The Security Sentinel (TSS) هي شركة إسبانية مكرسة لأمن الكمبيوتر ، نسيها الكثيرون ومهمون جدًا. TSS مكرس لإجراء عمليات تدقيق أمنية للشركات ، بناءً على اختبارات القرصنة الأخلاقية أو اختبارات pentesting ، بالإضافة إلى تقديم دورات تدريبية حول الأمان.
تعد البرامج الضارة ونقاط الضعف موضوعًا ساخنًا على مدونتنا وخاصةً مع آخر الأخبار حول VENOM و Heartbleed ومشكلات الأمان الأخرى التي تؤثر على GNU Linux. لهذا السبب قررنا إجراء مقابلة فرانسيسكو سانز ، الرئيس التنفيذي لشركة TSS والتي ستعطينا بعض الأدلة حول هذا الموضوع المثير للاهتمام.
فرانسيسكو (FS من الآن فصاعدًا) هو أحد المتخصصين في TSS. درس هندسة الكمبيوتر في جامعة مدريد المستقلة لتخرج لاحقًا في الإدارة التجارية والتسويق في ESIC ، وأخذ دورات برمجة Cisco CNNA و PHP و MySQL والقرصنة الأخلاقية واجتياز شهادة CEH من EC-Council بتصنيف 91٪ / 100 ٪.
مدمنو لينكس: GNU Linux مهم جدًا في مجال الأمن. تحدثنا في مدونتنا عن توزيعات مثل Santoku و Kali و BugTraq و Xiaopan و Parrot OS و WiFislax و DEFT و Backbox و IPCop أو غيرها من التوزيعات الموجهة نحو التصفح الآمن والخصوصية ، مثل Tails و Whonix. في روتينك اليومي ، أي منها تستخدم؟
فرانسيسكو سانز: اعتمادًا على العمل الذي يتعين القيام به ... على سبيل المثال ، في pentesting ، أستخدم التوزيع الخاص بي (TPS) مع أدوات pentesting التي نستخدمها ، ولكن بناءً على ما ينبغي 7.
LA: يهاجم العديد من البرامج المجانية أو مفتوحة المصدر قائلين إنها ذات جودة رديئة أو غير آمنة. ماذا ستقول لهؤلاء الناس؟ هل تعتقد أنه من الأسهل مهاجمة جهاز GNU Linux أو FreeBSD لأنه مفتوح المصدر أكثر من جهاز يعمل بنظام Windows لأنه رمز احتكاري ، أم أنه عكس ذلك؟
خ م: سؤال المليون دولار. أو السؤال المعتاد. بالنسبة لي ليس النظام ، بل الشخص الذي ينشئ النظام.
ومع ذلك ، إذا كان علي أن أقرر ، فسأقول دائمًا LINUX. لماذا ا؟ هناك العديد من الأسباب ، ولكن لعدم التوسيع ، أود أن أخبرك أن التكوين الافتراضي الخاص به أكثر أمانًا من Windows ؛ يمكنك أيضًا جعله أكثر أمانًا من خلال وجود خيارات متعددة ؛ نظرًا لكونك برنامجًا مجانيًا ، يمكنك تطوير خدمات الأمان أو تعديلها أو توسيعها.
من ناحية أخرى ، لا توجد ملفات تنفيذية تصيبك بأحصنة طروادة بسهولة.
ومع ذلك ، يبدو أن نظام Windows الآن هو الأكثر أمانًا ، وفقًا لبعض المنشورات ... أو ربما هو الأكثر أمانًا ... لا أعرف ما إذا كنت سأشرح نفسي. في هذه المقارنة ، قاموا بتسمية 119 نقطة ضعف نواة Linux ... غير محددة ... ومع ذلك تظهر 248 بين أنظمة Windows ... ولكن مع تحديد كمية أقل لكل نظام تشغيل Windows ... أي ... مجموعة صغيرة من الأرقام. الكثير من التسويق ؛)
LA: يعد Security Sentinel شريكًا في مشروع Rapid7 Metasploit ، وهو مشروع مفتوح المصدر ، مثل العديد من المشروعات الأخرى المستخدمة في التحليلات الجنائية أو التحليلات الجنائية. إنه مثال جيد يوضح ما ذكرناه في السؤال السابق. لا تعتقد
خ م: حسنًا ، لقد أمضت Metasploit (Rapid7) سنوات عديدة في استثمار الوقت في تطوير برمجيات إكسبلويت لتدمير الأنظمة بجميع أنواعها.
أعتقد أن إمكانية تطوير أو تعديل أو توسيع أهداف برمجية إكسبلويت وأن تكون قادرًا على استخدامها مع إطار عمل كهذا ، دون الحاجة إلى الدفع أو انتظار ثغرات جديدة ، كونها مفتوحة المصدر ، تجعل عملك أسهل كثيرًا.
على الرغم من وجود نسخة مدفوعة ، مع النسخة المجانية ومعرفة البرمجة بلغة Ruby و Python و perl ... لديك زميل عمل مفيد للغاية.
يجب أن أعلق أيضًا على أن العديد من مستخدمي Metasploit يستخدمون فقط 10 أو 20 ٪ من إمكانياتهم. في دورة القرصنة الأخلاقية التالية التي نقوم بتطويرها (CHEE) ، لدينا موضوع كامل لـ Metasploit ، حيث سنعلم كيفية استخدام الأداة على أكمل وجه.
LA: Python هي لغة برمجة بموجب ترخيص مجاني آخر (PSFL) ولديك حضور كبير في قطاع الأمن. لماذا ا؟ ما الذي يميز الآخرين؟
خ م: تتمتع Python بميزة كبيرة جدًا وهي مكتباتها. يساعدك استخدام هذه الأدوات وسهولة تعلم اللغة كثيرًا على أن تكون قادرًا على تنفيذ أدوات صغيرة مفيدة جدًا عند إجراء تدقيق أمني قائم على اختبار pentesting.
يمكنك أيضًا توصيل برامج Python الصغيرة ببرامج أخرى مثل nmap و nessus وما إلى ذلك ... وهذا يساعدك بشكل أكبر على تسريع عمل pentester.
نأخذ دورة في 1 يونيو لطلابنا ، بايثون للمبتدئين ، لأننا نعتقد أنه من الضروري أن يستخدم المخبر هذه اللغة.
LA: في الآونة الأخيرة ، تم اكتشاف بعض الثغرات الخطيرة في مشاريع مفتوحة المصدر وبعض البرامج الضارة الأخرى التي تهاجم أنظمة GNU Linux. الشركات التي تبيع البرامج المغلقة ، مثل Apple و Microsoft ، لديها مدققون أمنيون يهاجمون أنظمتهم الخاصة لتحسين الأمان. هل تعتقد أنه يجب على مجتمع تطوير المشروع مفتوح المصدر التفكير في تعزيز هذه الممارسة؟
خ م: حسنًا ، تعتقد أنه لا يوجد مدققون لـ Apache و Debian و Fedora و Ubuntu ... شيء آخر هو أنهم يتقاضون رسومًا من الشركات الأخرى ، لكن هناك ، هناك ، لأنني أدرك أن التوزيعات الكبيرة لديها أشخاص يعملون على هذا . سيكون من غير المنطقي عدم وجودهم. أعتقد أيضًا أن كل هذا هو رهان للمستقبل. المشكلة هي ، هل سينتهي الأمر بأن تكون Apple أو Windows أقوى توزيعات مفتوحة المصدر؟
LA: دعنا ننتقل إلى عملاء The Security Sentinel. كنت أتحدث هذا الصيف مع مهندس أوراكل وأخبرني أن المزيد والمزيد من الخوادم وأجهزة الكمبيوتر العملاقة تُباع مع Linux على حساب نظامهم الخاص ، سولاريس ، وأنهم يستخدمون توزيعة تسمى Oracle Linux لعملهم كل يوم. هل تجد المزيد والمزيد من الشركات التي تستخدم Linux أو لا تزال تعتمد كثيرًا على Windows؟
خ م: في هذا الجانب ، تجد كل شيء.
يستخدم زبائني الآن نظام Linux للخوادم أكثر من Windows ، لكن أجهزة كمبيوتر المستخدم لا تزال تعمل بنظام Windows بنسبة 90 ٪ وما زالت نسبة عالية جدًا تستخدم XP !!!
LA: تقوم بعض الحكومات أو الشركات بالانتقال إلى توزيعات Linux بسبب الاحتمالات والمزايا التي توفرها. البعض يغريهم بالسلامة. هل تشجع الشركات والمؤسسات على إجراء هذا التغيير؟ هل تنصح TSS بمشاريع مجانية لأي من حلول الأمان التي تقوم بتنفيذها؟
خ م: ننصح حسب احتياجات كل عميل. أود أن يشارك الناس أكثر مع Linux ، لكن أحيانًا يكون اسم العلامة التجارية له وزن كبير.
ومع ذلك ، فنحن ، كلما أمكننا ، ننصح خوادم Linux بقوتها ومرونتها وأمانها.
LA: كثير من المستخدمين أو الشركات لا ينتبهون للأمان. إلى أي مدى تعتبر ممارسة سيئة وما هي النصيحة التي تقدمها لهم؟ أخبرنا عن حالة خطيرة يمكن الكشف عنها والتي لاحظتها خلال تجربتك لرفع مستوى الوعي بين الجمهور.
خ م: عديدة؟ لا أحد تقريبا. أول شيء أنصحهم به هو إعطاء دورة توعية صغيرة حول لوائح أمان الكمبيوتر الأساسية.
حتى في مصلحة الضرائب ، وجدت مستخدمين لديهم ملصق مع كلمة المرور الخاصة بهم على الشاشة!
لكن كان من المذهل أن نرى في الموقع ، في عرض تقديمي صغير لشركتنا في عميل محتمل ، وهو أيضًا شركة تتلاعب بالأوراق المالية في سوق الأوراق المالية (السماسرة) ، استمع إلى مدير العمليات من مكتبه ، وأصرخ على عالم الكمبيوتر "ما هو ب ... كلمة المرور ؟؟ !!"
حتى بعد رؤية هذا العميل المحتمل لم يوظفنا ... أمسكهم الله اعترف!
LA: أنت الآن تقوم أيضًا بتدريس دورات حول القرصنة والأمن. لقد خضت اختبار EC-Council CEH (Council Ethical Hacking) بنفسك وبدرجة جيدة جدًا. هناك مقولة أن "أفضل دفاع هو الهجوم الجيد" أقول هذا في إشارة إلى السؤال السابق. هل تشجع المستخدمين على أخذ هذا النوع من الدورات التدريبية؟
خ م: أود أن أشجعهم على عدم التركيز على "التهاب اللثة" ولكن بدلاً من ذلك على أخذ دورات للتعلم. نحن نركز دوراتنا على الممارسة ، لأنني لم أحب هذه الدورة التي تسميها ، لأنني درستها بمفردي وأيضًا بدون ممارسة. إنه مجرد عنوان. ومع ذلك ، فإن طلابنا "يسحقون" أثناء القيام بالممارسات. لكنهم يقولون لك ...
يجب أن يتدرب الرياضي كل يوم. نحن أيضا.
LA: يعتقد الكثير أن المتسلل هو شخص سيء. حتى RAE يعرفه بأنه متسلل يستخدم معرفته للقيام بأشياء سيئة. من المحزن سماع هذا ، لأنه فرض مصطلحات مثل "القرصنة الأخلاقية" بحيث لا يفكر الناس في مجرمي الإنترنت. يدافع إريك ريموند عن مصطلح "هاكر" بالتعريف الأصلي ويدافع عن استخدام كلمة "كراكر" للإشارة إلى "الأشرار". لكن في مواجهة آلة الدعاية في هوليوود ، والتي خلقت أيضًا سمعة سيئة مع العديد من الأفلام والمسلسلات حول المتسللين ، ما الذي يمكن فعله ... ما رأيك كخبير أمني؟
خ م: أنا أعتبر كلمة هاكر على أنها اختصاصي كمبيوتر يبحث بقلق شديد أحيانًا حتى يجد إجابته. لكن من هناك إلى الجريمة ...
بالطبع هناك قراصنة مجرمون ، حيث قد يكون هناك رجال إطفاء مجرمون أيضًا. ولكن مثلما لم يتم تعميمها في الحالة الثانية ، فلماذا تفعل في الحالة الأولى؟
باختصار ، أعتقد أن RAE يُظهر جهلًا كبيرًا عندما يتعلق الأمر بتسمية كلمة hacker بالهاكر. من الأفضل عدم ذكر شيء هوليوود ...
أتمنى أن تكون قد أحببت هذا المقابلة الأولى من المسلسل الذي طرحناه لشخصيات مهمة على الساحة الوطنية والدولية ...
مقابلة مثيرة للاهتمام للغاية، استمر في العمل الجيد. linuxadictosكوم
أرغب في الدخول إلى هذه المنظمة ، من فضلك إذا كنت تريد أن تستقبلني ، رقمي هو 7351979719 أعيش في موريلوس ، أعرف ما هو وأريد حقًا الدخول