Francisco Nedador ens explica la seva experiència en el món de l'anàlisi forense

Avui vam entrevistar en exclusiva per LxA a Francisco Nedador, Especialitzat en informàtica forense, apassionat de la seguretat informàtica, el hacking i en test de penetració. Francesc es va titular a la Universitat d'Alcalá d'Henares i ara dirigeix Complumàtica, Dedicada a impartir classes sobre temes de seguretat i ofereix serveis relacionats amb aquest tema per a empreses.

Va realitzar un Màster (Universitat Oberta de Catalunya) sobre seguretat informàtica especialitzant-se en dos temes, Anàlisi Forense i Seguretat en Xarxes. Per això va rebre Matrícula d'Honor i més tard va ingressar com a membre en l'Associació Nacional de Taxadors i Perits Judicials Informàtics. I com ens explicarà, li van donar la Medalla d'Creu a l'Mèrit Investigador amb Distintiu Blanc per la seva trajectòria professional i investigació. Premi que també van guanyar Chema Alonso, Angelucho, Josep Albors (CEO d'ESET Espanya), etc.

Linux Adictos: Si us plau, explica als nostres lectors què és l'anàlisi forense.

Francisco Nedador: Per a mi és una ciència que tracta de donar respostes al que ha passat després d'un incident de seguretat informàtica és un escenari digital, respostes de l'tipus Què ha passat? ¿Quan va succeir? Com ​​va succeir? I Què o qui el va provocar ?.

LxA: Des del teu posició i experiència ¿Es produeixen ciberdelictes tan importants i amb tanta
freqüència a Espanya com en altres països?

FN: Bé segons informes publicats per la UE i que són de domini públic, Espanya es troba a la cua de països innovadors, juntament amb la resta de països de la zona sud, són estudis que ofereixen comparatives dels rendiments de recerca i innovació dels països que formen part de la UE. Probablement això provoca que aquí el nombre d'incidents de seguretat sigui important i la seva tipologia diversa.
Les companyies corren riscos diàriament, però a l'contrari del que pugui semblar, és a dir, que puguin venir derivats de la seva exposició a la xarxa, són riscos que solen estar provocats per la baula més feble de la cadena, l'usuari. Cada vegada la dependència dels dispositius així com el nombre d'aquests que es manegen és més gran, el que provoca un bona esquerda de seguretat, un estudi que vaig llegir fa poc deia que més de el 50% dels incidents de seguretat estaven provocats per persones, treballadors, extreballadors, etc., costant molts milers d'euros a les companyies, al meu entendre només hi ha una solució per a aquest problema, formació i conscienciació ja grans certificació en ISO27001.
Quant als ciberdelictes, aplicacions com WhatsApp, ramsonware (últimament anomenat criptolocker), com no, la moneda virtual bitcoin, vulnerabilitats de divers tipus sense posar pegats convenientment, pagament fraudulent a internet, l'ús "incontrolat" de les xarxes socials, etc. , són els que han ocupat les primeres posicions en els rànquings de delictes telemàtics.
La resposta és "SI", a Espanya es produeixen ciberdelictes tan importants com a la resta d'estats membre de la UE, però de manera més freqüent.

LxA: Has rebut una Matrícula d'Honor pel teu projecte final de l'Màster que vas fer. A més,
vas aconseguir un premi ... Si us plau, explica'ns tota la història.

FN: Bé no sóc molt amic de premis ni reconeixements la veritat, el meu lema és esforç, treball, dedicació i insistència, ser molt persistent per aconseguir els objectius que et planteges.
Vaig fer el Màster perquè és un tema que m'apassiona, el vaig acabar amb èxit i des de llavors fins ara em dedico professionalment a això. M'encanta la investigació forense informàtica, m'agrada buscar i trobar evidències i procuro fer-ho des de la més aclaparadora de les ètiques. El premi, res important, simplement algú va pensar que el meu treball Fi de Màster ho mereixia, ja està, no li dono més importància. Avui dia estic molt més orgullós d'un curs que he desenvolupat per a la seva realització en línia sobre anàlisi forense informàtic i que ja va per la seva segona edició.

LxA: Què distribucions GNU / Linux utilitzes en el teu dia a dia? M'imagino que Kali Linux, DEFT,
Backtrack i ¿Santoku? ¿Parrot OS?

FN: Bé has nomenat algunes si. Per Pentesting Kali i Backtrack, Santoku per a anàlisi forense en Mòbil i Deft o Helix, per anàlisi forense en PC (entre altres), tot i que són frameworks, tots ells que tenen eines per realitzar altres tasques relacionades amb el pentesting i l'anàlisi forense informàtic, però hi ha altres eines que m'agraden i tenen versió Linux com autopsy, volatility, eines com Foremost, TestDisk, Photorec, a la part de comunicacions, wireshark, per recopilar informació nessus, nmap, per explotar de forma automatitzada Metasploit i el mateix Ubuntu live cd, que permet arrencar una màquina per a després, per exemple, buscar malware, recuperar fitxers, etc.

LxA: Quines eines de codi obert són els teus preferides?

FN: Bé crec que em vaig avançar en la resposta a aquesta pregunta, però aprofundiré una mica més. Per desenvolupar el meu treball utilitzo fonamentalment eines de codi obert, són útils i et permeten realitzar les mateixes coses que les que són de pagament per llicència d'ús, després, al meu entendre, es pot exercir la feina perfectament amb aquestes eines.
Aquí els frameworks de Linux es porten el premi gros, vull dir, són meravelloses. Linux és la millor plataforma per al desplegament d'eines d'anàlisi forense, hi ha més eines per a aquest sistema operatiu que per a qualsevol altre i totes elles, bé millor dit, la immensa majoria són gratuïtes, bo gratuïtes i Open Source, el que permet adaptar-les.
D'altra banda es poden analitzar altres sistemes operatius sense cap problema des Linux.El únic inconvenient, potser és que és una mica més complex en el seu ús i manteniment, ia més, al no ser comercials, no tenen un suport continu. Els meus preferides, les he dit abans, Deft, Autopsy, volatility, i algunes més.

LxA: Ens podries parlar una mica de The Sleuth Kit ... Què és? ¿Usos?

FN: Bé ja he parlat en certa manera d'aquestes eines en els punts anteriors. Es tracta d'un entorn per a realitzar anàlisi informàtica forense, la seva imatge, "el gosset gos", bé en l'última versió el gosset té cara de tenir pitjor geni la veritat .
La baula més important d'aquest grup d'eines, autopsy.
Són eines de volum de sistemes que permeten l'examen d'imatges forenses informàtiques de plataformes de divers tipus d'una manera "no intrusiva", i això és el més important donat el seu significat en la forensia.
Té la possibilitat d'usar-se en mode línia de comandes, després cada eina s'executa en un entorn de terminal per separat o també, d'una manera molt més "amigable" es pot utilitzar l'entorn gràfic el que permet portar una investigació d'una manera senzilla .

LxA: Pots fer el mateix amb la distro CD autònom anomenada HELIX?

FN:Bé es tracta d'un altre dels frameworks per a l'anàlisi informàtic forense, també multientorn, és a dir, analitza imatges forense de sistemes Linux, Windows i Mac, així com imatges de RAM i altres dispositius.
Potser les seves eines més potents siguin Adepte per clonació de dispositius (discos fonamentalment), Aff, eina per a l'anàlisi forense relacionat amb les metadades i com no !, autopsy. A més d'aquestes té moltes més eines.
La pega, la seva versió professional és de pagament, tot i que té també una versió lliure.

LxA: TCT (The Coroner s Toolkit) és un projecte que va ser substituït per The Sleuth Kit. Per què es
continua utilitzant llavors?

FN:TCT va ser el primer dels kits d'eines per a l'anàlisi forense, eines com a greu-robber, lazarus o findkey ho van destacar i per a l'anàlisi de sistemes antics és més eficient que el seu predecessor, una mica el mateix que passa amb BackTrack i kali, jo segueixo fent servir les dues, per exemple.

LxA: Guidance Software ha creat EnCase, de pagament i tancada. A més no es troba per otrossistemas operatius no-Windows. ¿Certament compensa aquest tipus de programari tenint alternatives gratuïtes? Crec que pràcticament totes les necessitats estan cobertes amb projectes lliures i gratuïts o m'equivoco?

FN: Crec que això ja ho he contestat, en la meva modesta opinió NO, no compensa i SI, totes les necessitats per a realitzar anàlisi informàtica forense estan cobertes amb projectes lliures i gratuïts.

LxA: En referència a la pregunta anterior, veig que EnCase és per a Windows i també altres
eines com FTK, Xways, per anàlisi forense, però també moltes altres eines per penetració i seguretat. Per què utilitzar Windows per aquests temes?

FN: No sabria respondre a aquesta pregunta amb certesa, jo faig servir, com a mínim, en un 75% de les proves que realitzo eines desenvolupades per a plataformes Linux, encara que reconec que cada vegada hi ha més eines desenvolupades per a aquests fins en plataformes Windows, i reconec també que les poso en prova i en algunes ocasions també la ús, això sí, sempre que pertanyi a projectes lliures d'ús.

LxA: Aquesta pregunta potser sigui alguna cosa exòtica, per dir-ne d'alguna manera. Però Creus que per presentar proves en els judicis només haurien de valer les proves llançades per programari de codi obert i no de l'tancat? M'explico, podria ser molt mal pensat i arribar a creure que han pogut crear un programari privatiu que aporti dades erroneos en algun sentit per exculpar a algú oa certs grups i no hi hauria manera de revisar el codi font per veure què fa o què no fa aquest programari. És una mica retorçat, però t'ho plantejo perquè donis la teva opinió, tranquilices o, per contra, et unes a aquesta opinió ...

FN: No, no sóc d'aquesta opinió, jo faig servir eines majorment de programari lliure i en molts casos obert, però no crec que ningú desenvolupi eines que aportin dades errònies per tal d'exculpar ningú, tot i que és cert que darrerament han aparegut alguns programes que de manera premeditada oferien dades errònies, ha estat en un altre sector i crec que és l'excepció que confirma la regla, de veritat, no ho crec, els desenvolupaments, al meu entendre, es fan de manera professional i, al menys en aquest cas, es basen exclusivament en ciència, evidències tractades des del punt de vista de la ciència, simplement, aquesta és la meva opinió i la meva creença.

LxA: Fa uns dies, Linus Torvalds al·legava que la seguretat total no és possible i que els desenvolupadors no s'haurien d'obsessionar en aquest sentit i donar prioritat a altres característiques (fiabilitat, rendiment, ...). Washintong Post recollia aquestes paraules i alarmaven ja que Linus Torvalds «és l'home que té el futur d'Internet a les seves mans», a causa de la quantitat de servidors i serveis de la xarxa que funcionen gràcies a el nucli que va crear. Quina opinió et mereix?

FN: Estic absolutament d'acord amb ell, la seguretat total no existeix, si de debò vols seguretat total en un servidor, apágale o desconnecta'l de la xarxa, entiérrale, però clar, llavors, ja no és un servidor, les amenaces sempre existiran, el que hem de tapar són les vulnerabilitats, que si són evitables, però clar, primer s'han de trobar i de vegades es triga a realitzar aquesta cerca o la fan altres amb fins foscos.
No obstant això crec que tecnològicament estem és un punt de securització de sistemes molt alt, les coses han millorat bastant, ara toca la conscienciació de l'usuari, com vaig dir en respostes anteriors, i això encara està verd.

LxA: M'imagino que cada vegada els ciberdelinqüents ho posen més difícil (TOR, I2P, Freenet, esteganografia, encriptació, Emergency Self-Destruction of LUKS, proxy, netejat de metadades, etc.). Com actueu en aquests casos per aportar proves en un judici? Hi ha casos en què no es pot?

FN: Bé, si és cert que cada vegada les coses són més complexes i també que hi ha casos en què no he pogut actuar, sense anar més lluny amb el famós criptolocker, m'han cridat clients demanant-me ajuda i no hem pogut fer molt a l'respecte, com és sabut es tracta d'un ransomware que aprofitant enginyeria social, un cop més l'usuari és la baula més feble, xifra el contingut dels discos durs i ens està portant de cap a tots els professionals de la seguretat informàtica, unitats científiques de les forces de seguretat, fabricants de suites de seguretat i analista forenses, que no som capaços de resoldre el problema, encara.
A la primera pregunta, com actuem per portar a judici aquests temes, bo com ho fem amb tots les evidències, vull dir, amb ètica professional, eines també sofisticades, coneixement de la ciència i intentant trobar les respostes a les preguntes que a la primera pregunta, valgui la redundància vaig exposar, no trobo diferència, el que passa és que a vegades no es troben aquestes respostes.

LxA: Recomanaries a les empreses a què es passessin a Linux? Per què?

FN: Jo no diria tant, vull dir, jo crec que si tinc alguna cosa lliure de llicència que em proporciona els mateixos serveis que una cosa que costa diners, per què gastar ?, una altra qüestió és que no em proporcionés els mateixos serveis, però, és que sí que ho fa. Linux és un sistema operatiu que neix des de la perspectiva de l'servei a la xarxa i ofereix prestacions similars a la resta de plataformes que hi ha al mercat, aquesta és la raó que molts ho hagin seleccionat amb la seva plataforma per a, per exemple oferir un servei web , ftp, etc., jo per descomptat l'utilitzo i no només com per utilitzar les distros forenses sinó com a servidor en el meu centre de formació, en el portàtil tinc Windows per que la llicència va incorporada amb el dispositiu, així i tir molt de virtualitzacions de Linux.
Com a resposta a la pregunta, Linux no costa, cada vegada hi ha un major nombre d'aplicacions que corren en aquesta plataforma i cada vegada són més les empreses de desenvolupament que realitzen productes per a Linux. D'altra banda, encara que no està lliure de malware, el nombre d'infeccions és menor, això unit a la flexibilitat que et dóna la plataforma per adaptar-com un guant a les necessitats, li dóna, al meu entendre, fortalesa suficient per perquè fos la primera opció de qualsevol companyia i el més important de tot, tots poden auditar el que fa el programari, per no parlar de que la seguretat és un dels seus punts forts.

LxA: En l'actualitat hi ha una mena de guerra informàtica on també participen els governs. Hem vist malware com Stuxnet, Stars, Duqu, etc., creat per governs per a fins concrets, igual que firmware infectat (per exemple, plaques Arduino amb el seu firmware modificat), impressores làser «espia», etc. Però ni tan sols el maquinari escapa d'això, també han aparegut xips modificats que, a més de les tasques per a les que aparentment han estat dissenyats, també inclouen altres funcionalitats ocultes, etc. Fins i tot hem vist projectes mica absurds com AirHopper (una mena de keylogger per ones de ràdio), BitWhisper (atacs per calor per recopilar informació de la víctima), malware capaç de propagar-se per so, ... ¿Exagero si dic que ja no són segurs ni els equips desconnectats de qualsevol xarxa?

FN: Com ja he comentat el sistema més segur és aquell que està apagat i alguns diuen que tancat en un búnquer, home si és en línia crec que és bastant segur també, però aquesta no és la qüestió, vull dir, al meu entendre la qüestió no és la quantitat d'amenaces existents, cada vegada hi ha més dispositius que s'interconnecten, el que implica major nombre de vulnerabilitats i atacs informàtics de divers tipus, utilitzant, com bé has expressat en la pregunta, diferents esquerdes i vectors d'atac, però crec que no hem de centrar el tema en la desconnexió per estar segur, hem de centrar-lo en la securització de tots els serveis, dispositius, comunicacions, etc., com ja he comentat, si bé és cert que el nombre d'amenaces és gran no és menys cert que el nombre de tècniques de securització no és menys gran, ens falta el factor humà, conscienciació i formació en seguretat, res més i els nostres problemes, tot i connectats, seran menors.

LxA: Vam finalitzar amb l'opinió personal i com a expert en seguretat que mereixen aquests sistemes, a més ens podries aportar dades sobre quals són més difícils de fer segures i trobes més forats de seguretat:

Quant a la pregunta de l'milió, que sistema és el més segur, la resposta es va donar abans, cap és segur a el 100% connectat a la xarxa.
De Windows no es coneix el seu codi font, després ningú sap exactament que fa o com ho fa, llevat desenvolupadors és clar. D'Linux es coneix el codi font i, com vaig dir, la seguretat és un dels seus punts forts, en contra està que és menys amigable i hi ha moltes distros.De Mac OS, el seu punt fort, el seu minimalisme que es reverteix en productivitat, és un sistema ideal per a principiants. Per totes aquestes raons, al meu entendre el més difícil de fer segures és Windows, tot i que els últims estudis ens revelen que és el que menys vulnerabilitats té, bé excepte el seu navegador. En la meva opinió no té sentit afirmar que tal o qual sistema operatiu és més o menys vulnerable, s'han de tenir en compte tots els factors pels quals es veu afectats, vulnerabilitats, aplicacions instal·lades, usuaris de la mateixa, etc. Un cop tingut en compte tot l'anterior, crec que es deuen fortificar els sistemes amb tot tipus de mesures de seguretat, en general i aplicable a qualsevol sistema es podria resumir la fortificació de la mateixa és aquests punts bàsics:

• Actualització: Tenir sempre a el dia aquest punt en el sistema i totes les aplicacions que utilitzin la xarxa.
• Les contrasenyes han de ser adequades, vull dir, amb un mínim de 8 caràcters i un diccionari ampli.
• Seguretat perimetral: Un bon tallafocs i un IDS no estaria de més.
• No tenir ports oberts que no ofereixin un servei actiu i actualitzat.
• Realitzar còpies de seguretat en funció de les necessitats de cada cas i tenir-los en llocs segurs.
• Si es treballa amb dades sensibles, xifrat dels mateixos.
• Xifrat també de les comunicacions.
• Formació i conscienciació dels usuaris.

Espero que us hagi agradat aquesta entrevista, seguirem fent més. Agraïm que deixin els seus opinions i comentaris...