Interviu cu Francisco Sanz: CEO al The Security Sentinel

Security Sentinel (TSS) este o companie spaniolă dedicată securității computerelor, atât de uitat de mulți și atât de important. TSS este dedicat efectuării de audituri de securitate companiilor, pe baza testelor de piraterie etică sau de testare pentesting, pe lângă oferirea de cursuri de formare în domeniul securității.

Programele malware și vulnerabilitățile sunt un subiect fierbinte pe blogul nostru și mai ales cu cele mai recente știri despre VENOM, Heartbleed și alte probleme de securitate care afectează GNU Linux. De aceea am decis să intervievăm Francisco Sanz, CEO TSS ceea ce ne va oferi câteva indicii despre acest subiect interesant.

Francisco (FS de acum înainte) este unul dintre profesioniștii TSS. A studiat ingineria computerelor la Universitatea Autonomă din Madrid pentru a obține ulterior o diplomă în managementul afacerilor și marketing la ESIC, a urmat cursurile de programare Cisco CNNA, PHP și MySQL, hacking etic și a trecut certificatul CEH de la EC-Council cu o clasificare 91% / 100%.

LinuxAdictos: GNU Linux este foarte important în domeniul securității. În blogul nostru am vorbit despre distribuții precum Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop sau altele orientate spre navigare și confidențialitate în siguranță, precum Tails și Whonix. În rutina ta zilnică, pe care le folosești?

Francis Sanchez: În funcție de munca de făcut ... de exemplu, în pentesting folosesc propria mea distribuție (TPS) cu instrumente de pentesting pe care le folosim, dar pe baza acestora ar trebui să fie 7.

THE: Mulți atacă software-ul gratuit sau open source spunând că este de calitate slabă sau mai nesigur. Ce le-ai spune acestor oameni? Credeți că este mai ușor să atacați o mașină GNU Linux sau FreeBSD deoarece este open source decât una cu Windows pentru că este un cod proprietar sau este opusul?

FS: Întrebarea de milioane de dolari. Sau întrebarea obișnuită. Pentru mine nu este sistemul, ci persoana care configurează sistemul.
Chiar și așa, dacă ar trebui să decid, aș spune întotdeauna LINUX. De ce? Există multe motive, dar pentru a nu mă extinde vă aș spune că configurația sa implicită este mai sigură decât Windows '; îl puteți face, de asemenea, mai sigur, având mai multe opțiuni; fiind software gratuit, puteți dezvolta, modifica sau extinde serviciile de securitate.
Pe de altă parte, nu există executabile care să vă infecteze cu troieni atât de ușor.
Chiar și așa, se pare că acum Windows este cel mai sigur, conform unor publicații ... sau poate cel cu cei mai mulți bani ... Nu știu dacă mă explic explain. În această comparație numesc 119 vulnerabilități de nucleu Linux ... nespecificate ... cu toate acestea 248 apar printre sistemele Windows ... dar specificând o cantitate mai mică pentru fiecare sistem de operare Windows ... adică ... un set mic de numere. Mult marketing;)

THE: Security Sentinel este partener al proiectului Rapid7 Metasploit, un proiect open source, ca mulți alții folosiți pentru analize penale sau criminalistice. Este un bun exemplu care clarifică ceea ce am menționat în întrebarea anterioară. Nu crezi

FS: Ei bine, Metasploit (Rapid7) a petrecut mulți ani investind timp în dezvoltarea exploatărilor pentru a deteriora sistemele de tot felul.
Cred că posibilitatea de a putea dezvolta, modifica sau extinde obiectivele unui exploit și a putea să-l utilizați cu un cadru ca acesta, fără a fi nevoie să plătiți sau să așteptați noi exploatări, fiind open source, vă face munca mult mai ușoară.
Deși există o versiune plătită, cu cea gratuită și cu cunoștințe de programare în rubin, Python, perl ... aveți un coleg de muncă foarte, foarte util.
De asemenea, trebuie să comentez că mulți utilizatori Metasploit folosesc doar 10 sau 20% din posibilitățile lor. În următorul curs de hacking etic pe care îl dezvoltăm (CHEE), avem un subiect întreg pentru Metasploit, unde vom învăța cum să folosim instrumentul la maximum.

THE: Python este un limbaj de programare sub o altă licență gratuită (PSFL) și pe care îl aveți foarte prezent în sectorul securității. De ce? Ce este special la ceilalți?

FS: Python are un avantaj foarte mare și este bibliotecile sale. Utilizarea acestora și ușurința de a învăța limba vă ajută foarte mult să puteți realiza instrumente mici, care sunt foarte utile atunci când efectuați un audit de securitate bazat pe pentesting.
De asemenea, puteți conecta programe mici Python cu altele precum nmap, nessus etc ... și acest lucru vă ajută și mai mult să accelerați activitatea unui pentester.
Luăm un curs pe 1 iunie pentru studenții noștri, Python pentru pentester, deoarece credem că este esențial pentru un pentester să folosească acest limbaj.

THE: În ultimul timp, unele vulnerabilități critice au fost detectate în proiectele open source și alte malware care atacă sistemele GNU Linux. Companiile care vând software închis, precum Apple și Microsoft, au auditori de securitate care își atacă propriile sisteme pentru a îmbunătăți securitatea. Credeți că comunitatea de dezvoltare a proiectelor open source ar trebui să ia în considerare promovarea acestei practici?

FS: Ei bine, credeți că nu există auditori pentru Apache, Debian, Fedora, Ubuntu ... un alt lucru este că ei percep ceea ce percep alte firme, dar există, există, pentru că înțeleg că distribuțiile mari au oameni care lucrează la asta. Ar fi ilogic să nu le avem. De asemenea, cred că toate acestea sunt un pariu pentru viitor. Problema este dacă Apple sau Windows vor ajunge să fie cele mai puternice distribuții open source?

THE: Să trecem la clienții The Security Sentinel. Vara aceasta am stat de vorbă cu un inginer Oracle și mi-a spus că tot mai multe servere și supercalculatoare sunt vândute cu Linux în detrimentul propriului sistem, Solaris, și că folosesc chiar și o distribuție numită Oracle Linux pentru munca lor în fiecare zi. Găsiți din ce în ce mai multe companii care folosesc Linux sau care depind încă foarte mult de Windows?

FS: În acest aspect, găsești totul.
Clienții mei folosesc acum mai multe Linux pentru servere decât Windows, dar computerele utilizatorului sunt încă 90% Windows și un procent foarte mare încă mai folosește XP !!!

THE: Unele guverne sau companii migrează către distribuțiile Linux din cauza posibilităților și avantajelor pe care le aduce. Unii ademeniți de siguranță. Ați încuraja companiile și organizațiile să facă această schimbare? TSS recomandă proiecte gratuite pentru oricare dintre soluțiile de securitate pe care le implementați?

FS: Vă sfătuim în funcție de nevoile fiecărui client. Mi-aș dori ca oamenii să se implice mai mult în Linux, dar uneori un nume de marcă cântărește foarte mult.
Chiar și așa, noi, ori de câte ori putem, sfătuim serverele Linux pentru robustețe, flexibilitate și securitate.

THE: Mulți utilizatori sau companii nu acordă atenție securității. În ce măsură este o practică proastă și ce sfaturi le-ați da? Spuneți-ne despre un caz grav care poate fi expus și pe care l-ați observat în timpul experienței dvs. pentru a sensibiliza publicul.

FS: O mulțime de? Aproape nimeni. Primul lucru pe care i-aș sfătui ar fi să susțină un mic curs de conștientizare cu privire la reglementările de bază ale securității computerelor.
Chiar și în agenția fiscală am găsit utilizatori pe post-it cu parola lor pe monitor!
Dar a fost incredibil să vedem in situ, într-o mică prezentare a companiei noastre la un posibil client, care este, de asemenea, o companie care se joacă cu valori mobiliare pe piața de valori (brokeri), ascultați directorul de operațiuni din biroul său, strigați la informaticianul „CARE ESTE B-MI ... O PAROLĂ ?? !!”
Chiar și după ce a văzut acest lucru, potențialul client nu ne-a angajat ... Dumnezeu îi prinde mărturisit!

THE: Acum predați și cursuri de hacking și securitate. Ați susținut examenul CEH-Council CEH (Council Ethical Hacking) și cu un scor destul de bun. Se spune că „cea mai bună apărare este o ofensă bună”, spun asta cu referire la întrebarea anterioară. Ați încuraja utilizatorii să urmeze acest tip de curs?

FS: I-aș încuraja să nu se concentreze pe „titulitis”, ci să ia cursuri pentru a învăța. Ne concentrăm cursurile pe practică, pentru că nu mi-a plăcut acest curs pe care îl numiți, deoarece l-am studiat singur și, de asemenea, fără practică. Este doar un titlu. Cu toate acestea, studenții noștri sunt „zdrobiți” făcând practici. Dar ei îți spun ...
Un sportiv trebuie să se antreneze în fiecare zi. Noi Deasemenea.

THE: Mulți cred că un hacker este o persoană rea. Chiar și RAE îl definește ca un hacker care își folosește cunoștințele pentru a face lucruri rele. Este trist să auzim acest lucru, deoarece a forțat chiar să se vadă termeni precum „hacking etic”, astfel încât oamenii să nu se gândească la un criminal cibernetic. Eric Reymond, apără termenul „hacker” cu definiția originală și susține folosirea „crackerului” pentru a se referi la „băieții răi”. Dar, în fața mașinii de propagandă de la Hollywood, care și-a creat o reputație proastă cu o multitudine de filme și seriale despre hackeri, ce se poate face ... Ce părere aveți ca expert în securitate?

FS: Consider cuvântul hacker ca un specialist în calculatoare care uneori investighează obsesiv până își găsește răspunsul. Dar de acolo la crimă ...
Desigur, există hackeri care sunt criminali, deoarece pot exista pompieri care sunt și criminali. Dar, așa cum nu este generalizat în al doilea caz, de ce se face în primul?
Pe scurt, cred că RAE arată o mare ignoranță atunci când vine vorba de a numi cuvântul hacker ca hacker. Lucrul de la Hollywood este mai bine să nu-l menționez ...

Sper că ți-a plăcut asta primul interviu din seria pe care am ridicat-o către personalități importante de pe scena națională și internațională ...