Phỏng vấn Francisco Sanz: Giám đốc điều hành của The Security Sentinel

Security Sentinel (TSS) là một công ty Tây Ban Nha chuyên về bảo mật máy tính, bị nhiều người lãng quên và rất quan trọng. TSS được dành riêng để thực hiện các cuộc kiểm tra bảo mật cho các công ty, dựa trên các bài kiểm tra về đạo đức hack hoặc bị dồn nén, ngoài việc cung cấp các khóa đào tạo về bảo mật.

Phần mềm độc hại và lỗ hổng bảo mật là một chủ đề nóng trên blog của chúng tôi và đặc biệt là với những tin tức mới nhất về VENOM, Heartbleed và các vấn đề bảo mật khác ảnh hưởng đến GNU Linux. Đó là lý do tại sao chúng tôi quyết định phỏng vấn Francisco Sanz, Giám đốc điều hành của TSS sẽ cho chúng ta một số manh mối về chủ đề thú vị này.

Francisco (FS từ bây giờ) là một trong những chuyên gia TSS. Anh học kỹ sư máy tính tại Đại học Autonomous của Madrid để sau đó lấy bằng quản lý kinh doanh và tiếp thị tại ESIC, tham gia các khóa học lập trình Cisco CNNA, PHP và MySQL, hack đạo đức và đạt chứng chỉ CEH từ EC-Council với 91% / 100%.

LinuxAdictos: GNU Linux rất quan trọng trong lĩnh vực bảo mật. Trong blog của chúng tôi, chúng tôi đã nói về các bản phân phối như Santoku, Kali, BugTraq, Xiaopan, Parrot OS, WiFislax, DEFT, Backbox, IPCop hoặc các bản phân phối khác hướng đến duyệt web an toàn và bảo mật, chẳng hạn như Tails và Whonix. Trong thói quen hàng ngày của bạn, bạn sử dụng cái nào?

Francis Sanchez: Tùy thuộc vào công việc sẽ được thực hiện ... ví dụ, trong việc dồn nén, tôi sử dụng phân phối (TPS) của riêng tôi với các công cụ dồn nén mà chúng tôi sử dụng, nhưng dựa trên chúng nên 7.

LA: Nhiều phần mềm mã nguồn mở hoặc miễn phí tấn công nói rằng nó có chất lượng kém hoặc không an toàn hơn. Bạn sẽ nói gì với những người này? Bạn có nghĩ rằng việc tấn công một máy GNU Linux hoặc FreeBSD dễ dàng hơn vì nó là mã nguồn mở so với một máy chạy Windows vì nó là mã độc quyền, hay ngược lại?

FS: Câu hỏi triệu đô la. Hoặc câu hỏi thông thường. Đối với tôi đó không phải là hệ thống, mà là người thiết lập hệ thống.
Mặc dù vậy, nếu tôi phải quyết định, tôi sẽ luôn nói LINUX. Tại sao? Có nhiều lý do, nhưng không mở rộng, tôi sẽ nói với bạn rằng cấu hình mặc định của nó an toàn hơn Windows '; bạn cũng có thể làm cho nó an toàn hơn bằng cách có nhiều tùy chọn; là phần mềm miễn phí, bạn có thể phát triển, sửa đổi hoặc mở rộng các dịch vụ bảo mật.
Mặt khác, không có tệp thi hành nào có thể lây nhiễm Trojan cho bạn một cách dễ dàng như vậy.
Mặc dù vậy, có vẻ như bây giờ Windows là an toàn nhất, theo một số ấn phẩm ... hoặc có thể là thứ có nhiều tiền nhất ... Tôi không biết nếu tôi giải thích cho mình. Trong phép so sánh này, họ đặt tên cho 119 lỗ hổng nhân Linux ... không xác định ... tuy nhiên có 248 lỗ hổng xuất hiện giữa các hệ thống Windows ... nhưng chỉ định số lượng thấp hơn cho mỗi hệ điều hành Windows ... đó là ... một tập hợp nhỏ các con số. Tiếp thị nhiều;)

LA: Security Sentinel là đối tác của dự án Rapid7 Metasploit, một dự án mã nguồn mở, giống như nhiều dự án khác được sử dụng để dồn nén hoặc phân tích pháp y. Đó là một ví dụ điển hình làm rõ những gì chúng ta đã đề cập trong câu hỏi trước. Bạn có nghĩ không

FS: Chà, Metasploit (Rapid7), đã dành nhiều năm đầu tư thời gian vào việc phát triển các biện pháp khai thác để làm hỏng các hệ thống các loại.
Tôi nghĩ rằng khả năng bạn có thể phát triển, sửa đổi hoặc mở rộng các mục tiêu của một khai thác và có thể sử dụng nó với một khuôn khổ như thế này, mà không phải trả tiền hoặc chờ đợi khai thác mới, là mã nguồn mở, sẽ làm cho công việc của bạn dễ dàng hơn nhiều.
Mặc dù có phiên bản trả phí, có phiên bản miễn phí và với kiến ​​thức lập trình bằng ruby, Python, perl ... bạn đã có một đồng nghiệp rất, rất hữu ích.
Tôi cũng phải nhận xét rằng nhiều người dùng Metasploit chỉ sử dụng 10 hoặc 20% khả năng của họ. Trong khóa học Đạo đức Hacking tiếp theo mà chúng tôi đang phát triển (CHEE), chúng tôi có toàn bộ chủ đề cho Metasploit, nơi chúng tôi sẽ hướng dẫn cách sử dụng công cụ này một cách đầy đủ nhất.

LA: Python là một ngôn ngữ lập trình theo giấy phép miễn phí khác (PSFL) và bạn có rất nhiều mặt trong lĩnh vực bảo mật. Tại sao? Điều gì là đặc biệt ở những người khác?

FS: Python có một lợi thế rất lớn và đó là các thư viện của nó. Việc sử dụng những thứ này và sự dễ dàng trong việc học ngôn ngữ sẽ giúp bạn rất nhiều để có thể thực hiện các công cụ nhỏ rất hữu ích khi thực hiện kiểm tra bảo mật dựa trên pentesting.
Bạn cũng có thể kết nối các chương trình Python nhỏ với những chương trình khác như nmap, nessus, v.v. và điều này giúp bạn nhiều hơn nữa để tăng tốc công việc của một pentester.
Chúng tôi tham gia một khóa học vào ngày 1 tháng XNUMX cho sinh viên của mình, Python cho sinh viên năm lớp, vì chúng tôi tin rằng điều cần thiết cho sinh viên năm tuổi là sử dụng ngôn ngữ này.

LA: Gần đây, một số lỗ hổng nghiêm trọng đã được phát hiện trong các dự án mã nguồn mở và một số phần mềm độc hại khác tấn công hệ thống GNU Linux. Các công ty bán phần mềm đóng, chẳng hạn như Apple và Microsoft, có kiểm toán viên bảo mật tấn công hệ thống của chính họ để cải thiện bảo mật. Bạn có nghĩ rằng cộng đồng phát triển dự án nguồn mở nên xem xét việc thúc đẩy thực hành này không?

FS: Bạn nghĩ rằng không có người kiểm tra Apache, Debian, Fedora, Ubuntu ... một điều nữa là họ tính phí những gì các hãng khác tính, nhưng vẫn có, họ tồn tại, bởi vì tôi hiểu rằng các bản phân phối lớn đều có người làm việc này. . Sẽ là phi logic nếu không có chúng. Tôi cũng tin rằng tất cả những điều này là một sự đánh cược cho tương lai. Vấn đề là, liệu Apple hay Windows sẽ trở thành những bản phân phối mã nguồn mở mạnh mẽ nhất?

LA: Hãy chuyển sang các khách hàng của The Security Sentinel. Mùa hè năm nay, tôi đã trò chuyện với một kỹ sư của Oracle và anh ấy nói với tôi rằng ngày càng nhiều máy chủ và siêu máy tính được bán với Linux, gây hại cho hệ thống của chính họ, Solaris, và họ thậm chí còn sử dụng bản phân phối có tên là Oracle Linux cho công việc của họ hàng ngày. Bạn có nhận thấy ngày càng nhiều công ty sử dụng Linux hoặc vẫn phụ thuộc nhiều vào Windows không?

FS: Ở khía cạnh này, bạn tìm thấy mọi thứ.
Các khách hàng của tôi hiện sử dụng nhiều Linux cho máy chủ hơn Windows, nhưng máy tính của người dùng vẫn là Windows 90% và một tỷ lệ rất cao vẫn sử dụng XP !!!

LA: Một số chính phủ hoặc công ty đang chuyển sang các bản phân phối Linux vì những khả năng và lợi thế mà nó mang lại. Một số bị thu hút bởi sự an toàn. Bạn có khuyến khích các công ty và tổ chức thực hiện thay đổi này không? TSS có tư vấn các dự án miễn phí cho bất kỳ giải pháp bảo mật nào mà bạn thực hiện không?

FS: Chúng tôi tư vấn tùy theo nhu cầu của từng khách hàng. Tôi muốn mọi người tham gia nhiều hơn vào Linux, nhưng đôi khi tên thương hiệu có sức nặng rất lớn.
Mặc dù vậy, chúng tôi, bất cứ khi nào có thể, sẽ tư vấn cho các máy chủ Linux về độ mạnh mẽ, tính linh hoạt và tính bảo mật của chúng.

LA: Nhiều người dùng hoặc công ty không chú ý đến bảo mật. Đó là hành vi xấu ở mức độ nào và bạn sẽ đưa ra lời khuyên nào cho họ? Hãy cho chúng tôi biết về một trường hợp nghiêm trọng có thể được phơi bày và bạn đã quan sát thấy trong quá trình trải nghiệm của mình để nâng cao nhận thức của công chúng.

FS: Rất nhiều? Hầu như không ai cả. Điều đầu tiên tôi khuyên họ là tham gia một khóa học nhận thức nhỏ về các quy định cơ bản về bảo mật máy tính.
Ngay cả trong Cơ quan thuế, tôi đã tìm thấy những người dùng đăng bài với mật khẩu của họ trên màn hình!
Nhưng thật không thể tin được khi nhìn thấy tại chỗ, trong một bài thuyết trình nhỏ về công ty của chúng tôi với một khách hàng khả dĩ, cũng là một công ty chơi với chứng khoán trên thị trường chứng khoán (các nhà môi giới), lắng nghe giám đốc điều hành từ văn phòng của ông ấy, hét lên nhà khoa học máy tính "B ... MẬT KHẨU CỦA TÔI LÀ GÌ ?? !!"
Ngay cả sau khi nhìn thấy điều này, khách hàng tiềm năng đã không thuê chúng tôi ... Chúa bắt họ phải thú nhận!

LA: Giờ đây, bạn cũng dạy các khóa học về hack và bảo mật. Bạn đã tự mình làm bài kiểm tra CEH (Council Ethical Hacking) của Hội đồng EC và với điểm số khá cao. Có một câu nói rằng "phòng thủ tốt nhất là một hành vi phạm tội tốt", tôi nói điều này để tham khảo câu hỏi trước. Bạn có khuyến khích người dùng tham gia loại khóa học này không?

FS: Tôi sẽ khuyến khích họ không tập trung vào "viêm phần đầu" mà thay vào đó hãy tham gia các khóa học để học hỏi. Chúng tôi tập trung các khóa học của mình vào thực hành, bởi vì tôi không thích khóa học mà bạn đặt tên này, vì tôi đã tự học nó và cũng không cần thực hành. Nó chỉ là một tiêu đề. Tuy nhiên, sinh viên của chúng ta bị "nghiền" làm thực hành. Nhưng họ nói với bạn ...
Một vận động viên phải tập luyện mỗi ngày. Chúng tôi cũng.

LA: Nhiều người tin rằng một hacker là một kẻ xấu. Ngay cả RAE cũng định nghĩa anh ta là một hacker sử dụng kiến ​​thức của mình để làm những điều xấu. Thật đáng buồn khi nghe điều này, bởi vì nó thậm chí còn buộc các thuật ngữ như “hack đạo đức” phải được nhìn thấy để mọi người không nghĩ về tội phạm mạng. Eric Reymond, bảo vệ thuật ngữ "hacker" với định nghĩa ban đầu và ủng hộ việc sử dụng "cracker" để chỉ "kẻ xấu". Nhưng đối mặt với guồng máy tuyên truyền của Hollywood, vốn cũng từng tạo tiếng xấu với nhiều bộ phim, loạt phim về hacker thì làm được gì ... Với tư cách là một chuyên gia bảo mật, bạn nghĩ sao?

FS: Tôi coi từ hacker như một chuyên gia máy tính, người đôi khi điều tra một cách ám ảnh cho đến khi anh ta tìm ra câu trả lời cho mình. Nhưng từ đó đến tội ...
Tất nhiên có những tin tặc là tội phạm, vì có thể có những người lính cứu hỏa cũng là tội phạm. Nhưng cũng giống như nó không được khái quát trong trường hợp thứ hai, tại sao lại làm nó trong trường hợp đầu tiên?
Tóm lại, tôi nghĩ rằng RAE cho thấy sự thiếu hiểu biết lớn khi gọi từ hacker là một hacker. Điều tốt nhất là Hollywood không nên đề cập đến nó ...

Tôi hy vọng bạn thích điều này cuộc phỏng vấn đầu tiên của loạt bài mà chúng tôi đã nêu ra đến những nhân vật quan trọng trên trường quốc gia và quốc tế ...