Intervistë me Francisco Sanz: CEO i The Security Sentinel

Security Sentinel (TSS) është një kompani spanjolle e dedikuar për sigurinë e kompjuterit, kaq të harruar nga shumë dhe kaq të rëndësishëm. TSS i dedikohet kryerjes së kontrolleve të sigurisë për kompanitë, bazuar në testet etike të piraterisë ose pentesting, përveç dhënies së kurseve të trajnimit për sigurinë.

Malware dhe dobësitë janë një temë e nxehtë në blogun tonë dhe veçanërisht me lajmet më të fundit mbi VENOM, Heartbleed dhe çështje të tjera të sigurisë që prekin GNU Linux. Kjo është arsyeja pse ne kemi vendosur të intervistojmë Francisco Sanz, CEO i TSS gjë që do të na japë disa të dhëna për këtë temë interesante.

Francisco (FS tani e tutje) është një nga profesionistët e TSS. Ai studioi inxhinierinë kompjuterike në Universitetin Autonom të Madridit për të marrë më vonë një diplomë në menaxhim biznesi dhe marketing në ESIC, të marrë kurse programimi Cisco CNNA, PHP dhe MySQL, hakim etik dhe të kalojë certifikatën CEH nga Këshilli i KE me një 91% / 100%

LinuxAdictos: GNU Linux është shumë i rëndësishëm në fushën e sigurisë. Në blogun tonë kemi folur për shpërndarje të tilla si Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop, ose të tjera të orientuara në shfletim dhe privatësi të sigurt, të tilla si Tails dhe Whonix. Në rutinën tuaj të përditshme, cilat përdorni?

Francis Sanchez: Në varësi të punës për të bërë ... për shembull, në pentesting unë përdor shpërndarjen time (TPS) me mjete pentesting që ne përdorim, por bazuar në ato duhet 7.

: Shumë sulmojnë softuer falas ose me burim të hapur duke thënë se është me cilësi të dobët ose më i pasigurt. Çfarë do t’u thuash këtyre njerëzve? A mendoni se është më lehtë të sulmosh një makinë GNU Linux ose FreeBSD sepse është me burim të hapur sesa ajo me Windows sepse është kod i pronësisë, apo është e kundërta?

FS: Pyetja milion dollarëshe. Ose pyetja e zakonshme. Për mua nuk është sistemi, por personi që vendos sistemin.
Edhe kështu, nëse duhet të vendos, gjithmonë do të thosha LINUX. Pse Ka shumë arsye, por për të mos u zgjeruar do t'ju tregoja se konfigurimi i tij i paracaktuar është më i sigurt se Windows '; ju gjithashtu mund ta bëni atë më të sigurt duke pasur mundësi të shumta; duke qenë softuer falas, ju mund të zhvilloni, modifikoni ose zgjeroni shërbime sigurie.
Nga ana tjetër, nuk ka ekzekutues për t'ju infektuar me Trojans kaq lehtë.
Edhe kështu, duket se tani Windows është më i sigurti, sipas disa botimeve ... ose ndoshta, ai me më shumë para ... Unë nuk e di nëse e shpjegoj veten time. Në këtë krahasim, ata emërtojnë 119 dobësi të kernelit Linux ... të paspecifikuara ... megjithatë, 248 shfaqen në mesin e sistemeve të Windows ... por duke specifikuar një sasi më të ulët për çdo OS Windows ... që është ... një grup i vogël numrash. Shumë marketing;)

: Security Sentinel është një partner i projektit Rapid7 Metasploit, një projekt me burim të hapur, si shumë të tjerë që përdoren për pentesting ose analiza mjeko-ligjore. Isshtë një shembull i mirë që bën të qartë atë që përmendëm në pyetjen e mëparshme. Nuk mendoni ju

FS: Epo, Metasploit (Rapid7), ka kaluar shumë vite duke investuar kohë në zhvillimin e shfrytëzimeve për të dëmtuar sistemet e të gjitha llojeve.
Unë mendoj se mundësia që ju të mund të zhvilloni, modifikoni ose zgjeroni objektivat e një shfrytëzimi dhe të jeni në gjendje ta përdorni atë me një kornizë si kjo, pa pasur nevojë të paguani ose të prisni për shfrytëzime të reja, duke qenë burim i hapur, e bën punën tuaj shumë më të lehtë.
Megjithëse ekziston një version i paguar, me atë falas dhe me njohuri programimi në rubin, Python, perl ... ju keni një bashkëpunëtor shumë, shumë të dobishëm.
Unë gjithashtu duhet të komentoj se shumë përdorues të Metasploit përdorin vetëm 10 ose 20% të mundësive të tyre. Në kursin tjetër Hacking Etik që po zhvillojmë (CHEE), kemi një temë të tërë për Metasploit, ku do të mësojmë se si ta përdorim mjetin në maksimum.

: Python është një gjuhë programimi nën një licencë tjetër falas (PSFL) dhe që ju e keni shumë të pranishëm në sektorin e sigurisë. Pse Çfarë është e veçantë për të tjerët?

FS: Python ka një avantazh shumë të madh dhe janë bibliotekat e tij. Përdorimi i këtyre dhe lehtësia e të mësuarit të gjuhës ju ndihmon shumë që të jeni në gjendje të kryeni mjete të vogla që janë shumë të dobishme gjatë kryerjes së një kontrolli sigurie bazuar në pentesting.
Ju gjithashtu mund të lidhni programe të vogla Python me të tjerët si nmap, nessus etj ... dhe kjo ju ndihmon edhe më shumë për të shpejtuar punën e një pentester.
Ne marrim një kurs më 1 qershor për studentët tanë, Python për pentesters, sepse ne besojmë se është thelbësore që një pentester të përdorë këtë gjuhë.

: Kohët e fundit, disa dobësi kritike janë zbuluar në projekte me burim të hapur dhe disa malware të tjerë që sulmojnë sistemet GNU Linux. Kompanitë që shesin programe të mbyllura, të tilla si Apple dhe Microsoft, kanë auditorë sigurie që sulmojnë sistemet e tyre për të përmirësuar sigurinë. A mendoni se komuniteti për zhvillimin e projekteve me burim të hapur duhet të konsiderojë promovimin e kësaj praktike?

FS: Epo, ju mendoni se nuk ka auditorë për Apache, Debian, Fedora, Ubuntu ... një tjetër gjë është se ata tarifojnë atë që firmat e tjera ngarkojnë, por ekzistojnë, sepse unë e kuptoj që shpërndarjet e mëdha kanë njerëz që punojnë për këtë. Do të ishte e palogjikshme të mos i kishte ato. Unë gjithashtu besoj se e gjithë kjo është një bast për të ardhmen. Problemi është, a do të përfundojnë Apple ose Windows shpërndarjet më të fuqishme me burim të hapur?

: Le të kalojmë te klientët e Security Sentinel. Këtë verë po bisedoja me një inxhinier të Oracle dhe ai më tha se gjithnjë e më shumë serverë dhe super kompjuterë shiten me Linux në dëm të sistemit të tyre, Solaris, dhe se ata madje përdorin një shpërndarje të quajtur Oracle Linux për punën e tyre çdo ditë. A gjeni gjithnjë e më shumë kompani që përdorin Linux ose ende varen shumë nga Windows?

FS: Në këtë aspekt, ju gjeni gjithçka.
Klientët e mi tani përdorin më shumë Linux për serverat sesa Windows, por kompjuterët përdorues janë akoma 90% Windows dhe një përqindje shumë e lartë ende përdorin XP !!!

: Disa qeveri ose kompani po migrojnë në shpërndarjet e Linux për shkak të mundësive dhe përparësive që ajo sjell. Disa të joshur nga siguria. A do t’i inkurajonit kompanitë dhe organizatat që ta bënin këtë ndryshim? A këshillon TSS për projekte falas për ndonjë nga zgjidhjet e sigurisë që implementoni?

FS: Ne këshillojmë në varësi të nevojave të secilit klient. Do të doja që njerëzit të përfshiheshin më shumë me Linux, por ndonjëherë një emër marke peshon shumë.
Edhe kështu, ne, sa herë që mundemi, këshillojmë serverat Linux për fuqinë, fleksibilitetin dhe sigurinë e tyre.

: Shumë përdorues ose kompani nuk i kushtojnë vëmendje sigurisë. Deri në çfarë mase është një praktikë e keqe dhe çfarë këshille do t'u jepnit atyre? Na tregoni për një rast serioz që mund të ekspozohet dhe që keni vërejtur gjatë përvojës tuaj për të rritur ndërgjegjësimin e publikut.

FS: Shumë? Pothuajse askush. Gjëja e parë që unë do t'i këshilloja ata do të ishte të jepnin një kurs të vogël ndërgjegjësimi mbi rregulloret themelore të sigurisë kompjuterike.
Edhe në Agjencinë e Taksave kam gjetur përdorues me post-it me fjalëkalimin e tyre në monitor!
Por ishte e pabesueshme të shihje në vend, në një prezantim të vogël të kompanisë sonë në një klient të mundshëm, i cili është gjithashtu një kompani që luan me letra me vlerë në tregun e aksioneve (ndërmjetësues), të dëgjosh drejtorin e operacioneve nga zyra e tij, të bërtasësh shkencëtari i kompjuterave "ÇFAR IS SHT B B MY ... një fjalëkalim ?? !!"
Edhe pasi e pa këtë, klienti i mundshëm nuk na punësoi ... Zoti i kap ata rrëfyen!

: Tani ju gjithashtu jepni kurse mbi piraterinë dhe sigurinë. Ju morët provimin e Këshillit të KE-së CEH (Këshillimi Etik i Hackimit) vetë dhe me një rezultat mjaft të mirë. Ekziston një thënie që "mbrojtja më e mirë është një sulm i mirë", unë e them këtë në lidhje me pyetjen e mëparshme. A do t’i inkurajonit përdoruesit të ndjekin këtë lloj kursi?

FS: Unë do t'i inkurajoja ata që të mos përqendrohen te "tituliti", por në vend të kësaj të marrin kurse për të mësuar. Ne i përqendrojmë kurset tona në praktikë, sepse nuk më pëlqente ky kurs që ju përmendni, pasi e studiova vetë, dhe gjithashtu pa praktikë. Justshtë thjesht një titull. Sidoqoftë, studentët tanë "dërrmohen" duke bërë praktikë. Por ata ju thonë ...
Një sportist duhet të stërvitet çdo ditë. Ne gjithashtu.

: Shumë besojnë se një haker është një person i keq. Edhe RAE e përcakton atë si një haker që përdor njohuritë e tij për të bërë gjëra të këqija. Sadshtë e trishtueshme ta dëgjosh këtë, sepse madje ka detyruar të shihen terma të tillë si "hakimi etik" në mënyrë që njerëzit të mos mendojnë për një krimin kibernetik. Eric Reymond, mbron termin "hacker" me përkufizimin origjinal dhe avokon duke përdorur "cracker" për t'u referuar "njerëzve të këqij". Por përballë makinës propagandistike të Hollywood-it, e cila gjithashtu ka krijuar një reputacion të keq me një mori filmash dhe serialesh për hakerat, çfarë mund të bëhet ... Çfarë mendoni si ekspert i sigurisë?

FS: Unë e konsideroj fjalën haker si një specialist kompjuteri, i cili ndonjëherë ngulët në hetim derisa të gjejë përgjigjen e tij. Por nga atje në krim ...
Sigurisht që ka hakera që janë kriminelë, pasi mund të ketë zjarrfikës që janë gjithashtu kriminelë. Por ashtu siç nuk është e përgjithësuar në rastin e dytë, pse ta bëjmë atë në rastin e parë?
Me pak fjalë, unë mendoj se RAE tregon shumë injorancë kur bëhet fjalë për ta quajtur fjalën haker si haker. Gjëja Hollywood është më mirë të mos e përmendim atë ...

Shpresoj te ju pelqeu kjo intervista e parë e serisë që kemi ngritur figurave të rëndësishme në skenën kombëtare dhe ndërkombëtare ...