Rozhovor s Francisco Sanz: generálny riaditeľ spoločnosti The Security Sentinel

Security Sentinel (TSS) je španielska spoločnosť zaoberajúca sa počítačovou bezpečnosťou, mnohými tak zabudnuté a také dôležité. TSS sa zameriava na vykonávanie bezpečnostných auditov spoločností na základe etických hackerských testov alebo testov pentestingu, okrem toho poskytuje školenie o bezpečnosti.

Malware a chyby zabezpečenia sú aktuálnou témou nášho blogu, najmä najnovších správ o VENOM, Heartbleed a ďalších bezpečnostných problémoch ovplyvňujúcich GNU Linux. Preto sme sa rozhodli urobiť rozhovor Francisco Sanz, generálny riaditeľ TSS ktoré nám poskytnú nejaké indície k tejto zaujímavej téme.

Francisco (odteraz FS) je jedným z profesionálov TSS. Vyštudoval počítačové inžinierstvo na autonómnej univerzite v Madride, aby neskôr získal titul v odbore obchodného manažmentu a marketingu na ESIC, absolvoval kurzy programovania Cisco CNNA, PHP a MySQL, etické hackerstvo a zložil certifikát CEH od Rady EC s klasifikáciou 91% / 100%.

LinuxAdictos: GNU Linux je veľmi dôležitý v oblasti bezpečnosti. V našom blogu sme hovorili o distribúciách ako Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop a ďalších zameraných na bezpečné prehliadanie a ochranu súkromia, ako sú Tails a Whonix. Ktoré vo svojej dennej rutine používate?

Francis Sanchez: Podľa práce, ktorá sa má vykonať ... napríklad pri pentestingu používam svoju vlastnú distribúciu (TPS) s nástrojmi pentestingu, ktoré používame, ale na základe nich by mali 7.

NA: Mnoho ľudí útočí na bezplatný softvér alebo softvér s otvoreným zdrojovým kódom a tvrdí, že je nekvalitný alebo neistý. Čo by si odkázal týmto ľuďom? Myslíte si, že je jednoduchšie napadnúť stroj GNU Linux alebo FreeBSD, pretože je to open source ako ten s Windows, pretože je to proprietárny kód, alebo je to naopak?

FS: Otázka za milión dolárov. Alebo obvyklá otázka. Pre mňa to nie je systém, ale osoba, ktorá systém nastavuje.
Aj napriek tomu, ak sa mám rozhodnúť, vždy by som povedal LINUX. Prečo? Existuje veľa dôvodov, ale kvôli rozšíreniu by som vám povedal, že jeho predvolená konfigurácia je bezpečnejšia ako Windows '; môžete ho tiež zvýšiť bezpečnosťou pomocou viacerých možností; ako slobodný softvér môžete vyvíjať, upravovať alebo rozširovať bezpečnostné služby.
Na druhej strane neexistujú žiadne spustiteľné súbory, ktoré by vás tak ľahko infikovali trójskymi koňmi.
Aj napriek tomu sa zdá, že teraz je Windows podľa niektorých publikácií najbezpečnejší ... alebo možno ten, ktorý má najviac peňazí ... Neviem, či to vysvetľujem. V tomto porovnaní pomenujú 119 zraniteľností jadra systému Linux ... nešpecifikované ... medzi systémami Windows sa však objaví 248 ... ale pre každý operačný systém Windows určujú nižšiu sumu ... to je ... malá množina čísel. Veľa marketingu;)

NA: Security Sentinel je partnerom projektu Rapid7 Metasploit, ktorý je projektom s otvoreným zdrojovým kódom, rovnako ako mnoho ďalších, ktoré sa používajú na pentestovanie alebo forenznú analýzu. Je to dobrý príklad, ktorý objasňuje, čo sme spomenuli v predchádzajúcej otázke. Nemyslíš

FS: Metasploit (Rapid7) strávil mnoho rokov investovaním času do vývoja exploitov na poškodenie systémov všetkého druhu.
Myslím si, že možnosť, že môžete rozvíjať, upravovať alebo rozširovať ciele zneužitia a vedieť ich použiť v takomto rámci, bez toho, aby ste museli platiť alebo čakať na nové zneužitia, pretože sú otvoreným zdrojom, vám prácu značne uľahčuje.
Aj keď existuje platená verzia, s bezplatnou a so znalosťami programovania v ruby, Python, perl ... máte veľmi, veľmi užitočného spolupracovníka.
Musím tiež poznamenať, že mnoho používateľov Metasploit využíva iba 10 alebo 20% svojich možností. V ďalšom kurze etického hackingu, ktorý vyvíjame (CHEE), máme celú tému pre Metasploit, kde sa naučíme, ako tento nástroj využívať naplno.

NA: Python je programovací jazyk pod ďalšou bezplatnou licenciou (PSFL), ktorý v bezpečnostnom sektore máte veľmi dobre. Prečo? Čo je zvláštne na ostatných?

FS: Python má veľmi veľkú výhodu a je to jeho knižnica. Ich použitie a ľahká výučba jazyka vám veľmi pomôžu pri vykonávaní malých nástrojov, ktoré sú veľmi užitočné pri vykonávaní bezpečnostného auditu založeného na testovaní.
Môžete tiež prepojiť malé programy v jazyku Python s inými, ako sú nmap, nessus atď., A to vám ešte viac pomôže urýchliť prácu pentestera.
1. júna absolvujeme kurz pre našich študentov, jazyk Python pre testerov, pretože si myslíme, že je nevyhnutné, aby tento jazyk používal pentester.

NA: V poslednej dobe boli zistené niektoré kritické chyby v projektoch otvoreného zdroja a niektoré ďalšie malware, ktoré napádajú systémy GNU Linux. Spoločnosti, ktoré predávajú uzavretý softvér, napríklad Apple a Microsoft, majú bezpečnostných audítorov, ktorí útočia na ich vlastné systémy a zlepšujú tak zabezpečenie. Myslíte si, že komunita pre vývoj projektov s otvoreným zdrojom by mala zvážiť podporu tejto praxe?

FS: Myslíte si, že neexistujú žiadni audítori pre Apache, Debian, Fedora, Ubuntu ... ďalšia vec je, že účtujú to, čo účtujú iné firmy, ale existujú, existujú, pretože chápem, že na veľkých distribúciách pracujú ľudia . Bolo by nelogické nemať ich. Tiež verím, že to všetko je stávka do budúcnosti. Problém je v tom, že nakoniec bude nový Apple alebo Windows najvýkonnejšou open source distribúciou?

NA: Prejdime k zákazníkom The Security Sentinel. Toto leto som chatoval s inžinierom Oracle a ten mi povedal, že čoraz viac serverov a superpočítačov sa predáva s Linuxom na úkor ich vlastného systému Solaris a že pre svoju prácu každý deň dokonca používajú distribúciu s názvom Oracle Linux. Nájdete čoraz viac spoločností, ktoré používajú Linux alebo stále dosť závisia od Windows?

FS: V tomto aspekte nájdete všetko.
Moji klienti teraz používajú viac serverov Linux ako Windows, ale počítače používateľov sú stále z 90% Windows a veľmi vysoké percento stále používa XP !!!

NA: Niektoré vlády alebo spoločnosti migrujú na distribúcie Linuxu kvôli možnostiam a výhodám, ktoré to prináša. Niektoré nalákali na bezpečnosť. Podporili by ste spoločnosti a organizácie, aby vykonali túto zmenu? Radí TSS bezplatné projekty pre niektoré z bezpečnostných riešení, ktoré implementujete?

FS: Poradíme v závislosti od potrieb každého klienta. Bol by som rád, keby sa ľudia viac angažovali v systéme Linux, ale niekedy značka váži veľa.
Aj napriek tomu kedykoľvek, keď je to možné, poradíme serverom Linux ich robustnosť, flexibilitu a zabezpečenie.

NA: Mnoho používateľov alebo spoločností nevenuje pozornosť bezpečnosti. Do akej miery je to zlý postup a akú radu by ste im dali? Povedzte nám o závažných prípadoch, ktoré môžu byť odhalené a ktoré ste počas svojich skúseností spozorovali pri zvyšovaní povedomia verejnosti.

FS: Veľa? Takmer nikto. Prvá vec, ktorú by som im poradil, by bolo absolvovať malý kurz zvyšovania povedomia o základných predpisoch o počítačovej bezpečnosti.
Aj v daňovej agentúre som na monitore našiel používateľov, ktorí majú post-it s ich heslom!
Bolo ale neuveriteľné vidieť in situ, v malej prezentácii našej spoločnosti u možného klienta, ktorým je tiež spoločnosť, ktorá sa hrá s cennými papiermi na trhu cenných papierov (makléri), ​​počúvať riaditeľa prevádzky z jeho kancelárie, kričať na počítačový vedec „ČO JE MOJE B ... HESLO ?? !!“
Ani potom, čo sme to videli, nás potenciálny klient neprijal ... Boh ich chytil, priznali sa!

NA: Teraz tiež vediete kurzy hackerstva a bezpečnosti. Sami ste absolvovali skúšku ECH Council CEH (Council Ethical Hacking) a dosiahli ste celkom dobré skóre. Hovorí sa, že „najlepšia obrana je dobrý útok“, hovorím to v súvislosti s predchádzajúcou otázkou. Odporúčali by ste používateľom absolvovať tento typ kurzu?

FS: Chcel by som ich povzbudiť, aby sa nesústredili na „titulitídu“, ale aby sa radšej učili. Naše kurzy zameriavame na prax, pretože sa mi nepáčil tento kurz, ktorý pomenujete, pretože som ho študoval samostatne a tiež bez praxe. Je to iba titul. Naši študenti sú však „drvení“, keď robia postupy. Ale oni ti hovoria ...
Športovec musí trénovať každý deň. Tiež.

NA: Mnohí veria, že hacker je zlý človek. Aj RAE ho definuje ako hackera, ktorý využíva svoje znalosti na to, aby robil zlé veci. Je smutné, že to počujem, pretože to dokonca prinútilo vidieť pojmy ako „etické hackerstvo“, aby ľudia nemysleli na kybernetického zločinca. Eric Reymond obhajuje pojem „hacker“ s pôvodnou definíciou a zasadzuje sa za to, aby sa výraz „cracker“ používal na označenie „zlí chlapci“. Čo sa však dá robiť proti propagandistickému stroju z Hollywoodu, ktorý si tiež vytvoril zlú povesť vďaka množstvu filmov a seriálov o hackeroch ... Čo si myslíte ako bezpečnostný expert?

FS: Slovo hacker považujem za počítačového špecialistu, ktorý niekedy obsedantne skúma, kým nenájde svoju odpoveď. Ale odtiaľ k zločinu ...
Samozrejme, že sú hackeri, ktorí sú zločincami, pretože môžu byť aj hasiči, ktorí sú tiež zločincami. Ale rovnako ako to nie je zovšeobecnené v druhom prípade, prečo to urobiť v prvom prípade?
Stručne povedané, myslím si, že RAE vykazuje veľkú nevedomosť, pokiaľ ide o označovanie slova hacker ako hacker. O Hollywoode je lepšie nehovoriac ...

Dúfam, že sa vám páčilo prvý rozhovor zo série, ktorú sme nastolili k významným osobnostiam na národnej a medzinárodnej scéne ...