Entrevista com Francisco Sanz: CEO do The Security Sentinel

The Security Sentinel (TSS) é uma empresa espanhola dedicada à segurança informática, tão esquecido por muitos e tão importante. TSS dedica-se à realização de auditorias de segurança às empresas, com base em testes éticos de hacking ou pentesting, além de ministrar treinamentos em segurança.

Malware e vulnerabilidades são um tópico importante em nosso blog, especialmente com as últimas notícias sobre VENOM, Heartbleed e outros problemas de segurança que afetam o GNU Linux. É por isso que decidimos entrevistar Francisco Sanz, o CEO da TSS o que nos dará algumas pistas sobre este tópico interessante.

Francisco (FS a partir de agora) é um dos profissionais de TSS. Ele estudou engenharia da computação na Universidade Autônoma de Madrid para posteriormente obter um diploma em gestão de negócios e marketing na ESIC, fazer os cursos de programação Cisco CNNA, PHP e MySQL, hacking ético e obter o certificado CEH do EC-Council com uma classificação de 91% / 100%.

LinuxAdictos: GNU Linux é muito importante no campo da segurança. Em nosso blog falamos sobre distribuições como Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop, ou outras voltadas para navegação segura e privacidade, como Tails e Whonix. No seu dia a dia, quais você usa?

Francisco Sanches: Dependendo do trabalho a ser feito ... por exemplo, no pentesting eu uso minha própria distribuição (TPS) com ferramentas de pentesting que usamos, mas com base no que deveria 7.

LA: Muitos atacam software livre ou de código aberto dizendo que é de baixa qualidade ou mais inseguro. O que você diria a essas pessoas? Você acha que é mais fácil atacar uma máquina GNU Linux ou FreeBSD porque é open source do que uma com Windows porque é um código proprietário, ou é o contrário?

FS: A pergunta de um milhão de dólares. Ou a pergunta usual. Para mim não é o sistema, mas a pessoa que o configura.
Mesmo assim, se eu tiver que decidir, sempre diria LINUX. Por quê? Há muitos motivos, mas para não expandir eu diria que sua configuração padrão é mais segura do que o Windows '; você também pode torná-lo mais seguro tendo várias opções; sendo software livre, você pode desenvolver, modificar ou expandir serviços de segurança.
Por outro lado, não existem executáveis ​​para infectá-lo com Trojans tão facilmente.
Mesmo assim, parece que agora o Windows é o mais seguro, segundo algumas publicações ... ou talvez o que tem mais dinheiro ... Não sei se me explico. Nessa comparação, eles citam 119 vulnerabilidades do kernel do Linux ... não especificadas ... no entanto, 248 aparecem entre os sistemas Windows ... mas especificando uma quantidade menor para cada sistema operacional Windows ... ou seja ... um pequeno conjunto de números. Muito marketing;)

LA: O Security Sentinel é parceiro do projeto Rapid7 Metasploit, um projeto de código aberto, como muitos outros usados ​​para pentesting ou análise forense. É um bom exemplo que deixa claro o que mencionamos na pergunta anterior. Você não acha?

FS: Bem, Metasploit (Rapid7), passou muitos anos investindo tempo no desenvolvimento de exploits para danificar sistemas de todos os tipos.
Eu acho que a possibilidade de você desenvolver, modificar ou expandir os objetivos de um exploit e ser capaz de usá-lo com um framework como este, sem ter que pagar ou esperar por novos exploits, sendo open source, torna seu trabalho muito mais fácil.
Embora exista uma versão paga, com a gratuita e com conhecimento de programação em ruby, Python, perl ... você tem um colega de trabalho muito, muito útil.
Também devo comentar que muitos usuários do Metasploit usam apenas 10 ou 20% de suas possibilidades. No próximo curso de Ethical Hacking que estamos desenvolvendo (CHEE), teremos todo um tópico para Metasploit, onde ensinaremos como usar a ferramenta ao máximo.

LA: Python é uma linguagem de programação sob outra licença gratuita (PSFL) e que você tem muito presente no setor de segurança. Por quê? O que há de especial nos outros?

FS: Python tem uma grande vantagem e são suas bibliotecas. A sua utilização e a facilidade de aprender a língua ajudam muito a conseguir realizar pequenas ferramentas que são muito úteis na hora de realizar uma auditoria de segurança baseada em pentesting.
Você também pode conectar pequenos programas Python com outros como nmap, nessus etc ... e isso o ajuda ainda mais a acelerar o trabalho de um pentester.
Faremos um curso no dia 1º de junho para nossos alunos, Python para pentesters, porque acreditamos que é essencial para um pentester usar essa linguagem.

LA: Ultimamente, algumas vulnerabilidades críticas foram detectadas em projetos de código aberto e alguns outros malwares que atacam sistemas GNU Linux. Empresas que vendem software fechado, como Apple e Microsoft, têm auditores de segurança que atacam seus próprios sistemas para melhorar a segurança. Você acha que a comunidade de desenvolvimento de projetos de código aberto deve considerar a promoção dessa prática?

FS: Bem, você acha que não há auditores para Apache, Debian, Fedora, Ubuntu ... outra coisa é que eles cobram o que outras empresas cobram, mas existem, eles existem, porque eu entendo que as grandes distribuições têm pessoas trabalhando nisso. Seria ilógico não tê-los. Também acredito que tudo isso é uma aposta para o futuro. O problema é: a Apple ou o Windows acabarão sendo as distribuições de código aberto mais poderosas?

LA: Vamos passar para os clientes do The Security Sentinel. Este verão eu estava conversando com um engenheiro da Oracle e ele me disse que mais e mais servidores e supercomputadores são vendidos com Linux em detrimento de seu próprio sistema, Solaris, e que eles até usam uma distribuição chamada Oracle Linux para seu trabalho todos os dias. Você encontra cada vez mais empresas que usam Linux ou ainda dependem muito do Windows?

FS: Nesse aspecto, você encontra tudo.
Meus clientes agora usam mais Linux para servidores do que Windows, mas os computadores dos usuários ainda são 90% Windows e uma porcentagem muito alta ainda usa XP !!!

LA: Alguns governos ou empresas estão migrando para distribuições Linux devido às possibilidades e vantagens que isso traz. Alguns atraídos pela segurança. Você incentivaria empresas e organizações a fazer essa mudança? O TSS aconselha projetos gratuitos para alguma das soluções de segurança que você implementa?

FS: Aconselhamos em função da necessidade de cada cliente. Gostaria que as pessoas se envolvessem mais com o Linux, mas às vezes uma marca pesa muito.
Ainda assim, sempre que podemos, assessoramos os servidores Linux pela sua robustez, flexibilidade e segurança.

LA: Muitos usuários ou empresas não prestam atenção à segurança. Até que ponto é uma má prática e que conselho você daria a eles? Conte-nos sobre um caso grave que pode ser exposto e que você observou durante sua experiência para conscientizar o público.

FS: Muito de? Quase ninguem. A primeira coisa que eu os aconselharia seria dar um pequeno curso de conscientização sobre regulamentações básicas de segurança de computadores.
Até na Agência Tributária encontrei usuários com post-it com a senha no monitor!
Mas foi incrível ver in loco, em uma pequena apresentação da nossa empresa em um possível cliente, que também é uma empresa que joga com títulos em bolsa (corretoras), ouvir o diretor de operações de seu escritório, gritar para o cientista da computação "O QUE É MEU B ... UMA SENHA ?? !!"
Mesmo depois de ver isso, o potencial cliente não nos contratou ... Deus os apanhe confessou!

LA: Agora você também ministra cursos sobre hacking e segurança. Você fez o exame CE-Council CEH (Council Ethical Hacking) com uma pontuação muito boa. Existe um ditado que diz que “a melhor defesa é um bom ataque”, digo isto em referência à questão anterior. Você incentivaria os usuários a fazer esse tipo de curso?

FS: Eu os encorajaria a não se concentrarem na "titulite", mas em fazer cursos para aprender. Focamos nossos cursos na prática, pois não gostei desse curso que vocês chamam, pois estudei por conta própria, e também sem prática. É apenas um título. No entanto, nossos alunos estão "esmagados" fazendo as práticas. Mas eles te dizem ...
Um atleta deve treinar todos os dias. Nós também.

LA: Muitos acreditam que um hacker é uma pessoa má. Até o RAE o define como um hacker que usa seu conhecimento para fazer coisas ruins. É triste ouvir isso, porque até forçou termos como “hacking ético” para que as pessoas não pensassem em um cibercriminoso. Eric Reymond, defende o termo "hacker" com a definição original e defende o uso de "cracker" para se referir a "bandidos". Mas, diante da máquina de propaganda de Hollywood, que também criou má reputação com uma infinidade de filmes e séries sobre hackers, o que pode ser feito ... O que você acha como especialista em segurança?

FS: Considero a palavra hacker como um especialista em computadores que às vezes investiga obsessivamente até encontrar a resposta. Mas daí para o crime ...
Claro que existem hackers que são criminosos, assim como pode haver bombeiros que também são criminosos. Mas, assim como não é generalizado no segundo caso, por que fazê-lo no primeiro?
Em suma, acho que o RAE mostra grande ignorância quando se trata de chamar a palavra hacker de hacker. A coisa de Hollywood é melhor não mencionar ...

Espero que tenha gostado disso primeira entrevista da série que levantamos a figuras importantes do cenário nacional e internacional ...