采访弗朗西斯科·桑兹（Francisco Sanz）：安全哨兵组织首席执行官

Security Sentinel（TSS）是一家西班牙公司，致力于计算机安全， 被很多人如此重要地遗忘了。 TSS的 除了提供安全培训课程之外，我们还致力于根据道德黑客或渗透测试对公司进行安全审核。

恶意软件和漏洞是我们博客上的热门话题，尤其是有关VENOM，Heartbleed以及影响GNU Linux的其他安全性问题的最新消息。 这就是我们决定面试的原因 TSS首席执行官Francisco Sanz 这将为我们提供有关此有趣主题的一些线索。

弗朗西斯科·弗朗西斯科（FS从现在开始）是TSS专业人士之一。 他曾在马德里自治大学学习计算机工程，后来在ESIC的商业管理和市场营销专业毕业，参加了Cisco CNNA，PHP和MySQL编程课程，道德黑客活动，并通过了EC-Council的CEH证书，分级为91％/ 100 ％。

LinuxAdictos: GNU Linux在安全领域非常重要。 在我们的博客中，我们讨论了诸如Santoku，Kali，BugTraq，Xiaopan，Parrot OS，WiFislax，DEFT，Backbox，IPCop或其他面向安全浏览和隐私的发行版，例如Tails和Whonix。 在您的日常工作中，您会使用哪些？

弗朗西斯科·桑兹（Francisco Sanz）： 取决于要完成的工作...例如，在渗透测试中，我将自己的发行版（TPS）与我们使用的渗透测试工具一起使用，但基于它们的应该是7。

LA： 许多免费或开放源代码攻击的软件称其质量较差或不安全。 你会对这些人说些什么？ 您是否认为，由于GNU Linux或FreeBSD是开放源代码，因此它比具有Windows的GNU Linux或FreeBSD计算机更容易，因为它是专有代码，还是相反？

FS： 一百万美元的问题。 还是通常的问题。 对我来说，不是系统，而是设置系统的人。
即使这样，如果我必须决定的话，我总是会说LINUX。 为什么？ 原因很多，但如果不进行扩展，我会告诉您其默认配置比Windows'安全。 您还可以通过选择多个选项来提高安全性； 作为免费软件，您可以开发，修改或扩展安全服务。
另一方面，没有可执行文件让您容易被木马感染。
即便如此，根据一些出版物，Windows似乎是最安全的……或者也许是资金最丰厚的Windows……我不知道我是否要自己解释。 在此比较中，他们将119个Linux内核漏洞命名为...未指定...但是在Windows系统中出现248个...但是为每个Windows OS指定的数量较少...这是一个小小的数字游戏。 大量的营销；）

LA： 安全哨兵是Rapid7 Metasploit项目的一个合作伙伴，RapidXNUMX Metasploit项目是一个开放源代码项目，与许多其他用于渗透测试或取证分析的项目一样。 这是一个很好的例子，可以清楚地说明我们在上一个问题中提到的内容。 你不认为？

FS： 好吧，Metasploit（Rapid7）已经花费了很多年的时间来开发各种破坏系统的漏洞利用程序。
我认为，您可以开发，修改或扩展漏洞利用程序的目标，并能够像这样的框架使用它，而不必支付或等待新的漏洞利用程序作为开源的可能性，这使您的工作变得更加轻松。
尽管有付费版本，但有免费版本，并且具有ruby，Python，perl的编程知识……您有一个非常非常有用的同事。
我还必须评论说，许多Metasploit用户仅使用其可能性的10％或20％。 在我们正在开发的下一个“道德黑客”课程（CHEE）中，我们将讨论Metasploit的整个主题，我们将在其中教授如何最大程度地使用该工具。

LA： Python是另一种免费许可证（PSFL）之下的一种编程语言，并且在安全领域中已经占有一席之地。 为什么？ 别人有什么特别之处？

FS： Python有一个很大的优势，那就是它的库。 这些工具的使用和易于学习的语言可以帮助您在执行基于渗透测试的安全审核时非常有用的小型工具。
您还可以将小型Python程序与其他程序（如nmap，nessus等）连接起来，这可以帮助您进一步加快一个上个月的工作。
我们在1月XNUMX日为我们的学生开设了一个课程，为渗透测试者准备了Python，因为我们认为，一个学期的学生必须使用这种语言。

LA： 最近，在开源项目中发现了一些关键漏洞，并且在攻击GNU Linux系统的其他恶意软件中也发现了这些漏洞。 销售封闭式软件的公司，例如Apple和Microsoft，都有安全审核员，他们攻击自己的系统以提高安全性。 您是否认为开放源代码项目开发社区应考虑推广这种做法？

FS： 好吧，您认为没有针对Apache，Debian，Fedora，Ubuntu的审核员……另一件事是，他们收取其他公司的费用，但是它们存在，因为我知道大型发行版的工作人员。 没有它们将是不合逻辑的。 我也相信，所有这些都是未来的赌注。 问题是，Apple或Windows最终会成为功能最强大的开源发行版吗？

LA： 让我们继续看一下The Security Sentinel客户。 今年夏天，我在与Oracle工程师聊天时，他告诉我，越来越多的服务器和超级计算机随Linux一起出售，这有损于他们自己的系统Solaris，而且他们每天甚至使用称为Oracle Linux的发行版进行工作。 您是否发现越来越多使用Linux或仍然非常依赖Windows的公司？

FS： 在这方面，您将找到所有内容。
我的客户现在使用的Linux服务器数量多于Windows，但是用户计算机仍然是Windows的90％，并且仍在使用XP的用户比例非常高！！！

LA： 由于它带来的可能性和优势，一些政府或公司正在迁移到Linux发行版。 有些被安全引诱。 您会鼓励公司和组织进行此更改吗？ TSS是否为您实施的任何安全解决方案建议免费项目？

FS： 我们根据每个客户的需求提供建议。 我希望人们更多地参与Linux，但有时品牌名称会很重要。
即使这样，只要有可能，我们都会建议Linux服务器的健壮性，灵活性和安全性。

LA： 许多用户或公司都不注意安全性。 这在多大程度上是一种不好的做法，您会给他们什么建议？ 告诉我们一个可能暴露出来的严重案例，您在经历过程中观察到的情况可以提高公众的认识。

FS： 许多？ 几乎没人。 我建议他们做的第一件事是对基本的计算机安全法规进行一次小型的认识课程。
即使在税务局中，我也在监视器上找到了带有密码的用户！
但是，在一个可能的客户中对我们公司进行的小型介绍中，原地看到这真是令人难以置信，这家公司也是一家在股票市场上交易证券的公司（经纪人），在他的办公室听业务总监的声音，计算机科学家“什么是我的B ...密码?? ！！”
即使看到了这一点，潜在的客户也没有雇用我们。。。上帝抓住他们承认了！

LA： 现在，您还将教授有关黑客和安全性的课程。 您自己参加了EC-Council CEH（理事会道德黑客）考试，并且成绩相当不错。 有人说“最好的防御是好的进攻”，我是在提到前一个问题时说的。 您会鼓励用户参加此类课程吗？

FS： 我鼓励您不要将注意力集中在“皮肤炎”上，而应选择学习课程。 我们将课程的重点放在实践上，因为我不喜欢您自己命名的这门课程，因为我是自己独立学习的，也是未经实践的。 这只是一个标题。 但是，我们的学生在实践中“被压碎了”。 但是他们告诉你...
运动员必须每天训练。 我们也。

LA： 许多人认为黑客是坏人。 甚至RAE都将他定义为利用自己的知识来做坏事的黑客。 这是可悲的，听到这个，因为它甚至被迫像“道德黑客”待观察，使人们不认为网络罪犯的条款。 埃里克·雷蒙德（Eric Reymond）用原始定义为“黑客”一词辩护，并提倡使用“ cracker”来指代“坏蛋”。 但是面对好莱坞的宣传机器，该机器在众多有关黑客的电影和电视剧中也造成了不良声誉，该怎么办……作为安全专家，您如何看待？

FS： 我认为“黑客”一词是计算机专家，有时会沉迷于调查，直到找到答案为止。 但是从那里到犯罪...
当然，有黑客是罪犯，因为可能有消防员也是罪犯。 但是，正如在第二种情况中未将其概括一样，为什么在第一种情况中会如此？
简而言之，我认为RAE在将“黑客”一词称为“黑客”时表现出极大的无知。 好莱坞的事情最好别说了...

我希望你喜欢这个 我们提出的系列的第一次采访 在国家和国际舞台上的重要人物...