Francisco Nadador nám vypráví o svých zkušenostech ve světě forenzní analýzy

Dnes rozhovorujeme výhradně pro LxA Francisco Nadador, specializující se na počítačovou forenzní techniku, vášnivě zaměřená na počítačovou bezpečnost, hacking a penetrační testování. Francisco vystudoval University of Alcalá de Henares a nyní řídí Kompletní, věnovaný výuce kurzů na bezpečnostní témata a nabízí služby související s tímto tématem pro společnosti.

Vystudoval počítačovou bezpečnost na Open University of Catalonia se specializací na dvě témata, forenzní analýzu a síťovou bezpečnost. Z tohoto důvodu získal čestný titul a později se stal členem Národní asociace počítačových soudních odhadců a odborníků. A jak nám vysvětlí, Dali mu křížovou medaili za vyšetřovací zásluhy s bílým odznakem za svou profesionální kariéru a výzkum. Ocenění také získali Chema Alonso, Angelucho, Josep Albors (generální ředitel společnosti ESET Španělsko) atd.

Linux Adictos: Vysvětlete prosím našim čtenářům, co je to forenzní analýza.

Francis Swimmer: Pro mě je to věda, která se pokouší dát odpovědi na to, co se stalo poté, co se incident zabezpečení počítače stal digitálním scénářem, odpovědi typu Co se stalo? Kdy se to stalo? Jak se to stalo? A co nebo kdo to způsobil?

DxW: Z vaší pozice a zkušeností se tolik děje takových důležitých počítačových zločinů
frekvence ve Španělsku stejně jako v jiných zemích?

FN: Podle zpráv zveřejněných EU, které jsou veřejnou doménou, je Španělsko na dně inovativních zemí, spolu se zbytkem zemí na jihu, jsou to studie, které nabízejí srovnávací výzkum a inovační výkonnost země, které jsou součástí EU. To pravděpodobně způsobí, že počet bezpečnostních incidentů zde bude významný a jejich typologie bude různorodá.
Společnosti riskují každý den, ale na rozdíl od toho, co se může zdát, to znamená, že mohou pocházet z jejich vystavení síti, jsou to rizika, která jsou obvykle způsobena nejslabším článkem v řetězci, uživatelem. Pokaždé, když je závislost zařízení i jejich počet, s nimiž se manipuluje, větší, což způsobuje dobré narušení bezpečnosti, studie, kterou jsem nedávno četl, uvádí, že více než 50% bezpečnostních incidentů bylo způsobeno lidmi, pracovníky, ex - pracovníci atd., které společnosti stojí mnoho tisíc eur, podle mého názoru existuje pouze jedno řešení tohoto problému, školení a povědomí a vyšší certifikace v ISO27001.
Pokud jde o kybernetické zločiny, aplikace jako WhatsApp, ramsonware (v poslední době nazývané kryptolocker), samozřejmě, bitcoiny ve virtuální měně, zranitelnosti různých druhů bez pohodlného záplatování, podvodné platby na internetu, „nekontrolované“ využívání sociálních sítí atd., jsou ti, kteří obsadili první pozice v žebříčku telematických zločinů.
Odpověď zní „ANO“, ve Španělsku se kyberkriminalita vyskytuje stejně důležitě jako ve zbytku členských států EU, ale častěji.

DxW: Za svůj závěrečný projekt Mistra, který jste udělali, jste obdrželi Imatrikulaci cti. Co víc,
dostali jste cenu ... Prosím, řekněte nám celý příběh.

FN: No, nemám moc ráda ocenění nebo uznání, pravdou je, že moje motto je úsilí, práce, odhodlání a naléhání, buďte velmi vytrvalí, abyste dosáhli cílů, které jste si stanovili.
Udělal jsem Mistra, protože je to předmět, který mě nadchl, úspěšně jsem ho dokončil a od té doby jsem se mu věnoval profesionálně. Miluji počítačové forenzní vyšetřování, rád hledám a najdu důkazy a snažím se to dělat z té nejdrsnější etiky. Ocenění, nic důležitého, jen si někdo myslel, že si to moje závěrečná práce zaslouží, to je ono, nepřikládám jí větší význam. Dnes jsem mnohem hrdější na kurz, který jsem vyvinul pro online absolvování počítačové forenzní analýzy a který je nyní ve druhém vydání.

DxW: Jaké distribuce GNU / Linux používáte ve svém každodenním životě? Představuji si Kali Linux, DEFT,
Backtrack a Santoku? Parrot OS?

FN: Jmenovali jste pár ano. Pro Pentesting Kali a Backtrack, Santoku pro forenzní analýzu na mobilních zařízeních a Deft nebo Helix, forenzní analýzu na PC (mimo jiné), i když se jedná o rámce, všechny, které mají nástroje k provádění dalších úkolů souvisejících s pentestováním a počítačovou forenzní analýzou, Existují však i další nástroje, které se mi líbí a mají verzi pro Linux, jako je pitva, volatilita, nástroje jako Foremost, testdisk, Photorec, v komunikační části, dráty, sbírat informace nessus, nmap, využívat metasploit automatizovaným způsobem a Ubuntu live sám cd, který vám umožní spustit stroj a poté například vyhledat malware, obnovit soubory atd.

DxW: Jaké nástroje open source jsou vaše oblíbené?

FN: Myslím, že jsem dostal odpověď na tuto otázku, ale ponořím se do něčeho jiného. K vývoji své práce používám hlavně nástroje s otevřeným zdrojovým kódem, jsou užitečné a umožňují vám dělat stejné věci jako ty, za které se platí licence, pak lze podle mého názoru s těmito nástroji pracovat perfektně.
Zde si linuxové rámce vezmou jackpot, myslím, že jsou úžasné. Linux je nejlepší platforma pro nasazení nástrojů forenzní analýzy, pro tento operační systém existuje více nástrojů než pro jakýkoli jiný a všechny, spíše, drtivá většina je zdarma, dobře zdarma a Open Source, což jim umožňuje být přizpůsobeno.
Na druhou stranu lze z Linuxu bez problémů analyzovat i jiné operační systémy. Jedinou nevýhodou je možná trochu složitější používání a údržba a také, protože nejsou komerční, nemají nepřetržitá podpora. Moje oblíbené, řekl jsem jim dříve, Deft, Autopsy, Volatility a další.

DxW: Můžete nám něco povědět o soupravě Sleuth Kit ... Co je to? Aplikace?

FN: O těchto nástrojích jsem již způsobem v předchozích bodech hovořil. Jedná se o prostředí pro provádění forenzní počítačové analýzy, jeho obrazu, „psa psa“, v nejnovější verzi má pes tvář, že má horší genialitu, pravdu .
Nejdůležitější odkaz v této skupině nástrojů, pitva.
Jedná se o objemové nástroje systémů, které umožňují zkoumání počítačových forenzních obrazů z různých platforem způsobem „NENÁSOBNÝM“ a to je nejdůležitější vzhledem k jeho významu ve forenzní oblasti.
Má možnost použití v režimu příkazového řádku, poté je každý nástroj spuštěn v samostatném prostředí terminálu nebo také mnohem „přívětivějším“ způsobem může být použito grafické prostředí, které umožňuje provádět vyšetřování v jednoduchý způsob.

DxW: Můžete udělat totéž s distribucí LiveCD zvanou HELIX?

FN:Je to další z rámců pro forenzní počítačovou analýzu, také multi-prostředí, to znamená, že analyzuje forenzní obrazy systémů Linux, Windows a Mac, stejně jako obrazy RAM a dalších zařízení.
Snad jeho nejsilnějšími nástroji jsou Adept pro klonování zařízení (hlavně disky), Aff, nástroj pro forenzní analýzu související s metadaty a samozřejmě! Autopsy. Kromě toho má mnohem více nástrojů.
Nevýhodou je jeho profesionální verze placená, i když má také bezplatnou verzi.

DxW: TCT (The Coroner's Toolkit) je projekt, který byl nahrazen The Sleuth Kit.
i nadále používat?

FN:TCT byl první z nástrojů pro forenzní analýzu, zvýraznily jej nástroje jako hrobník, lazarus nebo findkey a pro analýzu starých systémů je efektivnější než jeho předchůdce, trochu stejný jako v případě backtrack a kali, Například stále používám obojí.

DxW: Guidance Software vytvořil EnCase, placené a uzavřené. Také nebyl nalezen pro jiné operační systémy než Windows. Určitě nahradí tento typ softwaru tím, že má bezplatné alternativy? Věřím, že prakticky všechny potřeby jsou pokryty bezplatnými a bezplatnými projekty, nebo se mýlím?

FN: Myslím, že jsem na to již odpověděl, podle mého skromného názoru NE, nekompenzuje to a ANO, všechny potřeby provádět počítačovou forenzní analýzu jsou pokryty bezplatnými a bezplatnými projekty.

DxW: S odkazem na výše uvedenou otázku vidím, že EnCase je pro Windows a také další
nástroje jako FTK, Xways, forenzní analýza, ale také mnoho dalších nástrojů pro penetraci a zabezpečení. Proč používat Windows pro tato témata?

FN: Nevěděl bych, jak na tuto otázku s jistotou odpovědět, používám alespoň 75% testů, které provádím, nástroje vyvinuté pro platformy Linux, i když si uvědomuji, že na těchto platformách je pro tyto účely vyvíjeno stále více nástrojů a Také si uvědomuji, že jsem je podrobil testu a někdy je také používám, ano, pokud to patří k volně použitelným projektům.

DxW: Tato otázka může být něco exotického, abychom to nazvali něčím. Myslíte si však, že k předkládání důkazů ve studiích by měly být platné pouze důkazy poskytnuté softwarem s otevřeným zdrojovým kódem, a nikoli uzavřené? Dovolte mi vysvětlit, že by to mohlo být velmi špatné myšlení a dospěl jsem k přesvědčení, že dokázali vytvořit proprietární software, který v určitém smyslu poskytuje chybná data k očištění někoho nebo určitých skupin, a neexistoval by způsob, jak zkontrolovat zdrojový kód tento software dělá nebo nedělá. Je to trochu zvrácené, ale navrhuji vám to, abyste mohli vyjádřit svůj názor, uklidnit se nebo se k němu naopak připojit ...

FN: Ne, nejsem toho názoru, používám většinou bezplatné softwarové nástroje a v mnoha případech otevřené, ale nemyslím si, že by někdo vyvíjel nástroje, které poskytují chybná data, aby kohokoli osvobodil, i když je pravda, že se v poslední době objevily některé programy že záměrně nabídli nesprávná data, bylo to v jiném sektoru a myslím si, že je to výjimka, která potvrzuje pravidlo, opravdu, nemyslím si, že vývoj je podle mého názoru prováděn profesionálně a alespoň v tomto případě, jsou založeny výlučně na vědě, důkazy zpracované z hlediska vědy, jednoduše, to je můj názor a moje víra.

DxW: Před několika dny Linus Torvalds tvrdil, že celkové zabezpečení není možné a že vývojáři by v tomto ohledu neměli být posedlí a upřednostňovat jiné funkce (spolehlivost, výkon, ...). Washintong Post zachytil tato slova a byla alarmující, protože Linus Torvalds „je muž, který má ve svých rukou budoucnost internetu“, kvůli množství serverů a síťových služeb, které fungují díky jádru, které vytvořil. Jaký názor si zasloužíte?

FN: Absolutně s ním souhlasím, totální zabezpečení neexistuje, pokud opravdu chcete totální zabezpečení na serveru, vypněte jej nebo jej odpojte od sítě, zakopat ho, ale samozřejmě už to není server, hrozby budou vždy existují, to, co musíme pokrýt, jsou zranitelná místa, kterým se lze vyhnout, ale samozřejmě je nejprve nutné najít a někdy to trvá, než toto hledání provedeme, nebo to ostatní dělají pro nejasné účely.
Věřím však, že technologicky jsme na velmi vysoké úrovni zabezpečení systému, věci se hodně zlepšily, nyní je to povědomí uživatele, jak jsem řekl v předchozích odpovědích, a to je stále zelené.

DxW: Představuji si, že zločinci to pokaždé ztěžují (TOR, I2P, Freenet, steganografie, šifrování, nouzové sebezničení LUKS, proxy, čištění metadat atd.). Jak v těchto případech postupujete, abyste poskytli důkazy v procesu? Existují případy, kdy nemůžete?

FN: Pokud je pravda, že se věci stávají složitějšími a existují i ​​případy, kdy jsem nebyl schopen jednat, aniž bych šel dál se slavným kryptolockerem, klienti mi zavolali s žádostí o pomoc a my jsme nebyli schopni udělejte toho hodně, Jak je známo, jedná se o ransomware, který s využitím sociálního inženýrství představuje opět nejslabší článek uživatele, šifruje obsah pevných disků a vede všechny odborníky na počítačovou bezpečnost, vědecké jednotky zákona vymáhání, výrobci bezpečnostních sad a forenzní analytik, nejsme zatím schopni problém vyřešit.
K první otázce, jak jednáme, abychom tyto problémy postavili před soud, a jak postupujeme se všemi důkazy, myslím, s profesionální etikou, také sofistikovanými nástroji, znalostmi vědy a pokusem najít odpovědi na otázky, které v první otázce, která stojí za nadbytečnost, kterou jsem uvedl, nenajdu rozdíl, co se stane, je, že někdy tyto odpovědi nejsou nalezeny.

DxW: Doporučili byste společnostem přejít na Linux? Proč?

FN: Neřekl bych toho tolik, myslím, myslím si, že když mám něco bez licence, která mi poskytuje stejné služby jako něco, co stojí peníze, proč je utratit? Další otázkou je, že mi neposkytoval stejné služby , ale je, že pokud ano. Linux je operační systém, který se zrodil z pohledu síťové služby a nabízí podobné funkce jako ostatní platformy na trhu, což je důvod, proč si jej mnozí vybrali se svou platformou, aby například nabízeli webovou službu , ftp atd., rozhodně jej používám nejen pro použití forenzních distribucí, ale také jako server v mém tréninkovém centru, mám na svém notebooku Windows, protože licence je integrována do zařízení, i když hodím spoustu virtualizací Linux.
Odpověď na otázku, Linux nestojí, na této platformě běží stále více aplikací a stále více vývojových společností vyrábí produkty pro Linux. Na druhou stranu, i když to není bez malwaru, počet infekcí je nižší, což spolu s flexibilitou, kterou vám platforma umožňuje přizpůsobit se jako rukavice potřebám, dává podle mého názoru dostatek síly k tomu, aby První volba jakékoli společnosti a nejdůležitější ze všeho je, že každý může kontrolovat, co software dělá, nemluvě o tom, že jednou z jejích silných stránek je bezpečnost.

DxW: V současné době probíhá jakýsi druh počítačové války, na které se rovněž podílejí vlády. Viděli jsme malware jako Stuxnet, Stars, Duqu atd., Vytvořený vládami pro specifické účely, stejně jako infikovaný firmware (například desky Arduino s jejich upraveným firmwarem), „špionážní“ laserové tiskárny atd. Tomu však neunikne ani hardware, objevily se také upravené čipy, které kromě úkolů, pro které byly zjevně navrženy, obsahují i ​​další skryté funkce atd. Viděli jsme dokonce poněkud šílené projekty, jako je AirHopper (jakýsi keylogger rádiových vln), BitWhisper (útoky tepla za účelem shromažďování informací od oběti), malware schopný šíření zvukem, ... Přeháněl bych, když říkám, že jsou již nejste v bezpečí nebo jsou počítače odpojeny od jakékoli sítě?

FN: Jak jsem již uvedl, nejbezpečnějším systémem je ten, který je vypnutý a někteří říkají, že je zamčený v bunkru, pokud je odpojený, myslím, že je také docela bezpečný, ale to není otázka, myslím, podle mého názoru otázkou není množství existujících hrozeb, stále více a více zařízení je vzájemně propojeno, což znamená větší počet zranitelností a počítačových útoků různého druhu, využívajících, jak jste v otázce dobře vyjádřili, různé cracky a útočné vektory, ale myslím, že ne. Abychom byli v bezpečí, musíme se zaměřit na odpojení, musíme se zaměřit na zabezpečení všech služeb, zařízení, komunikace atd., jak jsem již zmínil, i když je pravda, že počet hrozeb je velké, není o nic méně pravdivé, že počet bezpečnostních technik není o nic menší, chybí nám lidský faktor, školení o povědomí a bezpečnosti, nic víc a naše problémy, byť spojené, budou menší.

DxW: Skončíme s osobním názorem a jako odborník na zabezpečení, který si tyto systémy zaslouží, nám můžete také poskytnout data, u nichž je obtížnější zabezpečit, a najít další bezpečnostní díry:

Pokud jde o otázku v milionech dolarů, který systém je nejbezpečnější, odpověď byla dána dříve, žádný není 100% zabezpečený připojením k síti.
Windows neznají svůj zdrojový kód, proto nikdo kromě vývojářů samozřejmě neví přesně, co dělá nebo jak to dělá. Zdrojový kód Linuxu je známý a jak jsem řekl, bezpečnost je jednou z jejích silných stránek, proti které je méně přátelský a existuje mnoho distros. Mac OS, jeho silná stránka, jeho minimalismus, který se vrací k produktivitě, je to ideální systém pro začátečníky. Ze všech těchto důvodů je podle mého názoru nejobtížnější zabezpečit Windows, a to navzdory skutečnosti, že nejnovější studie ukazují, že jde o ten s nejmenší zranitelností, kromě vašeho prohlížeče. Podle mého názoru nemá smysl říkat, že ten či onen operační systém je více či méně zranitelný, je třeba vzít v úvahu všechny faktory, kterými je ovlivněn, zranitelnosti, nainstalované aplikace, uživatelé atd. Po zohlednění všech výše uvedených skutečností se domnívám, že by systémy měly být opevněny všemi druhy bezpečnostních opatření, obecně použitelných pro jakýkoli systém, opevnění těchto systémů lze shrnout do těchto základních bodů:

• Aktualizace: Vždy udržujte tento bod v systému a ve všech aplikacích, které používají síť, aktuální.
• Hesla musí být přiměřená, tedy minimálně 8 znaků a velký slovník.
• Perimetrické zabezpečení: Dobrý firewall a IDS by neublížilo.
• Nemáte otevřené porty, které nenabízejí aktivní a aktualizovanou službu.
• Vytvořte záložní kopie podle potřeb jednotlivých případů a uložte je na bezpečných místech.
• Pokud pracujete s citlivými daty, šifrování stejných.
• Šifrování komunikace také.
• Školení a povědomí uživatelů.

Doufám, že se vám tento rozhovor líbil, budeme dělat víc. Vážíme si, že jste opustili svoji názory a komentáře...