Wywiad z Francisco Sanzem: CEO The Security Sentinel

Security Sentinel (TSS) to hiszpańska firma zajmująca się bezpieczeństwem komputerów, tak zapomniany przez wielu i tak ważny. TSS jest dedykowany do przeprowadzania audytów bezpieczeństwa dla firm, opartych na etycznym hakowaniu lub testach pentestujących, a także prowadzeniu szkoleń z zakresu bezpieczeństwa.

Złośliwe oprogramowanie i luki w zabezpieczeniach to gorący temat na naszym blogu, a zwłaszcza z najnowszymi wiadomościami na temat VENOM, Heartbleed i innych problemów związanych z bezpieczeństwem w systemie GNU Linux. Dlatego zdecydowaliśmy się na rozmowę kwalifikacyjną Francisco Sanz, prezes TSS co da nam kilka wskazówek na ten interesujący temat.

Francisco (od teraz FS) jest jednym z profesjonalistów TSS. Studiował inżynierię komputerową na Uniwersytecie Autonomicznym w Madrycie, aby później uzyskać dyplom z zarządzania biznesem i marketingu w ESIC, wziąć udział w kursach programowania Cisco CNNA, PHP i MySQL, etycznym hakowaniu i zdać certyfikat CEH od EC-Council z klasyfikacją 91% / 100%.

LinuxAdictos: GNU Linux jest bardzo ważny w dziedzinie bezpieczeństwa. Na naszym blogu rozmawialiśmy o dystrybucjach, takich jak Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop lub innych zorientowanych na bezpieczne przeglądanie i prywatność, takich jak Tails i Whonix. Których z nich używasz na co dzień?

Franciszek Sanchez: W zależności od pracy do wykonania ... na przykład w pentestingu używam własnej dystrybucji (TPS) z używanymi przez nas narzędziami pentestującymi, ale opartymi na 7.

LA: Wiele programów typu open source lub wolnego od ataków twierdzi, że jest słabej jakości lub bardziej niepewne. Co byś powiedział tym ludziom? Czy uważasz, że łatwiej jest zaatakować maszynę z systemem GNU Linux lub FreeBSD, ponieważ jest ona open source, niż maszynę z systemem Windows, ponieważ jest to zastrzeżony kod, czy też jest odwrotnie?

FS: Pytanie za milion dolarów. Albo zwykłe pytanie. Dla mnie to nie system, ale osoba, która go konfiguruje.
Mimo to, gdybym musiał zdecydować, zawsze powiedziałbym, że LINUX. Dlaczego? Jest wiele powodów, ale aby nie rozszerzać, powiedziałbym, że jego domyślna konfiguracja jest bezpieczniejsza niż Windows '; możesz również zwiększyć bezpieczeństwo, korzystając z wielu opcji; będąc wolnym oprogramowaniem, możesz rozwijać, modyfikować lub rozszerzać usługi bezpieczeństwa.
Z drugiej strony nie ma plików wykonywalnych, które mogłyby tak łatwo zainfekować użytkownika trojanami.
Mimo wszystko wydaje się, że teraz Windows jest najbezpieczniejszy, według niektórych publikacji ... a może ten, który ma najwięcej pieniędzy ... Nie wiem, czy się wytłumaczę. W tym porównaniu wymieniają 119 luk w zabezpieczeniach jądra Linuksa ... nieokreślone ... jednak 248 pojawia się wśród systemów Windows ... ale z określeniem niższej ilości dla każdego systemu operacyjnego Windows ... to jest ... mały zestaw liczb. Dużo marketingu;)

LA: Security Sentinel jest partnerem projektu Rapid7 Metasploit, projektu o otwartym kodzie źródłowym, podobnie jak wiele innych wykorzystywanych do przeprowadzania testów lub analiz kryminalistycznych. To dobry przykład, który wyjaśnia, o czym wspomnieliśmy w poprzednim pytaniu. Nie sądzisz

FS: Cóż, Metasploit (Rapid7) spędził wiele lat, inwestując czas w rozwój exploitów, które uszkadzają wszelkiego rodzaju systemy.
Myślę, że możliwość rozwijania, modyfikowania lub rozszerzania celów exploita i używania go w takiej strukturze, bez konieczności płacenia lub czekania na nowe exploity, będąc open source, znacznie ułatwia pracę.
Chociaż istnieje wersja płatna, z darmową i ze znajomością programowania w Rubim, Pythonie, Perlu ... masz bardzo, bardzo użytecznego współpracownika.
Muszę też dodać, że wielu użytkowników Metasploit wykorzystuje tylko 10 lub 20% swoich możliwości. W kolejnym opracowywanym przez nas kursie etycznego hakowania (CHEE) mamy cały temat dotyczący Metasploit, w którym nauczymy się, jak w pełni korzystać z tego narzędzia.

LA: Python to język programowania objęty inną wolną licencją (PSFL), który jest bardzo obecny w sektorze bezpieczeństwa. Dlaczego? Co jest specjalnego w innych?

FS: Python ma bardzo dużą przewagę i to jego biblioteki. Korzystanie z nich i łatwość nauki języka bardzo pomaga w przeprowadzaniu małych narzędzi, które są bardzo przydatne podczas przeprowadzania audytu bezpieczeństwa opartego na pentestingu.
Możesz także łączyć małe programy w Pythonie z innymi, takimi jak nmap, nessus itp., A to pomaga jeszcze bardziej przyspieszyć pracę pentestera.
1 czerwca bierzemy udział w kursie dla naszych studentów, Python dla pentestrów, ponieważ uważamy, że pentester musi używać tego języka.

LA: Ostatnio wykryto krytyczne luki w projektach open source i inne złośliwe oprogramowanie atakujące systemy GNU Linux. Firmy sprzedające zamknięte oprogramowanie, takie jak Apple i Microsoft, mają audytorów bezpieczeństwa, którzy atakują ich własne systemy w celu poprawy bezpieczeństwa. Czy uważasz, że społeczność tworząca projekty open source powinna rozważyć promowanie tej praktyki?

FS: Cóż, myślisz, że nie ma audytorów dla Apache, Debian, Fedora, Ubuntu ... inną rzeczą jest to, że pobierają to, co pobierają inne firmy, ale są, istnieją, ponieważ rozumiem, że duże dystrybucje mają ludzi pracujących nad tym. Byłoby nielogiczne, gdybyśmy ich nie mieli. Uważam też, że to wszystko jest zakładem na przyszłość. Problem w tym, czy Apple lub Windows ostatecznie staną się najpotężniejszymi dystrybucjami open source?

LA: Przejdźmy do klientów The Security Sentinel. Tego lata rozmawiałem z inżynierem Oracle i powiedział mi, że coraz więcej serwerów i superkomputerów jest sprzedawanych z Linuksem ze szkodą dla ich własnego systemu Solaris, a oni nawet używają do swojej pracy dystrybucji o nazwie Oracle Linux. Czy znajdujesz coraz więcej firm, które używają Linuksa lub nadal w dużym stopniu polegają na systemie Windows?

FS: W tym aspekcie znajdziesz wszystko.
Moi klienci używają teraz więcej Linuksa na serwerach niż Windows, ale komputery użytkowników to nadal w 90% Windows, a bardzo wysoki procent nadal używa XP !!!

LA: Niektóre rządy lub firmy migrują na dystrybucje Linuksa ze względu na możliwości i korzyści, jakie przynosi. Niektórzy zwabieni bezpieczeństwem. Czy zachęciłbyś firmy i organizacje do wprowadzenia tej zmiany? Czy TSS doradza bezpłatne projekty dla któregokolwiek z wdrażanych przez Ciebie rozwiązań bezpieczeństwa?

FS: Doradzamy w zależności od potrzeb każdego klienta. Chciałbym, żeby ludzie bardziej zaangażowali się w Linuksa, ale czasami nazwa marki dużo waży.
Mimo to, gdy tylko możemy, doradzamy serwerom Linux w zakresie ich solidności, elastyczności i bezpieczeństwa.

LA: Wielu użytkowników lub firm nie zwraca uwagi na bezpieczeństwo. W jakim stopniu jest to zła praktyka i jakiej rady byś im udzielił? Opowiedz nam o poważnym przypadku, który może zostać ujawniony i który zaobserwowałeś podczas swoich doświadczeń, aby podnieść świadomość społeczną.

FS: Dużo? Prawie nikt. Pierwszą rzeczą, którą bym im doradził, byłoby przeprowadzenie małego kursu uświadamiającego na temat podstawowych przepisów dotyczących bezpieczeństwa komputerowego.
Nawet w Urzędzie Skarbowym znalazłem użytkowników z post-it z hasłem na monitorze!
Niesamowite było jednak zobaczyć in situ, w małej prezentacji naszej firmy u potencjalnego klienta, który jest jednocześnie firmą, która bawi się papierami wartościowymi na giełdzie (maklerzy), posłuchać dyrektora operacyjnego ze swojego biura, krzyczeć do informatyk "CO TO JEST MOJE B ... HASŁO ?? !!"
Potencjalny klient nie zatrudnił nas nawet po obejrzeniu tego… Wyznał, że Bóg go złapał!

LA: Teraz prowadzisz również kursy z hakowania i bezpieczeństwa. Sam zdałeś egzamin EC-Council CEH (Council Ethical Hacking) z całkiem dobrym wynikiem. Jest takie powiedzenie, że „najlepsza obrona to dobry atak”, mówię to w nawiązaniu do poprzedniego pytania. Czy zachęciłbyś użytkowników do wzięcia udziału w tego typu kursie?

FS: Zachęcałbym ich, aby nie skupiali się na „zapaleniu tytulatu”, ale zamiast tego uczestniczyli w kursach nauki. Skupiamy nasze kursy na praktyce, ponieważ nie podobał mi się ten kurs, który wymieniasz, ponieważ uczyłem się go samodzielnie, a także bez praktyki. To tylko tytuł. Jednak nasi uczniowie są „zdruzgotani” praktykami. Ale mówią ci ...
Sportowiec musi codziennie trenować. My także.

LA: Wielu uważa, że ​​haker to zły człowiek. Nawet RAE definiuje go jako hakera, który wykorzystuje swoją wiedzę do robienia złych rzeczy. Przykro to słyszeć, ponieważ wymusiło to nawet narzucenie terminów takich jak „etyczny hacking”, aby ludzie nie myśleli o cyberprzestępcy. Eric Reymond broni terminu „haker” w oryginalnej definicji i opowiada się za używaniem terminu „cracker” w odniesieniu do „złych facetów”. Ale w obliczu propagandowej machiny Hollywood, która również stworzyła złą reputację dzięki wielu filmom i serialom o hakerach, co można zrobić ... Co myślisz jako ekspert ds. Bezpieczeństwa?

FS: Uważam słowo haker za specjalistę komputerowego, który czasami obsesyjnie bada, dopóki nie znajdzie odpowiedzi. Ale stamtąd do zbrodni ...
Oczywiście są hakerzy, którzy są przestępcami, ponieważ mogą istnieć strażacy, którzy są również przestępcami. Ale tak jak nie jest to uogólnione w drugim przypadku, po co to robić w pierwszym?
Krótko mówiąc, myślę, że RAE wykazuje wielką ignorancję, jeśli chodzi o nazywanie słowa hacker hackerem. O Hollywood lepiej o tym nie wspominać ...

Mam nadzieję, że Ci się podobało pierwszy wywiad z serii, którą podnieśliśmy do ważnych postaci na arenie krajowej i międzynarodowej ...