Francisco Sanz ile röportaj: The Security Sentinel'in CEO'su

Security Sentinel (TSS), bilgisayar güvenliğine adanmış bir İspanyol şirketidir. birçokları tarafından çok unutulmuş ve çok önemli. TSS güvenlik eğitimi kursları sağlamanın yanı sıra, şirketlere etik hackleme veya pentest testlerine dayalı güvenlik denetimleri yapmaya adanmıştır.

Kötü amaçlı yazılım ve güvenlik açıkları, blogumuzda ve özellikle de VENOM, Heartbleed ve GNU Linux'u etkileyen diğer güvenlik sorunları hakkındaki en son haberlerle birlikte gündemdeki konulardan biridir. Bu yüzden röportaj yapmaya karar verdik Francisco Sanz, TSS'nin CEO'su bu da bize bu ilginç konu hakkında bazı ipuçları verecek.

Francisco (bundan sonra FS) TSS profesyonellerinden biridir. Otonomous University of Madrid'de bilgisayar mühendisliği okudu, daha sonra ESIC'de işletme yönetimi ve pazarlama alanında bir derece elde etti, Cisco CNNA, PHP ve MySQL programlama kurslarını aldı, etik hackleme ve EC-Council'den% 91 sınıflandırma ile CEH sertifikasını geçti. / 100%.

LinuxAdictos: GNU Linux, güvenlik alanında çok önemlidir. Blogumuzda Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop gibi dağıtımlardan veya Tails ve Whonix gibi güvenli gezinme ve gizliliğe yönelik diğer dağıtımlardan bahsettik. Günlük rutininizde hangilerini kullanıyorsunuz?

Francis Sanchez: Yapılacak işe bağlı olarak ... örneğin, pentestingde kullandığımız pentesting araçlarıyla kendi dağıtımımı (TPS) kullanıyorum, ancak kullanmalıyım 7.

LA: Birçoğu, kalitesiz veya daha güvensiz olduğunu söyleyerek ücretsiz veya açık kaynaklı yazılıma saldırır. Bu insanlara ne dersiniz? Bir GNU Linux veya FreeBSD makinesine saldırmanın, özel kod olduğu için Windows'dakinden daha açık kaynak olduğu için daha kolay olduğunu mu düşünüyorsunuz, yoksa tam tersi mi?

: Milyon dolarlık soru. Veya olağan soru. Benim için bu sistem değil, sistemi kuran kişidir.
Öyle bile olsa, karar vermem gerekirse, her zaman LINUX derdim. Neden? Pek çok neden var, ancak genişletmemek için size varsayılan yapılandırmasının Windows'tan daha güvenli olduğunu söyleyebilirim '; ayrıca birden çok seçeneğe sahip olarak daha güvenli hale getirebilirsiniz; özgür bir yazılım olarak, güvenlik hizmetlerini geliştirebilir, değiştirebilir veya genişletebilirsiniz.
Öte yandan, size Truva atlarını bu kadar kolay bulaştıracak yürütülebilir dosyalar yoktur.
Öyle olsa bile, bazı yayınlara göre şimdi Windows en güvenli gibi görünüyor ... veya belki de en çok paraya sahip olan ... Kendimi açıklayıp açıklamadığımı bilmiyorum. Bu karşılaştırmada, 119 Linux çekirdeği güvenlik açıklarını adlandırıyorlar ... belirtilmemiş ... ancak Windows sistemleri arasında 248 görünüyor ... ancak her Windows işletim sistemi için daha düşük bir miktar belirtiyorlar ... yani ... küçük bir sayı kümesi. Çok pazarlama;)

LA: Security Sentinel, açık kaynaklı bir proje olan Rapid7 Metasploit projesinin ortağıdır, tıpkı pentesting veya adli tıp analizi için kullanılan diğerleri gibi. Bir önceki soruda bahsettiklerimizi açıklığa kavuşturan güzel bir örnek. Düşünmüyor musun

: Pekala, Metasploit (Rapid7), her türden sisteme zarar vermek için istismarların geliştirilmesine uzun yıllar harcadı.
Bir istismarın hedeflerini geliştirme, değiştirme veya genişletme ve yeni istismarlar için ödeme yapmak zorunda kalmadan veya beklemeden bunu böyle bir çerçeve ile kullanabilmenizin, açık kaynak kodlu olmanın işinizi çok daha kolaylaştırdığını düşünüyorum.
Ücretli bir sürüm olmasına rağmen, ücretsiz olanı ve Ruby, Python, perl'de programlama bilgisiyle ... çok, çok yararlı bir iş arkadaşınız var.
Ayrıca birçok Metasploit kullanıcısının olanaklarının yalnızca% 10 veya 20'sini kullandıklarını da belirtmek zorundayım. Geliştirmekte olduğumuz bir sonraki Etik Hacking kursunda (CHEE), Metasploit için aracın en iyi şekilde nasıl kullanılacağını öğreteceğimiz bütün bir konumuz var.

LA: Python, başka bir ücretsiz lisans (PSFL) altında bulunan ve güvenlik sektöründe oldukça mevcut olduğunuz bir programlama dilidir. Neden? Başkalarını özel kılan nedir?

: Python'un çok büyük bir avantajı var ve kütüphaneleridir. Bunların kullanımı ve dili öğrenmenin kolaylığı, pentestlemeye dayalı bir güvenlik denetimi gerçekleştirirken çok yararlı olan küçük araçları gerçekleştirebilmenize çok yardımcı olur.
Küçük Python programlarını nmap, nessus vb. Gibi diğer programlarla da bağlayabilirsiniz ... ve bu, bir pentesterin işini daha da hızlandırmanıza yardımcı olur.
Öğrencilerimiz için 1 Haziran'da bir kurs alıyoruz, pentesterler için Python, çünkü bir pentester için bu dili kullanmanın şart olduğuna inanıyoruz.

LA: Son zamanlarda, açık kaynak projelerinde bazı kritik güvenlik açıkları ve GNU Linux sistemlerine saldıran diğer bazı kötü amaçlı yazılımlar tespit edildi. Apple ve Microsoft gibi kapalı yazılım satan şirketler, güvenliği artırmak için kendi sistemlerine saldıran güvenlik denetçilerine sahiptir. Açık kaynak proje geliştirme topluluğunun bu uygulamayı desteklemeyi düşünmesi gerektiğini düşünüyor musunuz?

: Pekala, Apache, Debian, Fedora, Ubuntu için denetçi olmadığını düşünüyorsunuz ... başka bir şey de diğer firmaların ücretlendirdiklerinden ücret almalarıdır, ancak varlar, çünkü büyük dağıtımlarda bunun üzerinde çalışan insanlar olduğunu anlıyorum. . Onlara sahip olmamak mantıksız olur. Ayrıca tüm bunların gelecek için bir bahis olduğuna inanıyorum. Sorun şu ki, Apple veya Windows en güçlü açık kaynak dağıtımları olacak mı?

LA: Güvenlik Nöbetçisi müşterilerine geçelim. Bu yaz bir Oracle mühendisi ile sohbet ediyordum ve bana Linux ile kendi sistemleri Solaris'e zarar verecek şekilde gittikçe daha fazla sunucu ve süper bilgisayarın satıldığını ve hatta her gün işleri için Oracle Linux adlı bir dağıtım kullandıklarını söyledi. Gittikçe daha fazla sayıda Linux kullanan veya hala Windows'a bağımlı olan daha fazla şirket mi buluyorsunuz?

: Bu açıdan her şeyi bulursunuz.
Müşterilerim artık sunucular için Windows'tan daha fazla Linux kullanıyor, ancak kullanıcı bilgisayarlarının hala% 90'ı Windows ve çok yüksek bir yüzdesi hala XP kullanıyor !!!

LA: Bazı hükümetler veya şirketler, getirdiği olanaklar ve avantajlar nedeniyle Linux dağıtımlarına geçiyor. Bazıları güvenlik tarafından cezbedildi. Şirketleri ve kuruluşları bu değişikliği yapmaya teşvik eder misiniz? TSS, uyguladığınız güvenlik çözümlerinden herhangi biri için ücretsiz projeler öneriyor mu?

: Her müşterinin ihtiyaçlarına bağlı olarak tavsiyelerde bulunuruz. İnsanların Linux ile daha fazla ilgilenmesini isterim, ancak bazen bir marka adı çok ağırdır.
Yine de, yapabildiğimiz her zaman, sağlamlıkları, esneklikleri ve güvenlikleri için Linux sunucularına tavsiyelerde bulunuyoruz.

LA: Birçok kullanıcı veya şirket güvenliğe dikkat etmez. Bu ne ölçüde kötü bir uygulamadır ve onlara ne tavsiye edersiniz? Kamuoyunda farkındalık yaratmak için ortaya çıkabilecek ve deneyiminiz sırasında gözlemlediğiniz ciddi bir vakadan bahsedin.

: Bir sürü? Neredeyse hiçkimse. Onlara tavsiye edeceğim ilk şey, temel bilgisayar güvenliği düzenlemeleri hakkında küçük bir farkındalık kursu vermek olacaktır.
Vergi Dairesi'nde bile, monitörde şifrelerinin yazılı olduğu post-it kullanıcıları buldum!
Ancak, borsada menkul kıymetlerle (komisyoncular) oynayan bir şirket olan olası bir müşteride şirketimizin küçük bir sunumunda yerinde görmek inanılmazdı, operasyon müdürünü ofisinden dinlemek, haykırmak. bilgisayar bilimcisi "BENİM B ... BİR ŞİFRE NEDİR ?? !!"
Bunu gördükten sonra bile, potansiyel müşteri bizi işe almadı ... Tanrı onları itiraf etti!

LA: Artık bilgisayar korsanlığı ve güvenlik üzerine dersler de veriyorsunuz. EC-Council CEH (Council Ethical Hacking) sınavına kendiniz ve oldukça iyi bir puanla girdiniz. “En iyi savunma iyi hücumdur” diye bir söz var, bunu bir önceki soruya atıfta bulunarak söylüyorum. Kullanıcıları bu tür bir kursa katılmaya teşvik eder misiniz?

: Onları "titülite" değil, bunun yerine öğrenmek için ders almaya odaklanmaya teşvik ederim. Kurslarımızı uygulamaya odaklıyoruz, çünkü adını verdiğiniz bu kursu kendi başıma ve pratik yapmadan çalıştığım için beğenmedim. Bu sadece bir başlık. Ancak öğrencilerimiz "ezilmiş" uygulamalar yapıyorlar. Ama sana söylerler ...
Bir sporcu her gün antrenman yapmalıdır. Ayrıca biz.

LA: Birçoğu bilgisayar korsanının kötü bir insan olduğuna inanıyor. RAE bile onu, bilgisini kötü şeyler yapmak için kullanan bir bilgisayar korsanı olarak tanımlıyor. Bunu duymak üzücü, çünkü insanların bir siber suçlu düşünmemesi için "etik hackleme" gibi terimlerin görülmesini bile zorladı. Eric Reymond, "hacker" terimini orijinal tanımıyla savunuyor ve "kötü adamlara" atıfta bulunmak için "kraker" kullanımını savunuyor. Ama hackerlarla ilgili çok sayıda film ve dizi ile kötü bir üne kavuşan Hollywood'un propaganda makinesi karşısında neler yapılabilir ... Güvenlik uzmanı olarak ne düşünüyorsunuz?

: Hacker kelimesini, cevabını bulana kadar bazen takıntılı bir şekilde araştıran bir bilgisayar uzmanı olarak görüyorum. Ama oradan suça ...
Elbette suçlu olan hackerlar da var, çünkü itfaiyeciler de suçlu olabilir. Ama ikinci durumda genelleştirilmediği gibi, neden ilk durumda bunu yapıyor?
Kısacası, RAE'nin hacker kelimesini hacker olarak adlandırmaya gelince büyük bir cehalet gösterdiğini düşünüyorum. Hollywood olayı bundan bahsetmemek daha iyidir ...

Umarım bunu beğenmişsindir yetiştirdiğimiz dizinin ilk röportajı ulusal ve uluslararası sahnedeki önemli şahsiyetlere ...