fra iOS til Android eller fra Android til Windows Phone er vondt. De er ikke interoperable i det hele tatt. Telefónicas forpliktelse er å støtte et bredere og mindre lukket økosystem, og det er grunnen til at det valgte Firefox OS og fortsetter å støtte det. Fordelen er at bak Mozilla Foundation skaper et økosystem av Webapps som kan kjøres på ethvert system. Det er fordelen den "galne" Mozilla ønsker å forbedre.
LxB: 7-La oss snakke om FOCA. Det er fantastisk programvare, men fra vårt synspunkt har den en feil som ikke er blitt rettet. Ikke tilgjengelig for Linux! Vi kan kjøre den fra Wine, ha andre verktøy eller med MetaShield Analyzer, men vi savner den fortsatt. Det er mange verktøy for pentesting, rettsmedisinsk analyse, etc., for Linux. Det er også mange distroer som Kali, Parrot OS, Santoku, DEFT, og en Largo, etc. Linux er utvilsomt veldig viktig i denne delen. Hvorfor har du bestemt deg for ikke å bære FOCA?
AC: Vi porterte aldri FOCA på grunn av mangel på ressurser, nå tenker vi å gi ut koden i .NET, og at folk bestemmer om de vil kompilere den for Linux med den nye Microsoft-kunngjøringen eller forbedre den dag for dag. Du må vente litt.
LxB: 8-NeXT bestemte seg for å lage et Unix-operativsystem, som senere skulle bli kimen til Mac OS X da Apple kjøpte selskapet. Unix er absolutt et flott system, og Microsoft flørte med det med Xenix. Men til slutt dukket Windows NT (OS / 2) opp. Tror du at hvis Windows var en * nix i dag, ville det vært bedre?
AC: Nei, langt fra det. Microsoft "flørte" ikke med UNIX, Microsoft bygde XENIX som ble solgt til Santa Cruz Operations, og SCO UNIX ble den mest utbredte UNIX i verden. Windows-kjernen er et vidunder, og dette demonstreres av ytelsen og brukeropplevelsen til 6.x-kjerner.
Uansett, å tro at Windows-kjernen og UNIX-kjernen er veldig forskjellige ... er en feil. Det er et flott foredrag av Mark Russinovich kalt "A tale of two Kernels" hvor han ser på hva Windows NT-kjerner og Linux-kjerner har, og det er overraskende hvor nesten nøyaktig de er.
Jeg elsker faktisk en setning Linux Torvalds sa for mange år siden på en konferanse hvor han ble spurt om hvorfor kerneutviklere var et samfunn som endret ansikter så lite og inkorporerte få nye mennesker. Han sa at i tillegg til ikke å være det vennligste samfunnet, er tiden for enkle løsninger på enkle problemer med å skape monolitiske kjerner år siden.
LxB: 9-Jeg hører deg alltid si at du bør bruke et antivirusprogram. Ikke bare i Windows, men også på andre plattformer som Mac OS X. Mange sier at et antivirusprogram i Linux bare tjener til å bremse datamaskinen. Hvilke råd gir du linuxere om dette, og hvilket antivirus anbefaler du?
AC: Hvis problemet er å bremse systemet, fjern brannmuren, beskyttelsen av hele operativsystemet ... og kjør! } :)
LxB: 10 - Og den siste den vanskeligste av alle. Var dette det verste intervjuet i livet ditt? ; s
AC: Nooo, langt fra det. De har kommet for å spørre meg så mye tull ... Jeg sa en gang til en radiojournalist: "Vennligst ikke spør meg om det som er tull." Det er tider jeg skriver dem spørsmålene de må stille meg, slik at jeg kan forklare aktuelle ting riktig. Hvis jeg tellet ...
Det er en glede å ha mennesker som Chema Alonso til serien vår av intervjuer, og som i tillegg i dette tilfellet gir oss gode nyheter for fremtiden, og det er kanskje vi har FOCA for GNU / Linux ...
Flott jobb, Linuxmisbrukere: 3 hilsener.
Mange tror det motsatte av denne leiesoldaten fra Telefónica og en trofast tilhenger av NT-kjernen, og det er at en åpen kildekode tillater innovasjon og utvikling av en programvare, og uansett hvor lite den blir revidert, er den mindre utsatt for 0-dager.
Hva gjør open source mindre utsatt for 0 dager, hvor dårlig revidert det kan være? Og på samme måte ... hva gjør det innovativt og tillater evolusjon hvis det blir dårlig revidert eller genererer liten interesse for samfunnet? årsaken til kommentaren din.
Jeg forestiller meg at det står på grunn av en 100% som bruker åpen kode, ikke engang 10% må analysere koden kanskje hjemme hvis du analyserer den, men du skriver bare inn de 10%.
Microsoft leiesoldat, hvis det er tilfelle.
At Telefónica er forpliktet til nettneutralitet? La ham be sjefen hans, César Alierta, om å se hvordan han ler (alkoholisk, selvfølgelig). Fra Mr. Alonso kan man ikke forvente for mye kritikk av sine arbeidsgivere; det er imidlertid ikke vanskelig å finne ham på grensen til det latterlige å forsvare dem. Med den beste sikkerheten til lukkede systemer antar jeg at han vil henvise til de som er pålitelige selskaper eller enheter, ikke hans elskede Microsoft (eller Apple, Google eller så mange andre) hvis praksis det har vært mot kundene sine så mange ganger avmaskert (fra lenge før PRISM til nå, med informasjonen som Windows 10 sender, enten klienten godtar det eller hvis de merker alt som de ikke gjør)
Du forveksler personvern med sikkerhetshull (feil oppstår) og i feil er det den som har mindre
Det er også en type sikkerhetshull, det være seg bevisst, ekstern, etc. men det er det.
Chema er den jævla mesteren!
Gå fanwin dette hacket ikke sant? XD
Gratulerer! veldig bra intervju.
Kom igjen, brukerens kommentar er litt gammel, i dag førte ikke revisjon av koden til mange sårbarheter i 2014. Sårbarheter som var over 20 år gamle og ingen sa noe, mange null-dags sårbarheter som ikke er oppdaget av etiske forskere, de er allerede i hendene på selskaper og kriminelle som selger dem til myndighetene i hvert land, ender myten om åpen kildekode
Jeg var på en konferanse der han presenterte sitt FOCA-program, og han sa at han hadde gitt det navnet fordi sel spiser pingviner xD
Jeg tror antivirus er et veldig dårlig svar, spesielt for en person som regnes som en av de beste innen sikkerhet. Å sette brannmursforbruket på et antivirusnivå er latterlig, i tillegg til at du ikke har svart på spørsmålet på en sammenhengende måte, for eksempel:
For en vanlig person kan bruken av et antivirusprogram i Linux være tung og ikke veldig effektiv, men for et selskap er det et viktig sikkerhetskrav.
sel gjorde det ikke. siden programmet kjente ham før han brukte det. den ble allerede brukt til å finne ut av ting i metadata.