Інтерв’ю з Франциско Санцом: генеральний директор The Security Sentinel

Security Sentinel (TSS) - це іспанська компанія, яка займається комп'ютерною безпекою, так забутий багатьма і такий важливий. TSS присвячений проведенню аудитів безпеки компаній на основі етичних тестів на злом або тестування на пентести, на додаток до проведення навчальних курсів з безпеки.

Шкідливе програмне забезпечення та вразливі місця - гаряча тема нашого блогу, особливо з останніми новинами про VENOM, Heartbleed та інші проблеми безпеки, що впливають на GNU Linux. Саме тому ми вирішили взяти інтерв’ю Франциско Санц, генеральний директор TSS що дасть нам кілька підказок щодо цієї цікавої теми.

Франциско (FS відтепер) є одним із професіоналів TSS. Він вивчав комп'ютерну інженерію в Автономному університеті Мадрида, щоб пізніше отримати ступінь з управління бізнесом та маркетингу в ESIC, пройти курси програмування Cisco CNNA, PHP та MySQL, етичного злому та пройти сертифікат CEH від Ради ЄС із класифікацією 91% / 100%.

LinuxAdictos: GNU Linux дуже важливий у галузі безпеки. У нашому блозі ми говорили про такі дистрибутиви, як Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop та інші, орієнтовані на безпечний перегляд та конфіденційність, такі як Tails та Whonix. Які у своєму розпорядку дня ви використовуєте?

Франциско Санц: Залежно від роботи, яку потрібно виконати ... наприклад, під час тестування я використовую власний дистрибутив (TPS) із інструментами для тестування, які ми використовуємо, але виходячи з них, вони повинні 7.

LA: Багато людей атакують безкоштовне програмне забезпечення або програмне забезпечення з відкритим кодом, кажучи, що воно неякісне або більш небезпечне. Що б ви сказали цим людям? Чи вважаєте ви, що легше атакувати машину GNU Linux або FreeBSD, оскільки вона є відкритим кодом, ніж та, яка працює з Windows, оскільки це власний код, чи це навпаки?

ФС: Питання на мільйон доларів. Або звичайне запитання. Для мене не система, а людина, яка її налаштовує.
Навіть незважаючи на це, якщо мені доведеться вирішити, я завжди сказав би LINUX. Чому? Причин багато, але якщо не розширити, я б сказав вам, що його конфігурація за замовчуванням є більш безпечною, ніж Windows '; Ви також можете зробити його більш безпечним, маючи кілька варіантів; будучи вільним програмним забезпеченням, ви можете розробляти, модифікувати або розширювати служби безпеки.
З іншого боку, немає виконуваних файлів, які так легко заражають вас троянами.
Незважаючи на це, здається, що зараз Windows є найбезпечнішою, за деякими публікаціями ... чи, можливо, та, у якої найбільше грошей ... Я не знаю, чи поясню я себе. У цьому порівнянні вони називають 119 вразливостей ядра Linux ... невизначеними ... проте 248 з'являються серед систем Windows ... але вказуючи меншу кількість для кожної ОС Windows ... тобто ... невеликий набір чисел. Багато маркетингу;)

LA: Security Sentinel є партнером проекту Rapid7 Metasploit, проекту з відкритим кодом, як і багато інших, що використовуються для пентестування або криміналістичного аналізу. Це хороший приклад, який чітко дає зрозуміти те, що ми згадали у попередньому питанні. Хіба ти не думаєш

ФС: Ну, Metasploit (Rapid7), витратив багато років, інвестуючи час у розробку подвигів для пошкодження систем будь-якого типу.
Я думаю, що можливість того, що ви можете розробити, змінити або розширити цілі експлойта і мати можливість використовувати його в подібній структурі, не платячи та не чекаючи нових експлойтів, будучи відкритим кодом, значно полегшує вашу роботу.
Хоча існує платна версія, з безкоштовною та зі знаннями програмування на ruby, Python, perl ... у вас є дуже, дуже корисний колега.
Я також повинен зауважити, що багато користувачів Metasploit використовують лише 10 або 20% своїх можливостей. На наступному курсі етичного злому, який ми розробляємо (CHEE), у нас є ціла тема для Metasploit, де ми навчимо використовувати інструмент максимально повно.

LA: Python - це мова програмування за іншою безкоштовною ліцензією (PSFL), і ви дуже присутні в секторі безпеки. Чому? Що особливого в інших?

ФС: Python має дуже велику перевагу, і це його бібліотеки. Їх використання та простота вивчення мови дуже допомагає вам мати можливість користуватися невеликими інструментами, які дуже корисні при проведенні перевірки безпеки на основі пентестування.
Ви також можете підключити невеликі програми Python до інших, таких як nmap, nessus тощо ... і це допомагає ще більше пришвидшити роботу пентестера.
1 червня ми проходимо курс для наших студентів, Python для пентестрів, оскільки ми вважаємо, що пентестеру важливо користуватися цією мовою.

LA: Останнім часом у проектах з відкритим кодом та деяких інших шкідливих програмах, які атакують системи GNU Linux, було виявлено деякі критичні вразливості. Компанії, які продають закрите програмне забезпечення, такі як Apple і Microsoft, мають аудиторів безпеки, які атакують власні системи для підвищення безпеки. Чи вважаєте Ви, що спільнота розробників проектів з відкритим кодом повинна розглянути питання просування цієї практики?

ФС: Ну, ти думаєш, що немає аудиторів для Apache, Debian, Fedora, Ubuntu ... інша справа, що вони беруть плату за те, що беруть інші фірми, але є, вони існують, бо я розумію, що у великих дистрибуціях працюють люди. Було б нелогічно, щоб їх не було. Я також вважаю, що все це - ставка на майбутнє. Проблема в тому, чи стане Apple чи Windows найпотужнішими дистрибутивами з відкритим кодом?

LA: Давайте перейдемо до клієнтів The Sentinel Security. Цього літа я спілкувався в чаті з інженером Oracle, і він сказав мені, що все більше серверів і суперкомп'ютерів продається з Linux на шкоду їх власній системі Solaris, і що вони навіть використовують дистрибутив під назвою Oracle Linux для своєї роботи щодня. Чи знаходите ви все більше компаній, які використовують Linux або все ще багато в чому залежать від Windows?

ФС: У цьому аспекті ви знайдете все.
Зараз мої клієнти використовують для серверів більше Linux, ніж Windows, але користувальницькі комп’ютери все ще на 90% складають Windows, і дуже високий відсоток все ще використовує XP !!!

LA: Деякі уряди або компанії переходять на дистрибутиви Linux через можливості та переваги, які це приносить. Деякі заманюються безпекою. Чи не могли б ви заохотити компанії та організації внести ці зміни? Чи TSS радить безкоштовні проекти для будь-якого рішення безпеки, яке ви впроваджуєте?

ФС: Ми радимо залежно від потреб кожного клієнта. Я хотів би, щоб люди більше займалися Linux, але інколи назва бренду важить дуже багато.
Незважаючи на це, ми, коли тільки можемо, радимо сервери Linux щодо їх надійності, гнучкості та безпеки.

LA: Багато користувачів або компанії не звертають уваги на безпеку. Наскільки це погана практика і яку пораду ви б їм дали? Розкажіть нам про серйозний випадок, який можна викрити і який ви спостерігали протягом свого досвіду для підвищення обізнаності серед громадськості.

ФС: Багато? Майже ніхто. Перше, що я б порадив їм, було б прочитати невеликий курс обізнаності з основних правил комп’ютерної безпеки.
Навіть у податковому відомстві я знайшов користувачів, які надсилають повідомлення з їх паролем на монітор!
Але було неймовірно бачити in situ, в невеликій презентації нашої компанії у можливому клієнті, яка також є компанією, яка грає цінними паперами на фондовому ринку (брокери), слухати директора з його діяльності з офісу, кричати інформатик "ЩО МОЄ B ... ПАРОЛЬ ?? !!"
Навіть побачивши це, потенційний клієнт нас не найняв ... Бог ловить їх зізналися!

LA: Тепер ви також читаєте курси злому та безпеки. Ви склали іспит EC-Council CEH (Council Ethical Hacking) самостійно і з досить хорошим балом. Існує приказка, що "найкращий захист - це хороший злочин", я кажу це з посиланням на попереднє питання. Чи не могли б ви заохотити користувачів пройти цей курс?

ФС: Я закликав би їх не зосереджуватись на "титуліті", а навпаки, на курсах для вивчення. Ми зосереджуємо наші курси на практиці, тому що мені не сподобався цей курс, який ви називаєте, оскільки я вивчав його самостійно, а також без практики. Це просто назва. Однак наші студенти "розчавлені", роблячи практики. Але вони кажуть вам ...
Спортсмен повинен тренуватися щодня. Ми також.

LA: Багато хто вважає, що хакер - це погана людина. Навіть RAE визначає його як хакера, який використовує свої знання, щоб робити погані вчинки. Сумно чути це, оскільки воно навіть змусило сприймати такі терміни, як «етичний злом», щоб люди не думали про кіберзлочинця. Ерік Реймонд захищає термін "хакер" з оригінальним визначенням і виступає за використання "зломщика" для позначення "поганих хлопців". Але перед лицем пропагандистської машини Голлівуду, яка також створила погану репутацію завдяки безлічі фільмів та серіалів про хакерів, що можна зробити ... Що ви думаєте як експерт з питань безпеки?

ФС: Я розглядаю слово хакер як комп’ютерного фахівця, який іноді нав’язливо досліджує, поки не знаходить відповіді. Але звідти до злочину ...
Звичайно, є хакери, які є злочинцями, оскільки можуть бути пожежники, які також є злочинцями. Але так само, як це не узагальнено у другому випадку, чому це робиться в першому?
Коротше кажучи, я думаю, що RAE виявляє велику необізнаність, коли справа стосується називання слова хакер хакером. Про голлівудську річ краще не згадувати ...

Сподіваюся, вам сподобалось це перше інтерв’ю серії, яке ми підняли важливим діячам національної та міжнародної сцени ...