Wawancara kami minggu ini adalah untuk wawancara besar lainnya, dalam kasus ini Chema Alonso telah menjadi korban dari pertanyaan kami. Anda dengan baik hati ingin meluangkan waktu untuk menjawab kami secara eksklusif, sesuatu yang kami hargai mengetahui jadwal Anda.
Saya pikir Chema Alonso, salah satu peretas nasional terpopuler kamiTidak perlu diperkenalkan dan dipahami oleh "hacker" arti sebenarnya dari kata tersebut. Bagi yang belum mengenalnya, Anda dapat mengetahui lebih lanjut tentang dia dengan googling dan saya mendorong Anda untuk mengakses blognya, di mana Anda akan menemukan posting menarik tentang keamanan. Kamu tahu Sisi jahat menunggumu. Sementara itu, Anda dapat membaca apa yang telah dia jawab kepada kami.
Pecandu Linux: 1- Pertanyaan pertama adalah suatu keharusan… Pablo Motos, Jordi Évole, Mamen Mendizábal dan sekarang saya. Apa yang terjadi padamu, Chema?
Kema Alonso: Saya mencoba untuk melayani semua orang. Jawab email dan pesan semua orang yang mereka berikan kepada saya. Memang benar saya tidak memberi cukup. Mereka memberi saya pesan di Twitter, Facebook, Google+, Youtube, Instragram, blog, email, dll., Dan sangat tidak mungkin bagi saya untuk menemukan waktu untuk menjawab semuanya, tetapi saya bersumpah saya akan mencobanya. Mengenai jurnalis, kenyataannya adalah saya harus bersama beberapa orang yang sangat baik di televisi, tetapi yang lain juga sangat baik di media dan di dunia Internet. Jika saya menyediakan waktu, saya menjawab wawancara.
LxW: 2-Saya memahami bahwa Anda pernah menjadi guru Linux dan selama karier Anda, Anda telah bekerja dengan distribusi Linux. Apa yang Anda suka dan apa yang ingin Anda ubah?
AC: Ya itu benar. Saya telah menjadi guru GNU / Linux selama bertahun-tahun dan telah memberikan banyak kursus RedHat - yang paling maju di akhir tahun 90-an -. Tentang GNU / Linux Saya suka Anda dapat membangun banyak hal dengan sistem ini, modularitas yang ada untuk melakukannya sesuai keinginan Anda, dan jumlah alat yang tersedia. Distribusi dengan Kali Linux, CentOS, Ubuntu atau Debian adalah contoh bagaimana inti yang sama dapat diadaptasi ke banyak lingkungan yang berbeda. Saya tidak menyukai agama yang dianut beberapa orang dengan perangkat lunak bebas dan kurangnya beberapa alat manajemen bisnis dan lingkungan pengguna. Di sana saya masih lebih suka sistem Microsoft Windows atau sistem OS X.
LxW: 3-Seperti biasa, open source membangkitkan simpati dan kebencian. Beberapa orang berpikir bahwa kualitasnya buruk atau lebih tidak aman daripada yang tertutup. Apa yang akan Anda katakan kepada mereka yang berpikir demikian?
AC: Semua pernyataan ini, dengan sendirinya, salah. Yang penting bukanlah apakah kode itu terbuka atau tertutup, tetapi apa yang dilakukan dengannya. Ada proyek perangkat lunak bebas yang sangat rumit dan berhasil, dan ada pula yang tidak. Berpikir bahwa proyek karena OpenSource akan diaudit oleh semua orang tidaklah benar. Anda harus melakukan lebih dari itu. Selain itu, tidak peduli seberapa banyak Anda memiliki kode sumber, menemukan bug keamanan adalah sesuatu yang mungkin hanya muncul ketika kode dikompilasi untuk arsitektur tertentu dan dijalankan di lingkungan tertentu. Itulah mengapa teknik Fuzzing digunakan.
Di sisi lain, menerbitkan kode sumber dan pembaruan keamanan dalam proyek Open Source, membuka jendela peluang untuk mesin pencari 0days ketika datang untuk menghasilkan eksploitasi sebelum ada tambalan yang menyelesaikannya dalam biner yang dapat didistribusikan. Kami telah melihatnya dalam banyak kasus. Pendapat saya adalah, apakah OpenSource atau tidak, yang penting adalah kualitas perangkat lunak dan jika perangkat lunak telah dibuat di perusahaan kami untuk keamanan kami, selain mengauditnya dengan baik, saya lebih suka kode sumber tetap di rumah}: ).
LxW: 4-Anda sendiri 0xWord. Saya memiliki beberapa judul tentang keamanan Anda dan saya menyarankan semua orang untuk menjelajahi web. Ini adalah toko buku yang agak tidak biasa, karena Anda memberi kesempatan kepada penulis baru yang ingin menerbitkan bukunya tentang keamanan atau topik lainnya. Perangkat lunak bebas juga menawarkan banyak peluang dan menurut saya sangat penting untuk pendidikan. Tidakkah Anda berpikir bahwa perusahaan yang mengembangkan perangkat lunak berpemilik harus memikirkan kembali untuk membuka kode mereka?
AC: Banyak yang sudah melakukannya, tetapi menurut saya itu tidak harus menjadi mayoritas. Sejumlah besar kode sumber yang diterbitkan tersedia saat ini, yang merupakan alat bantu pembelajaran yang bagus. Saya percaya bahwa perusahaan harus membuka kodenya dalam keadaan tertentu, tetapi menurut saya itu bukan satu-satunya cara. Mungkin perusahaan kecil membuka kode gratisnya dan kemudian perusahaan besar memanfaatkannya dengan meningkatkan dan mengeksploitasinya tanpa perusahaan kecil dapat bersaing untuk itu. Menurut saya, untuk pelajar atau profesional, membuat program open source adalah surat lamaran yang bagus, dan bagi perusahaan ini bisa menjadi cara untuk menciptakan komunitas dan memposisikan produk dengan lebih baik, tetapi ini bukan satu-satunya cara.
LxW: 5-Dan untuk menyusun pertanyaan sebelumnya. Blog kami ditujukan untuk perangkat lunak gratis dan Linux, tetapi kami telah banyak menulis tentang Microsoft akhir-akhir ini. Dia telah membuka beberapa proyeknya, beberapa pernyataan telah muncul yang mengejutkan kami, mereka meluncurkan .NET Core dan Visual Studio Code untuk Linux dan dikabarkan bahwa Windows open-source sedang dibahas secara internal. Apakah Anda ingin melihat Windows open source?
AC: Microsoft telah memiliki banyak sumber terbuka, dan kemungkinan besar akan membuka lebih banyak lagi di masa mendatang. Mungkin mereka akan merilisnya open source di masa mendatang, tapi saya rasa mereka tidak akan segera melakukannya - mungkin saya salah. Hingga hari ini, sistem operasi Windows terus memiliki banyak penjualan dibandingkan para pesaingnya, dan sebagian besar karena cara mereka melakukan sesuatu di kernel dan di lapisan sistem operasi. Ini adalah keunggulan kompetitif yang ingin mereka posisikan untuk melawan sistem lain seperti Android, iOS atau OS X yang memiliki keunggulan kompetitif lainnya.
LxW: 6-It is behind Eleven Paths, sebuah perusahaan keamanan digital yang muncul dari Informática 64 dan Telefónica. Perusahaan terakhir ini, yang memiliki hubungan dengan Anda, memilih sistem operasi Firefox OS untuk perangkat seluler. Apa pendapat Anda tentang Firefox OS dan keuntungan apa yang Anda lihat dibandingkan iOS, Android, Tizen, ...?
AC: Saya tidak hanya memiliki hubungan dengan Telefónica, saya juga bekerja di Telefónica. Perusahaan telah lama berkomitmen untuk kebebasan memilih pengguna dan netralitas bersih. Dan sementara beberapa perusahaan berbicara tentang netralitas bersih untuk menciptakan layanan dengan kemampuan yang sama, mereka membuat sistem mereka kurang dapat dioperasikan dari hari ke hari. Memindahkan kehidupan digital Anda dari iOS ke Android atau dari Android ke Windows Phone sangat merepotkan. Mereka sama sekali tidak dapat dioperasikan. Komitmen Telefónica adalah untuk mendukung ekosistem yang lebih luas dan tidak terlalu tertutup, itulah mengapa Telefónica memilih Firefox OS dan terus mendukungnya. Keuntungannya adalah di belakangnya ada Mozilla Foundation yang menciptakan ekosistem Webapps yang dapat berjalan di sistem apa pun. Itulah keuntungan yang ingin ditingkatkan oleh Mozilla "gila".
LxW: 7-Mari kita bicara sekarang tentang FOCA. Ini adalah perangkat lunak yang luar biasa, tetapi dari sudut pandang kami memiliki bug yang belum diperbaiki. Tidak tersedia untuk Linux! Kami dapat menjalankannya dari Wine, memiliki alat lain atau dengan MetaShield Analyzer, tetapi kami masih melewatkannya. Ada banyak alat untuk pentesting, analisis forensik, dll., Untuk Linux. Ada juga banyak distro seperti Kali, Parrot OS, Santoku, DEFT, dan Largo, dll. Linux tidak diragukan lagi sangat penting di bagian ini. Mengapa Anda memutuskan untuk tidak menjalankan FOCA?
AC: Kami tidak pernah mem-porting FOCA karena kekurangan sumber daya, sekarang kami berpikir untuk merilis kode dalam .NET dan orang-orang memutuskan apakah mereka ingin mengkompilasinya untuk Linux dengan pengumuman Microsoft yang baru atau memperbaikinya dari hari ke hari. Anda harus menunggu sebentar.
LxW: 8-NeXT memutuskan untuk membuat sistem operasi Unix, yang kemudian menjadi bibit Mac OS X ketika Apple mengakuisisi perusahaan tersebut. Unix jelas merupakan sistem yang hebat dan Microsoft menggodanya dengan Xenix. Tapi akhirnya Windows NT (OS / 2) muncul. Apakah menurut Anda jika Windows adalah * nix hari ini, akan lebih baik?
AC: Tidak, jauh dari itu. Microsoft tidak "menggoda" UNIX, Microsoft membangun XENIX yang dijual ke Operasi Santa Cruz, dan SCO UNIX menjadi UNIX yang paling banyak digunakan di dunia. Kernel Windows luar biasa dan ini ditunjukkan oleh kinerja dan pengalaman pengguna kernel 6.x.
Bagaimanapun, berpikir bahwa kernel Windows dan kernel UNIX sangat berbeda ... adalah suatu kesalahan. Ada kuliah hebat oleh Mark Russinovich yang berjudul "A Tale of Two Kernels" di mana dia melihat apa yang dimiliki kernel Windows NT dan kernel Linux, dan sungguh mengejutkan betapa hampir akuratnya mereka.
Nyatanya, saya menyukai ungkapan yang diucapkan Linux Torvalds bertahun-tahun yang lalu di sebuah konferensi yang menanyakan kepadanya mengapa pengembang kernel adalah komunitas yang sangat sedikit mengubah wajah dan hanya memasukkan sedikit orang baru. Ia mengatakan, selain bukan komunitas yang paling ramah, waktu untuk solusi sederhana untuk masalah sederhana dalam membuat kernel monolitik sudah lewat bertahun-tahun.
LxW: 9-Saya selalu mendengar Anda mengatakan bahwa Anda harus menggunakan antivirus. Tidak hanya di Windows, tetapi juga di platform lain seperti Mac OS X. Banyak yang mengatakan bahwa antivirus di Linux hanya berfungsi untuk memperlambat komputer. Saran apa yang Anda berikan kepada linux tentang hal ini dan antivirus apa yang Anda rekomendasikan?
AC: Jika masalahnya adalah memperlambat sistem, hapus firewall, perlindungan seluruh sistem operasi ... dan jalankan! } :)
LxW: 10 - Dan yang terakhir yang paling sulit dari semuanya. Apakah ini wawancara terburuk dalam hidup Anda? ; hal
AC: Tidak, jauh dari itu. Mereka datang untuk menanyakan hal yang tidak masuk akal kepada saya ... Saya pernah mengatakan kepada seorang jurnalis radio: "Tolong jangan tanya saya apa yang omong kosong." Ada kalanya saya menulis kepada mereka pertanyaan yang harus mereka tanyakan kepada saya sehingga saya dapat menjelaskan dengan benar masalah terkini kepada mereka. Jika saya menghitung….
Senang memiliki orang-orang seperti Chema Alonso untuk rangkaian wawancara kami dan, sebagai tambahan, dalam hal ini memberi kami kabar baik untuk masa depan dan itu mungkin kami memiliki FOCA untuk GNU / Linux ...
Kerja bagus, Pecandu Linux: 3 salam.
Banyak orang berpikir kebalikan dari tentara bayaran Telefónica ini dan pengikut setia kernel NT, dan itu adalah bahwa sumber terbuka memungkinkan inovasi dan evolusi perangkat lunak, dan tidak peduli seberapa kecil dia diaudit, itu kurang rentan. hingga 0-hari.
Apa yang membuat open source kurang rentan terhadap 0 hari, betapapun buruknya audit itu? Dan dengan cara yang sama ... apa yang membuatnya inovatif dan memungkinkan evolusinya jika dia diaudit dengan buruk atau tidak menarik minat masyarakat? alasan untuk komentar Anda.
Saya membayangkan itu mengatakannya karena 100% yang menggunakan kode terbuka bahkan tidak 10% harus menganalisis kode mungkin di rumah jika Anda menganalisisnya tetapi Anda hanya memasukkan 10% itu.
Microsoft mercenary, jika ada kasus.
Bahwa Telefónica berkomitmen pada netralitas internet? Biarkan dia memberitahu bosnya, César Alierta, untuk melihat bagaimana dia tertawa (secara alkohol, tentu saja). Dari Tuan Alonso orang tidak bisa mengharapkan terlalu banyak kritik terhadap majikannya; Namun, tidak sulit untuk menemukan dia mendekati hal konyol untuk membela mereka. Dengan keamanan terbaik dari sistem tertutup, saya kira dia akan merujuk pada perusahaan atau entitas yang dapat dipercaya, bukan Microsoft yang dicintainya (atau Apple, Google, atau banyak lainnya) yang praktiknya terhadap klien mereka telah berkali-kali dilakukan. unmasked (dari jauh sebelum PRISM sampai sekarang, dengan informasi yang dikirimkan Windows 10, apakah klien menerimanya atau jika mereka menandai semua yang tidak mereka)
Anda mengacaukan privasi dengan lubang keamanan (kegagalan datang) dan dalam kegagalan ITULAH YANG KURANG
Ini juga merupakan jenis lubang keamanan, baik itu disengaja, eksternal, dll. Tetapi sebenarnya.
Chema adalah tuannya!
Go fanwin hack ini kan? XD
Selamat! wawancara yang sangat bagus.
Ayolah, Komentar pengguna agak lama, sekarang tidak mengaudit kode menyebabkan banyak kerentanan di tahun 2014. Kerentanan yang sudah lebih dari 20 tahun dan tidak ada yang mengatakan apa-apa, banyak kerentanan zero Day yang belum ditemukan oleh peneliti etis, mereka sudah di tangan perusahaan dan penjahat yang menjualnya ke otoritas masing-masing negara, di sanalah mitos open source berakhir
Saya berada di konferensi di mana dia mempresentasikan program FOCA-nya, dan dia berkata bahwa dia telah memberikan nama itu karena anjing laut memakan penguin xD
Menurut saya antivirus adalah respons yang sangat buruk, terutama bagi orang yang dianggap salah satu yang terbaik dalam keamanan. Menempatkan konsumsi firewall pada level antivirus adalah hal yang konyol, selain tidak menjawab pertanyaan dengan cara yang koheren, seperti:
Untuk orang biasa, penggunaan antivirus di Linux bisa jadi berat, dan tidak terlalu efektif, namun bagi perusahaan ini adalah persyaratan keamanan yang penting.
segel tidak. karena program itu mengenalnya sebelum dia menggunakannya. itu sudah digunakan untuk mencari tahu dalam metadata.