採訪弗朗西斯科·桑茲（Francisco Sanz）：安全哨兵組織的首席執行官

Security Sentinel（TSS）是一家西班牙公司，致力於計算機安全， 被很多人如此重要地遺忘了。 TSS 除提供安全培訓課程外，還致力於根據道德黑客或滲透測試對公司進行安全審核。

惡意軟件和漏洞是我們博客上的熱門話題，尤其是有關VENOM，Heartbleed以及影響GNU Linux的其他安全性問題的最新消息。 這就是為什麼我們決定面試的原因 TSS首席執行官Francisco Sanz 這將為我們提供有關此有趣主題的一些線索。

弗朗西斯科·弗朗西斯科（FS從現在開始）是TSS專業人士之一。 他曾在馬德里自治大學學習計算機工程，後來獲得了ESIC的業務管理和市場營銷學位，參加了Cisco CNNA，PHP和MySQL編程課程，道德黑客活動，並通過了EC-Council的CEH證書（91％的分類） / 100％。

LinuxAdictos: GNU Linux在安全領域非常重要。 在我們的博客中，我們討論了諸如Santoku，Kali，BugTraq，Xiaopan，Parrot OS，WiFislax，DEFT，Backbox，IPCop或其他面向安全瀏覽和隱私的發行版，例如Tails和Whonix。 在您的日常工作中，您會使用哪些？

弗朗西斯科·桑茲（Francisco Sanz）： 取決於要完成的工作...例如，在滲透測試中，我將自己的發行版（TPS）與我們使用的滲透測試工具一起使用，但基於它們的應該是7。

LA： 許多免費或開放源代碼攻擊的軟件稱其質量較差或更不安全。 你會對這些人說什麼？ 您是否認為，由於GNU Linux或FreeBSD是開源代碼，所以它比使用Windows的GNU Linux或FreeBSD計算機更容易，因為它是專有代碼，還是相反？

FS： 一百萬美元的問題。 還是通常的問題。 對我來說，不是系統，而是設置系統的人。
即使這樣，如果我必須決定的話，我總是會說LINUX。 為什麼？ 原因很多，但如果不進行擴展，我會告訴您其默認配置比Windows'安全。 您還可以通過選擇多個選項來提高安全性； 作為免費軟件，您可以開發，修改或擴展安全服務。
另一方面，沒有可執行文件可輕易感染特洛伊木馬。
即便如此，根據一些出版物，Windows似乎是最安全的……或者也許是資金最豐厚的Windows……我不知道我是否要自己解釋。 在此比較中，他們將119個Linux內核漏洞命名為...未指定...但是在Windows系統中出現248個...但為每個Windows OS指定的數量較少...即一小部分數字。 大量的營銷；）

LA： 安全哨兵是Rapid7 Metasploit項目的一個合作夥伴，RapidXNUMX Metasploit項目是一個開放源代碼項目，與許多其他用於滲透測試或取證分析的項目一樣。 這是一個很好的例子，可以清楚地說明我們在上一個問題中提到的內容。 你不覺得

FS： 好吧，Metasploit（Rapid7）已經花費了很多年的時間來開發各種破壞系統的漏洞利用程序。
我認為，您可以開發，修改或擴展漏洞利用程序的目標，並能夠像這樣的框架使用它，而不必支付或等待新的漏洞利用程序作為開放源代碼，這使您的工作變得更加輕鬆。
儘管有付費版本，但有免費版本，並且具有ruby，Python，perl的編程知識……您有一個非常非常有用的同事。
我還必須指出，許多Metasploit用戶僅使用其可能性的10％或20％。 在我們正在開發的下一個“道德黑客”課程（CHEE）中，我們將討論Metasploit的整個主題，在該課程中，我們將教您如何最大程度地使用該工具。

LA： Python是另一種免費許可證（PSFL）之下的一種編程語言，並且在安全領域中已經佔有一席之地。 為什麼？ 別人有什麼特別之處？

FS： Python有一個很大的優勢，那就是它的庫。 這些工具的使用和易於學習的語言可以幫助您在執行基於滲透測試的安全審核時非常有用的小型工具。
您還可以將小型Python程序與其他程序（例如nmap，nessus等）連接起來，這甚至可以幫助您更快地花費一個月的時間。
我們在1月XNUMX日為我們的學生開設了一個課程，為滲透測試者準備了Python，因為我們認為，一個學期的學生必須使用這種語言。

LA： 最近，在開源項目中發現了一些關鍵漏洞，並且在攻擊GNU Linux系統的其他惡意軟件中也發現了這些漏洞。 銷售封閉式軟件的公司，例如Apple和Microsoft，都有安全審核員，他們攻擊自己的系統以提高安全性。 您是否認為開放源代碼項目開發社區應考慮推廣這種做法？

FS： 好吧，您認為沒有針對Apache，Debian，Fedora，Ubuntu的審核員……另一件事是，他們收取其他公司的費用，但是它們存在，因為我知道大型發行版的工作人員。 沒有它們將是不合邏輯的。 我也相信，所有這些都是未來的賭注。 問題是，Apple或Windows最終會成為功能最強大的開源發行版嗎？

LA： 讓我們繼續看一下The Security Sentinel客戶。 今年夏天，我正在與Oracle工程師聊天，他告訴我，越來越多的服務器和超級計算機隨Linux一起出售，這有損於他們自己的系統Solaris，而且他們每天甚至使用稱為Oracle Linux的發行版進行工作。 您是否發現越來越多使用Linux或仍然非常依賴Windows的公司？

FS： 在這方面，您將找到所有內容。
我的客戶現在使用的Linux服務器數量多於Windows，但是用戶計算機仍然是Windows的90％，並且仍在使用XP的用戶比例非常高！！！

LA： 由於它帶來的可能性和優勢，一些政府或公司正在遷移到Linux發行版。 有些被安全引誘。 您會鼓勵公司和組織進行此更改嗎？ TSS是否為您實施的任何安全解決方案建議免費項目？

FS： 我們根據每個客戶的需求提供建議。 我希望人們更多地參與Linux，但有時品牌名稱會很重要。
即使這樣，只要有可能，我們都會建議Linux服務器的健壯性，靈活性和安全性。

LA： 許多用戶或公司都不注意安全性。 這在多大程度上是一種不好的做法，您會給他們什麼建議？ 告訴我們一個可能暴露出來的嚴重案例，您在經歷過程中觀察到的情況可以提高公眾的認識。

FS： 許多？ 幾乎沒人。 我建議他們做的第一件事是針對基本的計算機安全法規進行一次小型的認識課程。
即使在稅務局中，我也在監視器上找到了帶有密碼的用戶！
但是，在一個可能的客戶中對我們公司進行的小型介紹中，原地看到這真是令人難以置信，這家公司也是一家在股票市場上交易證券的公司（經紀人），在他的辦公室聽業務總監的聲音，計算機科學家“什麼是我的B ...密碼?? ！！”
即使看到了這一點，潛在的客戶也沒有僱用我們。。。上帝認罪了他們！

LA： 現在，您還將教授有關黑客和安全性的課程。 您自己參加了EC-Council CEH（理事會道德黑客）考試，並且成績相當不錯。 有人說“最好的防禦是好的進攻”，我是在提到前一個問題時說的。 您會鼓勵用戶參加此類課程嗎？

FS： 我鼓勵他們不要將注意力集中在“發炎”上，而應該選擇學習課程。 我們將課程的重點放在實踐上，因為我不喜歡您自己命名的這門課程，因為我是自己獨立學習的，也是未經實踐的。 這只是一個標題。 但是，我們的學生在實踐中“被壓碎了”。 但是他們告訴你...
運動員必須每天訓練。 我們也。

LA： 許多人認為黑客是壞人。 甚至RAE都將他定義為利用自己的知識來做壞事的黑客。 這是可悲的，聽到這個，因為它甚至被迫像“道德黑客”待觀察，使人們不認為網絡罪犯的條款。 埃里克·雷蒙德（Eric Reymond）用原始定義為“黑客”一詞辯護，並主張使用“ cracker”來指代“壞蛋”。 但是面對好萊塢的宣傳機器，該機器在眾多有關黑客的電影和電視劇中也造成了不良聲譽，該怎麼辦...作為安全專家您如何看待？

FS： 我認為“黑客”一詞是計算機專家，他有時會進行專心研究，直到找到答案為止。 但是從那裡到犯罪...
當然，有黑客是罪犯，因為可能有消防員也是罪犯。 但是，正如在第二種情況中沒有將其概括一樣，為什麼在第一種情況中會如此呢？
簡而言之，我認為RAE在將“黑客”一詞稱為“黑客”時表現出極大的無知。 好萊塢的事情最好別說了...

我希望你喜歡這個 我們提出的系列的第一次採訪 在國家和國際舞台上的重要人物...