Security Sentinel (TSS) je špansko podjetje, ki se ukvarja z računalniško varnostjo, tako pozabljeni od mnogih in tako pomembni. TSS je namenjen izvajanju varnostnih revizij za podjetja, ki temeljijo na etičnih preizkusih vdora ali testiranja, poleg tega pa nudi tudi tečaje o varnosti.
Zlonamerna programska oprema in ranljivosti so vroča tema našega spletnega dnevnika, zlasti z najnovejšimi novicami o VENOM, Heartbleed in drugih varnostnih težavah, ki vplivajo na GNU Linux. Zato smo se odločili za intervju Francisco Sanz, izvršni direktor TSS ki nam bo dal nekaj namigov o tej zanimivi temi.
Francisco (FS odslej) je eden izmed profesionalcev TSS. Študiral je računalniško tehniko na avtonomni univerzi v Madridu, da bi kasneje diplomiral iz komercialnega menedžmenta in trženja na ESIC, opravil tečaje programiranja Cisco CNNA, PHP in MySQL, etično vdiranje in certifikat CEH prejel od Sveta EC s klasifikacijo 91% / 100 %.
LinuxAdictos: GNU Linux je zelo pomemben na področju varnosti. V našem blogu smo govorili o distribucijah, kot so Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop ali drugih, ki so usmerjene k varnemu brskanju in zasebnosti, kot so Tails in Whonix. Katere v svoji vsakdanjiku uporabljate?
Francis Sanchez: Odvisno od dela, ki ga je treba opraviti ... na primer pri pentestiranju uporabljam lastno distribucijo (TPS) z orodji za pentestiranje, ki jih uporabljamo, vendar naj temeljijo na njih 7.
TO: Mnogi napadajo brezplačno ali odprtokodno programsko opremo, češ da je nekakovostna ali bolj negotova. Kaj bi rekel tem ljudem? Ali menite, da je lažje napasti računalnik GNU Linux ali FreeBSD, ker je odprtokoden kot tisti z operacijskim sistemom Windows, ker je lastniška koda, ali je ravno nasprotno?
FS: Vprašanje za milijon dolarjev. Ali običajno vprašanje. Zame sistem ni sistem, ampak oseba, ki ga vzpostavi.
Kljub temu bi, če bi se moral odločiti, vedno rekel LINUX. Zakaj? Razlogov je veliko, toda za neširitev bi vam povedal, da je njegova privzeta konfiguracija varnejša od sistema Windows; lahko ga naredite tudi bolj varnega, če imate več možnosti; ker ste brezplačna programska oprema, lahko razvijate, spreminjate ali razširjate varnostne storitve.
Po drugi strani pa ni izvršljivih datotek, ki bi vas tako zlahka okužile s trojanci.
Kljub temu se zdi, da je zdaj po nekaterih publikacijah Windows najvarnejši ... ali morda tisti z največ denarja ... Ne vem, ali se razlagam. V tej primerjavi poimenujejo 119 ranljivosti jedra Linuxa ... nedoločenih ... vendar se med sistemi Windows pojavi 248 ... vendar določa nižji znesek za vsak OS Windows ... to je ... majhen nabor številk. Veliko trženja;)
TO: Security Sentinel je partner odprtokodnega projekta Rapid7 Metasploit, tako kot mnogi drugi, ki se uporabljajo za pentestiranje ali forenzične analize. Je dober primer, ki jasno pove, kar smo omenili v prejšnjem vprašanju. Se vam ne zdi?
FS: No, Metasploit (Rapid7) je že vrsto let vlagal čas v razvoj podvigov za poškodbe sistemov vseh vrst.
Menim, da vam možnost, da lahko razvijete, spremenite ali razširite cilje podviga in ga lahko uporabljate v takem okviru, ne da bi vam bilo treba plačati ali čakati na nove podvige, saj ste odprtokodni, olajša delo.
Čeprav obstaja plačljiva različica, imate z brezplačno in s programskim znanjem v rubyju, Pythonu, perlu ... zelo, zelo koristnega sodelavca.
Moram tudi pripomniti, da mnogi uporabniki Metasploita uporabljajo le 10 ali 20% svojih možnosti. Na naslednjem tečaju etičnega vdiranja, ki ga razvijamo (CHEE), imamo celotno temo za Metasploit, kjer bomo naučili, kako orodje uporabljati v največji možni meri.
TO: Python je programski jezik pod drugo brezplačno licenco (PSFL) in je zelo prisoten v varnostnem sektorju. Zakaj? Kaj je posebnega pri drugih?
FS: Python ima zelo veliko prednost in to so njegove knjižnice. Uporaba le-teh in enostavnost učenja jezika vam zelo pomagata pri izvajanju majhnih orodij, ki so zelo koristna pri izvajanju varnostne presoje na podlagi pentestinga.
Majhne programe Python lahko povežete tudi z drugimi, kot so nmap, nessus itd ... in to vam še bolj pomaga, da pospešite delo pentesterja.
1. junija opravimo tečaj za naše študente, Python za pentesterje, ker menimo, da je bistveno, da pentester uporablja ta jezik.
TO: V zadnjem času so v odprtokodnih projektih in nekaterih drugih zlonamernih programih, ki napadajo sisteme GNU Linux, odkrili nekaj kritičnih ranljivosti. Podjetja, ki prodajajo zaprto programsko opremo, na primer Apple in Microsoft, imajo varnostne presojevalce, ki za izboljšanje varnosti napadajo lastne sisteme. Ali menite, da bi morala skupnost za razvoj odprtokodnih projektov razmisliti o spodbujanju te prakse?
FS: No, mislite, da ni revizorjev za Apache, Debian, Fedora, Ubuntu ... druga stvar je, da zaračunavajo, kar zaračunavajo druga podjetja, vendar obstajajo, saj obstajajo, ker razumem, da v velikih distribucijah delajo ljudje. Nelogično bi bilo, če jih ne bi imeli. Verjamem tudi, da je vse to stava za prihodnost. Težava je v tem, ali bosta Apple ali Windows na koncu najmočnejša odprtokodna distribucija?
TO: Pojdimo na stranke The Security Sentinel. Letos poleti sem klepetal z inženirjem Oracle in rekel mi je, da se vedno več strežnikov in superračunalnikov prodaja z Linuxom v škodo njihovega lastnega sistema Solaris in da za svoje delo vsak dan uporabljajo celo distribucijo z imenom Oracle Linux. Ali najdete vedno več podjetij, ki uporabljajo Linux ali so še vedno zelo odvisna od sistema Windows?
FS: V tem pogledu najdete vse.
Moje stranke zdaj za strežnike uporabljajo več Linuxa kot Windows, vendar so uporabniški računalniki še vedno 90% Windows in zelo velik odstotek še vedno uporablja XP !!!
TO: Nekatere vlade ali podjetja prehajajo na distribucije Linuxa zaradi možnosti in prednosti, ki jih prinaša. Nekatere zvabila varnost. Bi spodbudili podjetja in organizacije k tej spremembi? Ali TSS svetuje brezplačne projekte za katero koli varnostno rešitev, ki jo izvajate?
FS: Svetujemo glede na potrebe vsake stranke. Želel bi, da se ljudje bolj ukvarjajo z Linuxom, toda blagovna znamka včasih veliko tehta.
Kljub temu strežnikom Linux svetujemo, kadar koli le lahko, njihovo robustnost, prilagodljivost in varnost.
TO: Mnogi uporabniki ali podjetja niso pozorni na varnost. V kolikšni meri gre za slabo prakso in kakšen nasvet bi jim svetovali? Povejte nam o resnem primeru, ki ga lahko izpostavite in ste ga opazili med svojimi izkušnjami za ozaveščanje javnosti.
FS: Veliko? Skoraj nihče. Prvo, kar bi jim svetoval, bi bilo, da bi izvedli majhen tečaj ozaveščanja o osnovnih predpisih o računalniški varnosti.
Tudi v davčni agenciji sem našel uporabnike, ki so jih na monitorju objavili z geslom!
Neverjetno pa je bilo videti in situ, v majhni predstavitvi našega podjetja pri morebitni stranki, ki je tudi družba, ki se igra z vrednostnimi papirji na borzi (borzni posredniki), poslušati direktorja poslovanja iz njegove pisarne, kričati računalničar "KAJ JE MOJA B ... GESLA ?? !!"
Tudi potem, ko je to videl, nas potencialna stranka ni zaposlila ... Bog jih ujame!
TO: Zdaj predavate tudi tečaje o vdoru in varnosti. Izpit CE-CEH (Council Ethical Hacking) EC-Council ste opravljali sami in to z dokaj dobro oceno. Obstaja rek, da je "najboljša obramba dober prekršek", to rečem glede na prejšnje vprašanje. Bi spodbudili uporabnike, da se udeležijo te vrste tečaja?
FS: Spodbujal bi jih, naj se ne osredotočajo na "titulitis", temveč na tečaje za učenje. Naše tečaje osredotočamo na prakso, ker mi ta tečaj, ki ste ga poimenovali, ni bil všeč, saj sem se ga učil sam in tudi brez prakse. To je samo naslov. Naši učenci pa so "zdrobljeni" pri izvajanju praks. Ampak ti pravijo ...
Športnik mora trenirati vsak dan. Smo tudi.
TO: Mnogi verjamejo, da je heker slaba oseba. Tudi RAE ga opredeljuje kot hekerja, ki s svojim znanjem dela slabe stvari. Žalostno je to slišati, ker je celo prisililo, da se vidijo izrazi, kot je "etično vdiranje", da ljudje ne bi pomislili na kiber kriminalca. Eric Reymond zagovarja izraz "heker" s prvotno definicijo in zagovarja uporabo "krekerja", ki se nanaša na "slabe fante". Toda kaj je mogoče storiti pred propagandnim strojem Hollywooda, ki je z množico filmov in serij o hekerjih ustvaril tudi slab sloves ... Kaj mislite kot strokovnjak za varnost?
FS: Besedo heker imam za računalniškega strokovnjaka, ki včasih obsesivno preiskuje, dokler ne najde odgovora. Toda od tam do zločina ...
Seveda obstajajo hekerji, ki so zločinci, saj lahko obstajajo tudi gasilci, ki so tudi zločinci. A tako kot v drugem primeru ni posplošeno, zakaj v prvem?
Skratka, mislim, da RAE kaže veliko nevednost, ko besedo heker imenujemo heker. Bolje je, da hollywoodske stvari ne omenjate ...
Upam, da vam je bilo to všeč prvi intervju v seriji, ki smo jo sprožili pomembnim osebnostim na nacionalni in mednarodni sceni ...
Zelo zanimiv intervju, kar tako naprej. linuxadictos.com
Želim vstopiti v to organizacijo, prosim, če me želite prejeti, moja številka je 7351979719 Živim v morelosu. Vem, kaj je in res želim vstopiti