Francisco Nadador nos cuenta su experiencia en el mundo del análisis forense

Logo Complumatica y LxA

Hoy entrevistamos en exclusiva para LxA a Francisco Nadador, especializado en informática forense, apasionado de la seguridad informática, el hacking y en test de penetración. Francisco se tituló en la Universidad de Alcalá de Henares y ahora dirige Complumatica, dedicada a impartir clases sobre temas de seguridad y ofrece servicios relacionados con este tema para empresas.

Realizó un Máster (Universidad Oberta de Catalunya) sobre seguridad informática especializándose en dos temas, Análisis Forense y Seguridad en Redes. Por ello recibió Matrícula de Honor y más tarde ingresó como miembro en la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos. Y como nos explicará, le dieron la Medalla de Cruz al Mérito Investigador con Distintivo Blanco por su trayectoria profesional e investigación. Premio que también ganaron Chema Alonso, Angelucho, Josep Albors (CEO de ESET España), etc.

Linux Adictos: Por favor, explica a nuestros lectores qué es el análisis forense.

Francisco Nadador: Para mí es una ciencia que trata de dar respuestas a lo sucedido tras un incidente de seguridad informática es un escenario digital, respuestas del tipo ¿Qué ha sucedido?¿Cuando sucedió?¿Cómo sucedió? Y ¿Qué o Quien lo provocó?.

LxA: Desde tu posición y experiencia ¿Se producen ciberdelitos tan importantes y con tanta
frecuencia en España como en otros países?

F.N.: Bueno según informes publicados por la UE y que son de dominio público, España se encuentra a la cola de países innovadores, junto con el resto de países de la zona sur, son estudios que ofrecen comparativas de los rendimientos de investigación e innovación de los países que forman parte de la UE. Probablemente esto provoca que aquí el número de incidentes de seguridad sea importante y su tipología diversa.
Las compañías corren riesgos diariamente, pero al contrario de lo que pueda parecer, esto es, de que puedan venir derivados de su exposición a la red, son riesgos que suelen estar provocados por el eslabón más débil de la cadena, el usuario. Cada vez la dependencia de los dispositivos así como el número de estos que se manejan es mayor, lo que provoca un buena grieta de seguridad, un estudio que leí hace poco decía que más del 50% de los incidentes de seguridad estaban provocados por personas, trabajadores, extrabajadores, etc., costando muchos miles de euros a las compañías, en mi opinión sólo hay una solución para este problema, formación y concienciación y a mayores certificación en ISO27001.
En cuanto a los Ciberdelitos, aplicaciones como WhatsApp, ramsonware (últimamente llamado criptolocker), como no, la moneda virtual bitcoin, vulnerabilidades de diverso tipo sin parchear convenientemente, pago fraudulento en internet, el uso “incontrolado” de las redes sociales, etc., son los que han ocupado las primeras posiciones en los rankings de delitos telemáticos.
La respuesta es “SI”, en España se producen ciberdelitos tan importantes como en el resto de estados miembro de la UE, pero de manera más frecuente.

LxA: Has recibido una Matrícula de Honor por tu proyecto final del Master que hiciste. Además,
conseguiste un premio… Por favor, cuéntanos toda la historia.

F.N: Bueno no soy muy amigo de premios ni reconocimientos la verdad, mi lema es esfuerzo, trabajo, dedicación e insistencia, ser muy persistente para lograr los objetivos que te planteas.
Hice el Master porque es un tema que me apasiona, lo terminé con éxito y desde entonces hasta ahora me dedico profesionalmente a ello. Me encanta la investigación forense informática, me gusta buscar y encontrar evidencias y procuro hacerlo desde la más aplastante de las éticas. El premio, nada importante, simplemente alguien pensó que mi trabajo Fin de Master lo merecía, ya está, no le doy mayor importancia. Hoy en día estoy mucho más orgulloso de un curso que he desarrollado para su realización online sobre análisis forense informático y que ya va por su segunda edición.

LxA: ¿Qué distribuciones GNU/Linux usas en tu día a día? Me imagino que Kali Linux, DEFT,
Backtrack y ¿Santoku? ¿Parrot OS?

F.N: Bueno has nombrado algunas sí. Para Pentesting Kali y Backtrack, Santoku para análisis Forense en Móvil y Deft ó Helix, para análisis forense en PC (entre otras), aunque son frameworks, todos ellos que tienen herramientas para realizar otras tareas relacionadas con el pentesting y el análisis forense informático, pero hay otras herramientas que me gustan y tienen versión Linux como autopsy, volatility, herramientas como Foremost, testdisk, Photorec, en la parte de comunicaciones, wireshark, para recopilar información nessus, nmap, para explotar de forma automatizada metasploit y el mismísimo Ubuntu live cd, que permite arrancar una máquina para luego, por ejemplo, buscar malware, recuperar ficheros, etc.

LxA: ¿Qué herramientas de código abierto son tus preferidas?

F.N: Bueno creo que me adelanté en la respuesta a esta pregunta, pero ahondaré algo más. Para desarrollar mi trabajo utilizo fundamentalmente herramientas de código abierto, son útiles y te permiten realizar las mismas cosas que las que son de pago por licencia de uso, luego, en mi opinión, se puede desempeñar el trabajo perfectamente con estas herramientas.
Aquí los frameworks de Linux se llevan el premio gordo, quiero decir, son maravillosas. Linux es la mejor plataforma para el despliegue de herramientas de análisis forense, existen más herramientas para este sistema operativo que para cualquier otro y todas ellas, bueno mejor dicho, la inmensa mayoría son gratuitas, bueno gratuitas y Open Source, lo que permite adaptarlas.
Por otro lado se pueden analizar otros sistemas operativos sin problema alguno desde Linux.El único inconveniente, quizás sea que es un poco más complejo en su uso y mantenimiento, y además, al no ser comerciales, no tienen un soporte continuo. Mis preferidas, las dije antes, Deft, Autopsy, Volatility, y algunas más.

LxA: Nos podrías hablar un poco de The Sleuth Kit… ¿Qué es? ¿Usos?

F.N: Bueno ya he hablado en cierto modo de estas herramientas en los puntos anteriores. Se trata de un entorno para realizar análisis informático forense, su imagen, “el perrito sabueso”, bueno en la última versión el perrito tiene cara de tener peor genio la verdad .
El eslabón más importante de este grupo de herramientas, autopsy.
Son herramientas de volumen de sistemas que permiten el examen de imágenes forenses informáticas de plataformas de diverso tipo de una manera “NO INTRUSIVA”, y esto es lo más importante dado su significado en la forensia.
Tiene la posibilidad de usarse en modo línea de comandos, luego cada herramienta se ejecuta en un entorno de terminal por separado o también, de una manera mucho más “amigable” se puede utilizar el entorno gráfico lo que permite llevar una investigación de una manera sencilla.

LxA: ¿Puedes hacer lo mismo con la distro LiveCD denominada HELIX?

F.N:Bueno se trata de otro de los frameworks para el análisis informático forense, también multientorno, es decir, analiza imágenes forense de sistemas Linux, Windows y Mac, así como imágenes de RAM y otros dispositivos.
Quizás sus herramientas más potentes sean Adepto para clonación de dispositivos (discos fundamentalmente), Aff, herramienta para el análisis forense relacionado con los metadatos y cómo no!, autopsy. Además de estas tiene muchas más herramientas.
La pega, su versión profesional es de pago, aunque tiene también una versión libre.

LxA: TCT (The Coroner’s Toolkit) es un proyecto que fue sustituido por The Sleuth Kit. ¿Por qué se
continúa utilizando entonces?

F.N:TCT fue el primero de los kits de herramientas para el análisis forense, herramientas como grave-robber, lazarus o findkey lo destacaron y para el análisis de sistemas antiguos es más eficiente que su predecesor, un poco lo mismo que sucede con backtrack y kali, yo sigo usando las dos, por ejemplo.

LxA: Guidance Software ha creado EnCase, de pago y cerrada. Además no se encuentra para otrossistemas operativos no-Windows. ¿Ciertamente compensa este tipo de software teniendo alternativas gratuitas? Creo que prácticamente todas las necesidades están cubiertas con proyectos libres y gratuitos ¿o me equivoco?

F.N: Creo que esto ya lo he contestado, en mi modesta opinión NO, no compensa y SI, todas las necesidades para realizar análisis informático forense están cubiertas con proyectos libres y gratuitos.

LxA: En referencia a la pregunta anterior, veo que EnCase es para Windows y también otras
herramientas como FTK, Xways, para análisis forense, pero también otras muchas herramientas para penetración y seguridad. ¿Por qué usar Windows para estos temas?

F.N: No sabría responder a esa pregunta con certeza, yo utilizo, como mínimo, en un 75% de las pruebas que realizo herramientas desarrolladas para plataformas Linux, aunque reconozco que cada vez hay más herramientas desarrolladas para estos fines en plataformas Windows, y reconozco también que las pongo en prueba y en algunas ocasiones también la uso, eso sí, siempre y cuando pertenezca a proyectos libres de uso.

LxA: Esta pregunta quizás sea algo exótica, por llamarla de algún modo. Pero ¿Crees que para presentar pruebas en los juicios solo deberían valer las pruebas arrojadas por software de código abierto y no del cerrado? Me explico, podría ser muy mal pensado y llegar a creer que han podido crear un software privativo que aporte datos erroneos en algún sentido para exculpar a alguien o a ciertos grupos y no habría manera de revisar el código fuente para ver qué hace o qué no hace ese software. Es un poco retorcido, pero te lo planteo para que des tu opinión, tranquilices o, por el contrario, te unas a esta opinión…

F.N: No, no soy de esa opinión, yo utilizo herramientas mayormente de software libre y en muchos casos abierto, pero no creo que nadie desarrolle herramientas que aporten datos erróneos con el fin de exculpar a nadie, aunque es cierto que últimamente han aparecido algunos programas que de manera premeditada ofrecían datos erróneos, ha sido en otro sector y creo que es la excepción que confirma la regla, de verdad, no lo creo, los desarrollos, en mi opinión, se hacen de manera profesional y, al menos en este caso, se basan exclusivamente en ciencia, evidencias tratadas desde el punto de vista de la ciencia, simplemente, esa es mi opinión y mi creencia.

LxA: Hace unos días, Linus Torvalds alegaba que la seguridad total no es posible y que los desarrolladores no deberían obsesionarse en este sentido y dar prioridad a otras características (fiabilidad, rendimiento,…). Washintong Post recogía estas palabras y alarmaban ya que Linus Torvalds “es el hombre que tiene el futuro de Internet en sus manos”, debido a la cantidad de servidores y servicios de la red que funcionan gracias al kernel que creó. ¿Qué opinión te merece?

F.N: Estoy absolutamente de acuerdo con él, la seguridad total no existe, si de verdad quieres seguridad total en un servidor, apágale o desconéctalo de la red, entiérrale, pero claro, entonces, ya no es un servidor, las amenazas siempre van a existir, lo que debemos de tapar son las vulnerabilidades, que si son evitables, pero claro, primero se deben de encontrar y a veces se tarda en realizar esta búsqueda o la hacen otros con fines oscuros.
No obstante creo que tecnológicamente estamos es un punto de securización de sistemas muy alto, las cosas han mejorado bastante, ahora toca la concienciación del usuario, como dije en respuestas anteriores, y eso aún está verde.

LxA: Me imagino que cada vez los ciberdelincuentes lo ponen más difícil (TOR, I2P, Freenet, esteganografía, encriptación, Emergency Self-Destruction of LUKS, proxy, limpiado de metadatos, etc). ¿Cómo actuáis en estos casos para aportar pruebas en un juicio? ¿Hay casos en los que no se puede?

F.N: Bueno, si es cierto que cada vez las cosas son más complejas y también que hay casos en los que no he podido actuar, sin ir más lejos con el famoso criptolocker, me han llamado clientes pidiéndome ayuda y no hemos podido hacer mucho al respecto, como es sabido se trata de un ransomware que aprovechando ingeniería social, una vez más el usuario es el eslabón más débil, cifra el contenido de los discos duros y nos está trayendo de cabeza a todos los profesionales de la seguridad informática, unidades científicas de las fuerzas de seguridad, fabricantes de suites de seguridad y analista forenses, que no somos capaces de atajar el problema, aún.
A la primera pregunta, como actuamos para llevar a juicio esos temas, bueno como lo hacemos con todos las evidencias, quiero decir, con ética profesional, herramientas también sofisticadas, conocimiento de la ciencia e intentando encontrar las respuestas a las preguntas que en la primera pregunta, valga la redundancia expuse, no encuentro diferencia, lo que sucede es que en ocasiones no se encuentran dichas respuestas.

LxA: ¿Recomendarías a las empresas a que se pasasen a Linux? ¿Por qué?

F.N: Yo no diría tanto, quiero decir, yo creo que si tengo algo libre de licencia que me proporciona los mismos servicios que algo que cuesta dinero, ¿Por qué gastarlo?, otra cuestión es que no me proporcionase los mismos servicios, pero, es que sí lo hace. Linux es un sistema operativo que nace desde la perspectiva del servicio en la red y ofrece prestaciones similares al resto de plataformas que hay en el mercado, esa es la razón de que muchos lo hayan seleccionado con su plataforma para, por ejemplo ofrecer un servicio web, ftp, etc., yo desde luego lo utilizo y no sólo como para utilizar las distros forenses sino como servidor en mi centro de formación, en el portátil tengo Windows por que la licencia va incorporada con el dispositivo, aun así tiro mucho de virtualizaciones de Linux.
Como respuesta a la pregunta, Linux no cuesta, cada vez hay un mayor número de aplicaciones que corren en esta plataforma y cada vez son más las empresas de desarrollo que realizan productos para Linux. Por otro lado, aunque no está libre de malware, el número de infecciones es menor, esto unido a la flexibilidad que te da la plataforma para amoldarse como un guante a las necesidades, le da, en mi opinión, fortaleza suficiente para para que fuese la primera opción de cualquier compañía y lo más importante de todo, todos pueden auditar lo que hace el software, por no hablar de que la seguridad es uno de sus puntos fuertes.

LxA: En la actualidad hay una especie de guerra informática donde también participan los gobiernos. Hemos visto malware como Stuxnet, Stars, Duqu, etc., creado por gobiernos para fines concretos, igual que firmware infectado (por ejemplo, placas Arduino con su firmware modificado), impresoras láser “espía”, etc. Pero ni siquiera el hardware escapa de esto, también han aparecido chips modificados que, además de las tareas para las que aparentemente han sido diseñados, también incluyen otras funcionalidades ocultas, etc. Incluso hemos visto proyectos algo disparatados como AirHopper (una especie de keylogger por ondas de radio), BitWhisper (ataques por calor para recopilar información de la víctima), malware capaz de propagarse por sonido,… ¿Exagero si digo que ya no son seguros ni los equipos desconectados de cualquier red?

F.N: Como ya he comentado el sistema más seguro es aquel que está apagado y algunos dicen que encerrado en un bunker, hombre si está desconectado creo que es bastante seguro también, pero esa no es la cuestión, quiero decir, en mi opinión la cuestión no es la cantidad de amenazas existentes, cada vez existen más dispositivos que se interconectan, lo que implica mayor número de vulnerabilidades y ataques informáticos de diverso tipo, utilizando, como bien has expresado en la pregunta, distintas grietas y vectores de ataque, pero creo que no debemos de centrar el tema en la desconexión para estar seguro, debemos de centrarlo en la securización de todos los servicios, dispositivos, comunicaciones, etc., como ya he comentado, si bien es cierto que el número de amenazas es grande no es menos cierto que el número de técnicas de securización no es menos grande, nos falta el factor humano, concienciación y formación en seguridad, nada más y nuestros problemas, aun conectados, serán menores.

LxA: Finalizamos con la opinión personal y como experto en seguridad que merecen estos sistemas, además nos podrías aportar datos sobre cuales son más difíciles de securizar y encuentras más agujeros de seguridad:

En cuanto a la pregunta del millón, que sistema es el más seguro, la respuesta se dio antes, ninguno es seguro al 100% conectado a la red.
De Windows no se conoce su código fuente, luego nadie sabe exactamente que hace o como lo hace, salvo desarrolladores claro está. De Linux se conoce el código fuente y, como dije, la seguridad es uno de sus puntos fuertes, en su contra está que es menos amigable y existen muchas distros.De Mac OS, su punto fuerte, su minimalismo que se revierte en productividad, es un sistema ideal para principiantes. Por todas estas razones, en mi opinión el más difícil de securizar es Windows, a pesar de que los últimos estudios nos revelan que es el que menos vulnerabilidades tiene, bueno excepto su navegador. En mi opinión no tiene sentido afirmar que tal o cual sistema operativo es más o menos vulnerable, se deben de tener en cuenta todos los factores por los que se ve afectados, vulnerabilidades, aplicaciones instaladas, usuarios del mismo, etc. Una vez tenido en cuenta todo lo anterior, creo que se deben de fortificar los sistemas con todo tipo de medidas de seguridad, en general y aplicable a cualquier sistema se podría resumir la fortificación del mismo es estos puntos básicos:

  • Actualización: Tener siempre al día este punto en el sistema y todas las aplicaciones que utilicen la red.
  • Las contraseñas deben de ser adecuadas, quiero decir, con un mínimo de 8 caracteres y un diccionario amplio.
  • Seguridad perimetral: Un buen firewall y un IDS no estaría de más.
  • No tener puertos abiertos que no ofrezcan un servicio activo y actualizado.
  • Realizar copias de seguridad en función de las necesidades de cada caso y tenerles en lugares seguros.
  • Si se trabaja con datos sensibles, cifrado de los mismos.
  • Cifrado también de las comunicaciones.
  • Formación y concienciación de los usuarios.

Espero que os haya gustado esta entrevista, seguiremos haciendo más. Agradecemos que dejen sus opiniones y comentarios


2 comentarios

  1.   Raul P dijo

    Me gusto la entrevista.

  2.   SIAC dijo

    Bien, el factor clave. El usuario.

    El sistema es determinista también. En lo esotérico de Windows creo que está la clave. A diferencia de Linux, que lo que requiere es tiempo. Esto no es traducido en un absoluto, pero sí da un punto extra a Linux.

Escribe un comentario