Днес интервюираме ексклузивно за LxA Francisco Nadador, специализирана в компютърната криминалистика, запалена по компютърната сигурност, тестовете за проникване и проникване. Франсиско е завършил университета в Алкала де Енарес и сега режисира Комплексно, посветен на преподаване на класове по теми за сигурност и предлага услуги, свързани с тази тема за компании.
Завършил е магистър (Отворен университет в Каталуния) по компютърна сигурност, специализиран в две теми, Съдебен анализ и Мрежова сигурност. Поради тази причина той получава почетна степен и по-късно става член на Националната асоциация на компютърните съдебни оценители и експерти. И както той ще ни обясни, Дадоха му кръстосан медал за разследващи заслуги с бяла значка за професионалната си кариера и научни изследвания. Награда спечелена също от Chema Alonso, Angelucho, Josep Albors (главен изпълнителен директор на ESET Испания) и др.
Linux Adictos: Моля, обяснете на нашите читатели какво представлява криминалистичният анализ.
Франсиско Нададор: За мен това е наука, която се опитва да даде отговори на случилото се, след като инцидентът с компютърна сигурност е цифров сценарий, отговори от типа Какво се е случило? Кога се е случило? Как се е случило? И какво или кой го е причинил?
ДхШ: От вашата позиция и опит, случват ли се толкова важни киберпрестъпления с толкова много
честота в Испания, както и в други страни?
FN: Е, според докладите, публикувани от ЕС и които са публично достояние, Испания е в опашката на иновативните страни, заедно с останалите страни в южната зона, те са изследвания, които предлагат сравнителни изследвания и иновационни резултати на страни, които са част от ЕС. Това вероятно причинява броя на инцидентите със сигурност тук да бъде значителен и тяхната типология разнообразна.
Компаниите рискуват ежедневно, но противно на това, което може да изглежда, тоест, че те могат да произтичат от излагането им на мрежата, те са рискове, които обикновено се причиняват от най-слабото звено във веригата, потребителя. Всеки път, когато зависимостта на устройствата, както и броят на тези, с които се борави, е по-голяма, което причинява добро нарушаване на сигурността, проучване, което прочетох наскоро, казва, че повече от 50% от инцидентите в сигурността са причинени от хора, работници, бивши -работници и др., струващи на компании хиляди евро, според мен има само едно решение за този проблем, обучение и осведоменост и по-голяма сертификация по ISO27001.
Що се отнася до киберпрестъпленията, приложения като WhatsApp, ramsonware (напоследък наричан cryptolocker), разбира се, виртуалната валута биткойн, уязвимости от различен вид без удобно закърпване, измамно плащане в интернет, "неконтролирано" използване на социални мрежи и т.н., са тези, които са заели първите позиции в класацията за телематични престъпления.
Отговорът е „ДА“, в Испания киберпрестъпленията са също толкова важни, колкото и в останалите държави-членки на ЕС, но по-често.
ДхШ: Получихте почетна степен за окончателния си проект на Учителя, който сте направили. Какво още,
получихте награда ... Моля, разкажете ни цялата история.
FN: Е, не обичам много награди или признания, истината е, че моят девиз е усилие, труд, отдаденост и настояване, бъдете много упорити, за да постигнете целите, които сте си поставили.
Направих Учителя, защото това е тема, към която съм запален, завърших го успешно и оттогава до сега съм се посветил на него професионално. Обичам компютърното съдебно разследване, обичам да търся и да намирам доказателства и се опитвам да го правя от най-съкрушителната етика. Наградата, нищо важно, просто някой си помисли, че работата на последния ми магистър го заслужава, това е, не му придавам по-голямо значение. Днес съм много по-горд от курс, който разработих за завършването му онлайн по компютърна криминалистика и който сега е във второто му издание.
ДхШ: Какви дистрибуции на GNU / Linux използвате ежедневно? Представям си Kali Linux, DEFT,
Backtrack и Santoku? Parrot OS?
FN: Е, посочихте няколко да. За Pentesting Kali и Backtrack, Santoku за криминалистичен анализ на Mobile and Deft или Helix, за криминалистичен анализ на компютър (наред с други), въпреки че те са рамки, всички те, които имат инструменти за изпълнение на други задачи, свързани с пентестинг и компютърен съдебен анализ, Но има и други инструменти, които харесвам и имам версия на Linux като аутопсия, изменчивост, инструменти като Foremost, testdisk, Photorec, в комуникационната част, wireshark, за събиране на информация nessus, nmap, за експлоатация на metasploit по автоматизиран начин и Ubuntu cd на живо, което ви позволява да стартирате машина и след това, например, да търсите зловреден софтуер, да възстановявате файлове и т.н.
ДхШ: Какви инструменти с отворен код са вашите любими?
FN: Е, мисля, че изпреварих себе си в отговора на този въпрос, но ще се задълбоча в нещо друго. За да развивам работата си, използвам предимно инструменти с отворен код, те са полезни и ви позволяват да правите същите неща като тези, които се заплащат за лиценз за използване, тогава според мен работата може да бъде изпълнена перфектно с тези инструменти.
Тук рамките на Linux вземат джакпота, искам да кажа, те са прекрасни. Linux е най-добрата платформа за внедряване на инструменти за криминалистичен анализ, има повече инструменти за тази операционна система, отколкото за която и да е друга и всички, а по-скоро по-голямата част са безплатни, безплатни и с отворен код, което им позволява да бъдат адаптиран.
От друга страна, други операционни системи могат да бъдат анализирани без никакъв проблем от Linux.Единственият недостатък, може би, е, че е малко по-сложен в използването и поддръжката си, а също така, тъй като те не са търговски, те нямат непрекъсната поддръжка. Моите любими, казах ги преди, Deft, Autopsy, Volatility и някои други.
ДхШ: Бихте ли ни разказали малко за The Sleuth Kit ... Какво е това? Приложения?
FN: Ами вече говорих по някакъв начин за тези инструменти в предишните точки. Това е среда за извършване на съдебен компютърен анализ, неговия образ, "кучето куче", а в последната версия кучето има лицето на по-лош гений, истината .
Най-важната връзка в тази група инструменти, аутопсия.
Те са обемни инструменти на системи, които позволяват изследване на компютърни криминалистични изображения на различни видове платформи по "НЕИНТРУЗИВЕН" начин и това е най-важното предвид неговото значение в криминалистиката.
Той има възможност да се използва в режим на команден ред, след което всеки инструмент се изпълнява в отделна терминална среда или също, по много по-„приятелски“ начин може да се използва графичната среда, която позволява да се извърши разследване в прост начин.
ДхШ: Можете ли да направите същото с дистрибуцията на LiveCD, наречена HELIX?
FN:Е, това е още една от рамките за съдебен компютърен анализ, също мулти-среда, т.е. анализира криминалистични изображения на Linux, Windows и Mac системи, както и изображения на RAM и други устройства.
Може би най-мощните му инструменти са Adept за клониране на устройства (главно дискове), Aff, инструмент за съдебен анализ, свързан с метаданни и разбира се! Аутопсия. Освен тях има много повече инструменти.
Недостатъкът е, че професионалната му версия е платена, въпреки че има и безплатна версия.
ДхШ: TCT (The Coroner's Toolkit) е проект, заменен от The Sleuth Kit.
да продължите да използвате тогава?
FN:TCT беше първият от инструментариума за криминалистичен анализ, инструменти като грабител на гробове, лазар или findkey го подчертаха и за анализ на стари системи той е по-ефективен от своя предшественик, малко по същия начин, както се случва с backtrack и kali, Все още използвам и двете например.
ДхШ: Guidance Software създаде EnCase, платен и затворен. Не се среща и за други операционни системи, които не са Windows. Този тип софтуер със сигурност ли компенсира наличието на безплатни алтернативи? Вярвам, че практически всички нужди са покрити с безплатни и безплатни проекти, или греша?
FN: Мисля, че вече съм отговорил на това, по мое скромно мнение НЕ, това не компенсира и ДА, всички нужди за извършване на компютърен съдебен анализ са покрити с безплатни и безплатни проекти.
ДхШ: Позовавайки се на горния въпрос, виждам, че EnCase е за Windows, а също и за други
инструменти като FTK, Xways, за съдебен анализ, но също така и много други инструменти за проникване и сигурност. Защо да използвам Windows за тези теми?
FN: Не бих знал как да отговоря със сигурност на този въпрос, използвам поне 75% от тестовете, които провеждам инструменти, разработени за Linux платформи, въпреки че осъзнавам, че има все повече инструменти, разработени за тези цели на платформите на Windows, и Също така осъзнавам, че ги подлагам на тест и понякога също го използвам, да, стига да принадлежи към безплатни за използване проекти.
ДхШ: Този въпрос може да е нещо екзотично, да го нарека нещо. Но смятате ли, че за представяне на доказателства в съдебни процеси трябва да са валидни само доказателствата, предоставени от софтуер с отворен код, а не затвореният? Позволете ми да обясня, може да е много лоша мисъл и да повярвам, че са успели да създадат патентован софтуер, който предоставя грешни данни в някакъв смисъл, за да оневини някого или определени групи и няма да има начин да прегледате изходния код, за да видите какво прави или не прави този софтуер. Малко е изкривено, но ви моля да дадете мнението си, да се успокоите или, напротив, да се присъедините към това мнение ...
FN: Не, не съм на това мнение, използвам предимно безплатни софтуерни инструменти и в много случаи отворени, но не мисля, че някой разработва инструменти, които предоставят грешни данни, за да оневинят някого, въпреки че е вярно, че наскоро се появиха някои програми че умишлено са предлагали грешни данни, това е било в друг сектор и мисля, че изключението потвърждава правилото, наистина, не мисля така, според мен разработките се извършват професионално и поне в този случай, те се базират изключително на науката, доказателства, третирани от гледна точка на науката, просто това е моето мнение и моето убеждение.
ДхШ: Преди няколко дни Линус Торвалдс заяви, че пълната сигурност не е възможна и че разработчиците не трябва да бъдат обсебени в това отношение и да дават приоритет на други функции (надеждност, производителност, ...). Washintong Post подхвана тези думи и те бяха тревожни, защото Линус Торвалдс „е човекът, който има бъдещето на Интернет в ръцете си“, поради количеството сървъри и мрежови услуги, които работят благодарение на създаденото от него ядро. Какво мнение заслужавате?
FN: Абсолютно съм съгласен с него, пълната сигурност не съществува, ако наистина искате пълна сигурност на сървър, изключете го или го изключете от мрежата, погребете го, но разбира се, това вече не е сървър, заплахите ще винаги съществуват, това, което трябва да покрием, са уязвимостите, които могат да бъдат избегнати, но разбира се, първо трябва да бъдат открити и понякога е необходимо време за извършване на това търсене или други да го направят за неясни цели.
Вярвам обаче, че в технологично отношение сме на много висока точка за сигурност на системата, нещата са се подобрили много, сега това е информираността на потребителя, както казах в предишните отговори, и това все още е зелено.
ДхШ: Предполагам, че киберпрестъпниците затрудняват всеки път (TOR, I2P, Freenet, стеганография, криптиране, аварийно самоунищожение на LUKS, прокси, почистване на метаданни и т.н.). Как действате в тези случаи, за да предоставите доказателства в съда? Има ли случаи, в които не можете?
FN: Е, ако е вярно, че нещата стават все по-сложни и има и случаи, в които не съм успял да действам, без да продължа по-нататък с известния криптолокер, клиенти ми се обадиха с молба за помощ и не успяхме направи много по въпроса, Както е известно, това е изкуплен софтуер, който, като се възползва от социалното инженерство, отново е най-слабата връзка, криптира съдържанието на твърдите дискове и води всички професионалисти по компютърна сигурност, научни звена на закона правоприлагане, производители на пакети за сигурност и съдебен анализатор, все още не можем да се справим с проблема.
На първия въпрос, как да действаме, за да подложим тези въпроси на изпитание, и как да постъпим с всички доказателства, искам да кажа, с професионална етика, също така сложни инструменти, познания за науката и опит да намерим отговорите на въпросите, които в първия въпрос, заслужаващ излишъка, който обясних, не намирам разлика, случва се, че понякога тези отговори не се намират.
ДхШ: Бихте ли препоръчали на компаниите да преминат към Linux? Защо?
FN: Не бих казал толкова много, искам да кажа, мисля, че ако имам нещо без лиценз, което ми предоставя същите услуги като нещо, което струва пари, защо да ги харча? Друг въпрос е, че не ми предоставя същото услуги, но дали това е така. Linux е операционна система, която е родена от гледна точка на мрежовата услуга и предлага подобни функции на останалите платформи на пазара, поради което мнозина са я избрали със своята платформа, за да предлагат например уеб услуга , ftp и т.н., със сигурност го използвам и не само за да използвам съдебни дистрибуции, но и като сървър в моя учебен център, имам Windows на лаптопа си, тъй като лицензът е вграден в устройството, въпреки че хвърлям много виртуализации Linux.
В отговор на въпроса Linux не струва, има все по-голям брой приложения, които работят на тази платформа и все повече компании за разработки правят продукти за Linux. От друга страна, въпреки че не е без зловреден софтуер, броят на инфекциите е по-малък, това заедно с гъвкавостта, която платформата ви дава да се адаптирате като ръкавица към нуждите, дава, според мен, достатъчно сила, за да бъде Първият избор на всяка компания и най-важното от всичко, всеки може да провери какво прави софтуерът, да не говорим, че сигурността е една от силните му страни.
ДхШ: В момента има един вид компютърна война, в която участват и правителства. Виждали сме злонамерен софтуер като Stuxnet, Stars, Duqu и др., Създаден от правителства за специфични цели, както и заразени фърмуери (например дъски Arduino с модифицирания им фърмуер), „шпионски“ лазерни принтери и т.н. Но дори хардуерът не избягва от това, появиха се и модифицирани чипове, които освен задачите, за които очевидно са проектирани, включват и други скрити функционалности и т.н. Дори сме виждали донякъде луди проекти като AirHopper (един вид радиовълнови кейлоггер), BitWhisper (топлинни атаки за събиране на информация от жертвата), злонамерен софтуер, способен да се разпространява чрез звук ... Преувеличавам ли, ако кажа, че те са вече не е безопасно или компютрите са изключени от която и да е мрежа?
FN: Както вече коментирах, най-безопасната система е тази, която е изключена и някои казват, че е заключена в бункер, човече, ако е изключена, мисля, че е и доста безопасна, но това не е въпросът, искам да кажа, според мен въпросът не е в количеството на съществуващите заплахи, има все повече устройства, които са взаимосвързани, което предполага по-голям брой уязвимости и компютърни атаки от различен вид, използвайки, както добре изразихте във въпроса, различни пукнатини и атакуващи вектори, но мисля, че не. Трябва да фокусираме въпроса върху прекъсването на връзката, за да бъдем в безопасност, трябва да се съсредоточим върху защитата на всички услуги, устройства, комуникации и т.н., както вече споменах, въпреки че е вярно, че броят на заплахите е голямо, не по-малко вярно е, че броят на техниките за сигурност е не по-малко голям, липсва ни човешкият фактор, обучението за осъзнаване и сигурност, нищо повече и проблемите ни, дори свързани, ще бъдат по-малко.
ДхШ: Завършваме с личното мнение и като експерт по сигурността, който тези системи заслужават, можете също така да ни предоставите данни, които са по-трудни за осигуряване и да открием повече дупки в сигурността:
Що се отнася до въпроса за милиона долара, коя система е най-безопасната, отговорът беше даден преди, никой не е 100% защитен, свързан към мрежата.
Windows не знае своя изходен код, следователно никой не знае какво точно прави или как го прави, освен разработчиците, разбира се. Изходният код на Linux е известен и, както казах, сигурността е една от силните му страни, срещу това е, че той е по-малко приятелски настроен и има много дистрибуции. На Mac OS неговата силна страна, неговият минимализъм, който се връща към производителност това е идеална система за начинаещи. Поради всички тези причини, според мен най-труден за защита е Windows, въпреки факта, че най-новите проучвания разкриват, че той е този с най-малко уязвимости, освен браузъра ви. Според мен няма смисъл да се казва, че тази или онази операционна система е повече или по-малко уязвима, трябва да се вземат предвид всички фактори, от които тя е засегната, уязвимости, инсталирани приложения, потребители на нея и т.н. След като всичко гореизложено е взето под внимание, аз вярвам, че системите трябва да бъдат укрепени с всички видове мерки за сигурност, като цяло и приложими за всяка система, укрепването на същите може да бъде обобщено е следните основни моменти:
- Актуализация: Винаги актуализирайте тази точка в системата и всички приложения, които използват мрежата.
- Паролите трябва да са подходящи, искам да кажа, с минимум 8 знака и голям речник.
- Периметрова сигурност: добрата защитна стена и IDS няма да навредят.
- Липса на отворени портове, които не предлагат активна и актуализирана услуга.
- Направете резервни копия според нуждите на всеки отделен случай и ги съхранявайте на безопасни места.
- Ако работите с чувствителни данни, криптиране на същите.
- Шифроване на комуникациите също.
- Обучение и осведоменост на потребителите.
Надявам се това интервю да ви е харесало, ще продължим да правим повече. Оценяваме, че оставихте своя мнения и коментари...
Хареса ми интервюто.
Е, ключовият фактор. Потребителя.
Системата също е детерминирана. В езотериката на Windows вярвам, че това е ключът. За разлика от Linux, който изисква време. Това изобщо не е преведено, но дава бонус на Linux.
Интересно всичко повдигнато. Бих искал да знам малко повече за Helix и неговата полезност