Security Sentinel (TSS) - испанская компания, занимающаяся компьютерной безопасностью, так забыто многими и так важно. TSS посвящен проведению аудитов безопасности компаний на основе этических хакерских или пентест-тестов, а также проведению учебных курсов по безопасности.
Вредоносные программы и уязвимости - горячая тема в нашем блоге, особенно в последних новостях о VENOM, Heartbleed и других проблемах безопасности, влияющих на GNU Linux. Вот почему мы решили взять интервью Франциско Санс, генеральный директор TSS что даст нам некоторые подсказки по этой интересной теме.
Франциско (с этого момента FS) - один из профессионалов TSS.. Он изучал компьютерную инженерию в Автономном университете Мадрида, а затем получил диплом по коммерческому менеджменту и маркетингу в ESIC, прошел курсы программирования Cisco CNNA, PHP и MySQL, этический взлом и получил сертификат CEH от EC-Council с классификацией 91% / 100. %.
LinuxAdictos: GNU Linux очень важен в области безопасности. В нашем блоге мы говорили о таких дистрибутивах, как Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop или других, ориентированных на безопасный просмотр и конфиденциальность, таких как Tails и Whonix. Какие из них вы используете в повседневной жизни?
Франсиско Санс: В зависимости от работы, которую предстоит проделать ... например, при тестировании на проникновение я использую свой собственный дистрибутив (TPS) с инструментами для тестирования на проникновение, которые мы используем, но на их основе должны быть 7.
LA: Многие атакуют бесплатное программное обеспечение или программное обеспечение с открытым исходным кодом, заявляя, что оно некачественное или небезопасное. Что бы вы сказали этим людям? Как вы думаете, легче атаковать машину с GNU Linux или FreeBSD, потому что она имеет открытый исходный код, чем машину с Windows, потому что это проприетарный код, или наоборот?
ФС: Вопрос на миллион долларов. Или обычный вопрос. Для меня это не система, а человек, который ее настраивает.
Даже в этом случае, если мне нужно будет решить, я всегда скажу LINUX. Почему? Есть много причин, но, чтобы не расширять, я бы сказал вам, что его конфигурация по умолчанию более безопасна, чем Windows; вы также можете сделать его более безопасным, используя несколько вариантов; будучи свободным программным обеспечением, вы можете разрабатывать, изменять или расширять службы безопасности.
С другой стороны, нет исполняемых файлов, которые так легко заразили бы вас троянами.
Тем не менее, похоже, что сейчас Windows самая безопасная, согласно некоторым публикациям ... или, может быть, та, у которой больше всего денег ... Не знаю, объяснюсь ли я ». В этом сравнении они называют 119 уязвимостей ядра Linux ... не указано ... однако среди систем Windows обнаруживается 248 ... но указывается меньшее количество для каждой ОС Windows ... то есть ... небольшой набор чисел. Много маркетинга;)
LA: Security Sentinel является партнером проекта Rapid7 Metasploit, проекта с открытым исходным кодом, как и многих других, используемых для пентестинга или криминалистического анализа. Это хороший пример, который проясняет то, что мы упомянули в предыдущем вопросе. Вы так не думаете?
ФС: Что ж, Metasploit (Rapid7) потратил много лет на разработку эксплойтов, наносящих ущерб системам всех видов.
Я думаю, что возможность разработки, изменения или расширения целей эксплойта и возможность использовать его с подобной структурой без необходимости платить или ждать новых эксплойтов, будучи открытым исходным кодом, значительно упрощает вашу работу.
Хотя есть платная версия, бесплатная и со знанием программирования на Ruby, Python, perl ... у вас есть очень и очень полезный сотрудник.
Я также должен отметить, что многие пользователи Metasploit используют только 10 или 20% своих возможностей. В следующем разрабатываемом нами курсе этического взлома (CHEE) у нас есть целая тема для Metasploit, где мы научим, как использовать этот инструмент в полной мере.
LA: Python - это язык программирования под другой бесплатной лицензией (PSFL), и вы очень хорошо работаете в сфере безопасности. Почему? Что особенного в других?
ФС: У Python очень большое преимущество - это его библиотеки. Их использование и простота изучения языка очень помогает вам использовать небольшие инструменты, которые очень полезны при выполнении аудита безопасности на основе пентестинга.
Вы также можете соединить небольшие программы Python с другими программами, такими как nmap, nessus и т. Д., И это поможет вам еще больше ускорить работу пентестера.
1 июня мы изучаем курс Python для пентестеров, потому что считаем, что для пентестера очень важно использовать этот язык.
LA: В последнее время были обнаружены критические уязвимости в проектах с открытым исходным кодом и некоторые другие вредоносные программы, атакующие системы GNU Linux. Компании, продающие закрытое программное обеспечение, такие как Apple и Microsoft, имеют аудиторов безопасности, которые атакуют их собственные системы, чтобы повысить безопасность. Считаете ли вы, что сообществу разработчиков проектов с открытым исходным кодом следует рассмотреть возможность продвижения этой практики?
ФС: Что ж, вы думаете, что нет аудиторов для Apache, Debian, Fedora, Ubuntu ... Другое дело, что они взимают столько, сколько взимают другие фирмы, но они есть, они существуют, потому что я понимаю, что в больших дистрибутивах есть люди, работающие над этим. Не иметь их было бы нелогично. Я тоже считаю, что все это ставка на будущее. Проблема в том, станут ли Apple или Windows самыми мощными дистрибутивами с открытым исходным кодом?
LA: Перейдем к клиентам The Security Sentinel. Этим летом я разговаривал с инженером Oracle, и он сказал мне, что все больше и больше серверов и суперкомпьютеров продаются с Linux в ущерб их собственной системе, Solaris, и что они даже используют дистрибутив Oracle Linux для своей работы каждый день. Вы находите все больше и больше компаний, которые используют Linux или все еще сильно зависят от Windows?
ФС: В этом аспекте вы найдете все.
Мои клиенты теперь используют больше Linux для серверов, чем Windows, но на компьютерах пользователей по-прежнему 90% Windows и очень высокий процент по-прежнему использует XP !!!
LA: Некоторые правительства или компании переходят на дистрибутивы Linux из-за возможностей и преимуществ, которые это дает. Некоторых соблазняет безопасность. Вы бы побудили компании и организации внести это изменение? Советует ли TSS бесплатные проекты для каких-либо решений безопасности, которые вы внедряете?
ФС: Консультируем в зависимости от потребностей каждого клиента. Я бы хотел, чтобы люди больше интересовались Linux, но иногда название бренда имеет большое значение.
Даже в этом случае мы, когда можем, советуем серверы Linux за их надежность, гибкость и безопасность.
LA: Многие пользователи или компании не обращают внимания на безопасность. Насколько это плохая практика и какой совет вы им дали бы? Расскажите нам о серьезном случае, который может быть раскрыт и который вы наблюдали во время своего опыта, чтобы привлечь внимание общественности.
ФС: Много? Почти никто. Первое, что я бы посоветовал им, - это провести небольшой ознакомительный курс по основным правилам компьютерной безопасности.
Даже в налоговой нашла пользователей с наклейкой с паролем на мониторе!
Но было невероятно увидеть на месте, в небольшой презентации нашей компании в возможном клиенте, который также является компанией, которая играет с ценными бумагами на фондовом рынке (брокеры), слушать операционного директора из его офиса, кричать компьютерный ученый "ЧТО ТАКОЕ МОЙ Б ... ПАРОЛЬ ?? !!"
Даже увидев это, потенциальный клиент нас не нанял ... Бог их признался!
LA: Теперь вы также преподаете курсы по взлому и безопасности. Вы сами сдали экзамен EC-Council CEH (Совет по этическому взлому) и набрали неплохой результат. Есть поговорка, что «лучшая защита - это хорошее нападение», я говорю это в связи с предыдущим вопросом. Вы бы посоветовали пользователям пройти этот курс?
ФС: Я бы посоветовал им не сосредотачиваться на «титулите», а вместо этого посещать курсы для обучения. Мы ориентируем наши курсы на практику, потому что мне не понравился этот курс, который вы назвали, так как я изучал его самостоятельно, а также без практики. Это просто название. Однако наши ученики «раздавлены», выполняя практики. Но они говорят вам ...
Спортсмен должен тренироваться каждый день. Мы также.
LA: Многие считают, что хакер - плохой человек. Даже RAE определяет его как хакера, который использует свои знания для плохих поступков. Это грустно слышать, потому что это заставило даже увидеть такие термины, как «этический взлом», чтобы люди не думали о киберпреступниках. Эрик Реймонд защищает термин «хакер» с помощью первоначального определения и выступает за использование слова «взломщик» для обозначения «плохих парней». Но перед лицом пропагандистской машины Голливуда, которая также создала плохую репутацию благодаря множеству фильмов и сериалов о хакерах, что можно сделать ... Что вы думаете как эксперт по безопасности?
ФС: Я считаю слово хакер компьютерным специалистом, который иногда одержимо исследует, пока не найдет ответ. Но оттуда к преступлению ...
Конечно, есть хакеры-преступники, а могут быть и пожарные, которые тоже преступники. Но так же, как это не обобщается во втором случае, почему это делается в первом?
Короче говоря, я думаю, что RAE демонстрирует большое невежество, когда доходит до того, что называть хакером слово хакер. О Голливуде лучше не упоминать ...
Я надеюсь тебе понравилось это первое интервью из серии, которую мы подняли важным фигурам на национальной и международной арене ...
Довольно интересное интервью, продолжайте в том же духе. linuxadictos.com
Я хочу вступить в эту организацию, пожалуйста, если вы хотите меня принять, мой номер 7351979719 Я живу в морелосе Я знаю, что это такое, и я действительно хочу вступить