Intervju med Francisco Sanz: administrerende direktør i The Security Sentinel

Security Sentinel (TSS) er et spansk selskap dedikert til datasikkerhet, så glemt av mange og så viktig. TSS er dedikert til å gjennomføre sikkerhetsrevisjoner til selskaper, basert på etisk hacking eller pentesting-tester, i tillegg til å tilby sikkerhetskurs.

Skadelig programvare og sårbarheter er et hett tema på bloggen vår, og spesielt med de siste nyhetene om VENOM, Heartbleed og andre sikkerhetsproblemer som påvirker GNU Linux. Derfor har vi bestemt oss for å intervjue Francisco Sanz, administrerende direktør i TSS som vil gi oss noen ledetråder om dette interessante emnet.

Francisco (FS fra nå av) er en av TSS-profesjonellene. Han studerte datateknikk ved det autonome universitetet i Madrid for senere å oppnå en grad i forretningsadministrasjon og markedsføring ved ESIC, ta Cisco CNNA, PHP og MySQL programmeringskurs, etisk hacking og bestå CEH-sertifikatet fra EC-Council med en klassifisering på 91% / 100%.

LinuxAdictos: GNU Linux er veldig viktig innen sikkerhet. I bloggen vår har vi snakket om distribusjoner som Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop eller andre som er orientert om sikker surfing og personvern, for eksempel Tails og Whonix. Hvilke bruker du i din daglige rutine?

Francis Sanchez: Avhengig av arbeidet som skal utføres ... for eksempel bruker jeg min egen distribusjon (TPS) med pentestingverktøy som vi bruker, men basert på at de skal 7.

LA: Mange angriper gratis programvare med åpen kildekode og sier at den er av dårlig kvalitet eller mer usikker. Hva vil du si til disse menneskene? Tror du det er lettere å angripe en GNU Linux- eller FreeBSD-maskin fordi den er åpen kildekode enn en med Windows fordi den er proprietær kode, eller er det motsatt?

Fs: Million dollar-spørsmålet. Eller det vanlige spørsmålet. For meg er det ikke systemet, men personen som setter opp systemet.
Likevel, hvis jeg må bestemme meg, vil jeg alltid si LINUX. Hvorfor? Det er mange grunner, men for ikke å utvide vil jeg fortelle deg at standardkonfigurasjonen er sikrere enn Windows; du kan også gjøre det sikrere ved å ha flere alternativer; som fri programvare, kan du utvikle, endre eller utvide sikkerhetstjenester.
På den annen side er det ingen kjørbare filer som smitter deg med trojanere så lett.
Likevel ser det ut til at nå er Windows det tryggeste, ifølge noen publikasjoner ... eller kanskje den med mest penger ... Jeg vet ikke om jeg forklarer meg. I denne sammenligningen nevner de 119 Linux-kjernsårbarheter ... uspesifisert ... men 248 vises blant Windows-systemer ... men spesifiserer et lavere beløp for hvert Windows-operativsystem ... det vil si ... et lite sett med tall. Mye markedsføring;)

LA: Security Sentinel er en partner av Rapid7 Metasploit-prosjektet, et åpen kildekodeprosjekt, som mange andre som brukes til pentesting eller rettsmedisinsk analyse. Det er et godt eksempel som tydeliggjør det vi nevnte i forrige spørsmål. Tror du ikke?

Fs: Vel, Metasploit (Rapid7) har brukt mange år på å investere tid i utvikling av utnyttelser for å skade systemer av alle slag.
Jeg tror at muligheten for at du kan utvikle, modifisere eller utvide målene for en utnyttelse og være i stand til å bruke den med et rammeverk som dette, uten å måtte betale eller vente på nye utnyttelser, er åpen kildekode, gjør arbeidet ditt mye enklere.
Selv om det finnes en betalt versjon, med den gratis og med programmeringskunnskap i rubin, Python, perl ... har du en veldig, veldig nyttig kollega.
Jeg må også kommentere at mange Metasploit-brukere bare bruker 10 eller 20% av mulighetene. I neste Ethical Hacking-kurs som vi utvikler (CHEE), har vi et helt tema for Metasploit, der vi vil lære hvordan du kan bruke verktøyet til fulle.

LA: Python er et programmeringsspråk under en annen gratis lisens (PSFL), og som du har veldig til stede i sikkerhetssektoren. Hvorfor? Hva er spesielt med andre?

Fs: Python har en veldig stor fordel, og det er bibliotekene. Bruken av disse og den enkle læringen av språket hjelper deg mye å kunne utføre små verktøy som er veldig nyttige når du utfører en sikkerhetsrevisjon basert på pentesting.
Du kan også koble til små Python-programmer med andre som nmap, nessus osv ... og dette hjelper deg enda mer med å få fart på arbeidet til en pentester.
Vi tar et kurs 1. juni for studentene våre, Python for pentestere, fordi vi mener at det er viktig for en pentester å bruke dette språket.

LA: I det siste har noen kritiske sårbarheter blitt oppdaget i åpen kildekode-prosjekter og annen skadelig programvare som angriper GNU Linux-systemer. Bedrifter som selger lukket programvare, som Apple og Microsoft, har sikkerhetsrevisorer som angriper sine egne systemer for å forbedre sikkerheten. Synes du at open source-prosjektutviklingssamfunnet bør vurdere å fremme denne praksisen?

Fs: Du tror at det ikke er noen revisorer for Apache, Debian, Fedora, Ubuntu ... en annen ting er at de tar betalt hva andre firmaer tar betalt, men det finnes, de eksisterer, fordi jeg forstår at de store distribusjonene har folk som jobber med dette . Det ville være ulogisk å ikke ha dem. Jeg tror også at alt dette er et spill for fremtiden. Problemet er, vil Apple eller Windows ende opp med å bli den kraftigste distribusjonen av åpen kildekode?

LA: La oss gå videre til The Security Sentinel-kunder. I sommer chattet jeg med en Oracle-ingeniør, og han fortalte meg at flere og flere servere og superdatamaskiner selges med Linux til skade for sitt eget system, Solaris, og at de til og med bruker en distribusjon kalt Oracle Linux for sitt arbeid hver dag. Finner du flere og flere selskaper som bruker Linux eller fortsatt er avhengige av Windows?

Fs: I dette aspektet finner du alt.
Klientene mine bruker nå mer Linux for servere enn Windows, men brukerens datamaskiner er fremdeles 90% Windows og en veldig høy andel bruker fortsatt XP !!!

LA: Noen myndigheter eller selskaper migrerer til Linux-distribusjoner på grunn av mulighetene og fordelene det gir. Noen lokket av sikkerhet. Vil du oppmuntre selskaper og organisasjoner til å gjøre denne endringen? Anbefaler TSS gratis prosjekter for noen av sikkerhetsløsningene du implementerer?

Fs: Vi anbefaler avhengig av behovene til hver klient. Jeg vil at folk skal bli mer involvert i Linux, men noen ganger veier et merkenavn mye.
Likevel anbefaler vi Linux-servere når det er mulig robusthet, fleksibilitet og sikkerhet.

LA: Mange brukere eller selskaper tar ikke hensyn til sikkerhet. I hvilken grad er det dårlig praksis, og hvilke råd vil du gi dem? Fortell oss om en alvorlig sak som kan bli avslørt, og som du har observert i løpet av din erfaring for å øke bevisstheten blant publikum.

Fs: Mye av? Nesten ingen. Det første jeg vil råde dem til, er å gi et lite bevissthetskurs om grunnleggende datasikkerhetsregler.
Selv i Skatteetaten har jeg funnet brukere med post-it med passordet sitt på skjermen!
Men det var utrolig å se in situ, i en liten presentasjon av selskapet vårt i en mulig klient, som også er et selskap som leker med verdipapirer på aksjemarkedet (meglere), hører på operasjonsdirektøren fra kontoret sitt, roper til datavitenskapsmannen "HVA ER MIN B ... ET PASSORD ?? !!"
Selv etter å ha sett dette, ansatte den potensielle klienten oss ikke ... Gud fanger dem tilstått!

LA: Nå underviser du også i kurs om hacking og sikkerhet. Du tok EC-Council CEH (Council Ethical Hacking) eksamen selv og med en ganske god score. Det er et ordtak som "det beste forsvaret er en god lovbrudd", jeg sier dette med henvisning til det forrige spørsmålet. Vil du oppmuntre brukere til å ta denne typen kurs?

Fs: Jeg vil oppfordre deg til ikke å fokusere på "titulitt", men i stedet på å ta kurs for å lære. Vi fokuserer kursene våre på praksis, fordi jeg ikke likte dette kurset du nevner, siden jeg studerte det alene, og også uten øvelse. Det er bare en tittel. Imidlertid er studentene våre "knust" ved å gjøre praksis. Men de forteller deg ...
En idrettsutøver må trene hver dag. Vi også.

LA: Mange mener at en hacker er en dårlig person. Selv RAE definerer ham som en hacker som bruker sin kunnskap til å gjøre dårlige ting. Det er trist å høre dette, fordi det til og med har tvunget ord som "etisk hacking" til å sees slik at folk ikke tenker på en nettkriminell. Eric Reymond, forsvarer begrepet "hacker" med den opprinnelige definisjonen og tar til orde for å bruke "cracker" for å referere til "bad guys." Men overfor propagandamaskinen til Hollywood, som også har skapt et dårlig rykte med et mangfold av filmer og serier om hackere, hva kan man gjøre ... Hva synes du som sikkerhetsekspert?

Fs: Jeg betrakter ordet hacker som en dataspesialist som noen ganger obsessivt etterforsker til han finner svaret. Men derfra til kriminalitet ...
Selvfølgelig er det hackere som er kriminelle, da det kan være brannmenn som også er kriminelle. Men akkurat som det ikke er generalisert i det andre tilfellet, hvorfor gjør det i det første?
Kort sagt, jeg tror at RAE viser stor uvitenhet når det gjelder å kalle ordet hacker som en hacker. Hollywood-tingen er bedre å ikke nevne det ...

Jeg håper du likte dette første intervju av serien vi har reist til viktige figurer på den nasjonale og internasjonale scenen ...