Интервју са Франциском Санзом: извршним директором Тхе Сецурити Сентинел

Сецурити Сентинел (ТСС) је шпанска компанија посвећена рачунарској безбедности, тако заборављен од многих и тако важан. ТСС посвећен је спровођењу безбедносних ревизија у компанијама, на основу етичких тестова хаковања или тестирања, уз одржавање курсева обуке о безбедности.

Малвер и рањивости су врућа тема на нашем блогу, посебно са најновијим вестима о ВЕНОМ-у, Хеартблеед-у и другим безбедносним проблемима који утичу на ГНУ Линук. Због тога смо одлучили да интервјуишемо Францисцо Санз, извршни директор ТСС што ће нам дати неке трагове о овој занимљивој теми.

Францисцо (ФС од сада) је један од ТСС професионалаца. Студирао је рачунарски инжењеринг на Аутономном универзитету у Мадриду да би касније стекао диплому из пословног управљања и маркетинга на ЕСИЦ-у, похађао курсеве програмирања Цисцо ЦННА, ПХП и МиСКЛ, етичко хаковање и положио ЦЕХ сертификат од ЕЦ-Цоунцил-а са класификацијом 91% / 100%.

LinuxAdictos: ГНУ Линук је веома важан у пољу безбедности. На нашем блогу смо говорили о дистрибуцијама као што су Сантоку, Кали, БугТрак, Ксиаопан, Паррот ОС, ВиФислак, ДЕФТ, Бацкбок, ИПЦоп или другима оријентисаним ка сигурном прегледању и приватности, као што су Таилс и Вхоник. Које у својој свакодневној рутини користите?

Францисцо Санз: У зависности од посла који треба обавити ... на пример, у пентестирању користим сопствену дистрибуцију (ТПС) са алаткама за пентестирање које користимо, али на основу њих треба 7.

ЛА: Многи нападају бесплатни софтвер или софтвер отвореног кода говорећи да је неквалитетан или да је несигурнији. Шта бисте поручили тим људима? Да ли мислите да је лакше напасти ГНУ Линук или ФрееБСД машину јер је она отвореног кода него она са Виндовсом јер је то власнички код или је супротно?

ФС: Питање за милион долара. Или уобичајено питање. За мене то није систем, већ особа која га поставља.
Упркос томе, ако морам да одлучим, увек бих рекао ЛИНУКС. Зашто? Постоји много разлога, али због неширења рекао бих вам да је његова подразумевана конфигурација сигурнија од Виндовс-а '; такође можете да га учините сигурнијим ако имате више опција; будући да сте бесплатан софтвер, можете да развијате, мењате или проширујете безбедносне услуге.
С друге стране, не постоје извршне датотеке да бисте се тако лако заразили тројанцима.
Упркос томе, чини се да је сада Виндовс најсигурнији, према неким публикацијама ... или можда онај са највише новца ... Не знам да ли се објашњавам. У овом поређењу они именују 119 рањивости Линук кернела ... неодређено ... међутим 248 се појављују међу Виндовс системима ... али наводећи нижу количину за сваки Виндовс ОС ... то јест ... мали скуп бројева. Пуно маркетинга;)

ЛА: Сецурити Сентинел је партнер пројекта Рапид7 Метасплоит, пројекта отвореног кода, као и многи други који се користе за пентест или форензичку анализу. То је добар пример који јасно показује оно што смо поменули у претходном питању. Зар не мислите?

ФС: Па, Метасплоит (Рапид7) је провео много година улажући време у развој експлоатација за оштећење система свих врста.
Мислим да могућност да можете да развијете, модификујете или проширите циљеве експлоатације и да будете у могућности да га користите са оваквим оквиром, а да не будете морали да плаћате или чекате нове експлоатације, будући да сте отворени извор, много олакшава ваш рад.
Иако постоји плаћена верзија, са бесплатном и са знањем програмирања у руби, Питхон, перл ... имате врло, врло корисног радног партнера.
Такође морам да коментаришем да многи корисници Метасплоита користе само 10 или 20% својих могућности. На следећем курсу етичког хаковања који развијамо (ЦХЕЕ), имамо целу тему за Метасплоит, где ћемо научити како да користимо алат у потпуности.

ЛА: Питхон је програмски језик под другом бесплатном лиценцом (ПСФЛ) и који сте веома присутни у сектору безбедности. Зашто? Шта је посебно код других?

ФС: Питхон има веома велику предност и то су његове библиотеке. Њихова употреба и лакоћа учења језика увелико вам помажу да будете у могућности да користите мале алате који су врло корисни приликом вршења безбедносне провере засноване на пентестирању.
Такође можете повезати мале Питхон програме са другима попут нмап, нессус итд ... и то вам помаже да још више убрзате рад пентестера.
1. јуна похађамо курс за наше студенте, Питхон за пентестере, јер верујемо да је за пентестера неопходно да користи овај језик.

ЛА: У последње време откривене су неке критичне рањивости у пројектима отвореног кода и неком другом малверу који напада ГНУ Линук системе. Компаније које продају затворени софтвер, као што су Аппле и Мицрософт, имају ревизоре безбедности који нападају сопствене системе да би побољшали безбедност. Да ли мислите да би заједница за развој пројеката отвореног кода требала размотрити промоцију ове праксе?

ФС: Па, мислите да не постоје ревизори за Апацхе, Дебиан, Федора, Убунту ... друга ствар је да они наплаћују оно што наплаћују друге фирме, али постоје, постоје, јер схватам да велике дистрибуције имају људе који раде на овоме . Било би нелогично да их нема. Такође верујем да је све ово опклада за будућност. Проблем је у томе да ли ће Аппле или Виндовс на крају бити најмоћнија дистрибуција отвореног кода?

ЛА: Пређимо на купце Тхе Сецурити Сентинел. Овог лета разговарао сам са Орацле инжењером и рекао ми је да се све више сервера и суперрачунара продаје са Линуком на штету сопственог система Соларис и да чак свакодневно користе дистрибуцију под називом Орацле Линук за свој рад. Да ли налазите све више компанија које користе Линук или још увек много зависе од Виндовс-а?

ФС: У овом аспекту можете пронаћи све.
Моји клијенти сада више користе Линук за сервере него Виндовс, али кориснички рачунари су и даље 90% Виндовс и веома висок проценат и даље користи КСП !!!

ЛА: Неке владе или компаније прелазе на Линук дистрибуције због могућности и предности које доноси. Неке намамљене сигурношћу. Да ли бисте подстакли компаније и организације да направе ову промену? Да ли ТСС саветује бесплатне пројекте за било које безбедносно решење које примените?

ФС: Саветујемо у зависности од потреба сваког клијента. Волео бих да се људи више укључују у Линук, али име бренда понекад има пуно тежине.
Без обзира на то, ми кад год можемо саветујемо Линук сервере због њихове робусности, флексибилности и сигурности.

ЛА: Многи корисници или компаније не обраћају пажњу на сигурност. У којој мери је то лоша пракса и шта бисте им саветовали? Реците нам о озбиљном случају који може бити изложен и који сте током свог искуства приметили како бисте подигли свест јавности.

ФС: Много? Скоро нико. Прво што бих им саветовао било би да одрже мали курс о основним прописима о рачунарској безбедности.
Чак сам и у Пореској агенцији пронашао кориснике са пост-ит-ом са њиховом лозинком на монитору!
Али било је невероватно видети ин ситу, у малој презентацији наше компаније код могућег клијента, а то је такође компанија која се игра са хартијама од вредности на берзи (брокери), слушати директора пословања из његове канцеларије, викати на информатичар „ШТА ЈЕ МОЈЕ Б ... ЛОЗИНКА ?? !!“
Чак и након што је ово видео, потенцијални клијент нас није запослио ... Ухвати Бог да су признали!

ЛА: Сада такође предајете курсеве о хаковању и сигурности. Полагали сте ЕЦ-Цоунцил ЦЕХ (Цоунцил Етхицал Хацкинг) испит сами и то са прилично добрим резултатом. Постоји изрека да је „најбоља одбрана добар прекршај“, кажем то у односу на претходно питање. Да ли бисте охрабрили кориснике да похађају ову врсту курса?

ФС: Подстакао бих их да се не фокусирају на „титулитис“, већ на похађање курсева за учење. Наше курсеве фокусирамо на праксу, јер ми се није свидео овај курс који ви именујете, јер сам га учио сам, а такође и без праксе. То је само наслов. Међутим, наши студенти су „згажени“ радећи вежбе. Али они вам кажу ...
Спортиста мора да тренира сваки дан. Ми такође.

ЛА: Многи верују да је хакер лоша особа. Чак га и РАЕ дефинише као хакера који користи своје знање да чини лоше ствари. Тужно је ово чути, јер је чак присилило да се виде појмови попут „етичког хаковања“ како људи не би помислили на сајбер криминалца. Ериц Реимонд, брани појам "хакер" са оригиналном дефиницијом и залаже се да се "црацкер" користи као "негативци". Али пред пропагандном машином из Холливоода, која је такође створила лошу репутацију са мноштвом филмова и серија о хакерима, шта се може учинити ... Шта мислите као стручњак за безбедност?

ФС: Реч хакер сматрам рачунарским стручњаком који понекад опсесивно истражује док не пронађе свој одговор. Али одатле до злочина ...
Наравно да постоје хакери који су криминалци, јер могу бити и ватрогасци који су такође криминалци. Али као што није уопштено у другом случају, зашто то чинити у првом?
Укратко, мислим да РАЕ показује велико незнање када реч о хакеру назива хакером. Боље је не спомињати холивудску ствар ...

Надам се да ти се свидело први интервју из серије коју смо покренули важним личностима на националној и међународној сцени ...