Francisco Nadador erzählt von seinen Erfahrungen in der Welt der forensischen Analyse

heute Wir interviewen exklusiv für LxA Francisco Nadador, spezialisiert auf Computerforensik, leidenschaftlich für Computersicherheit, Hacking und Penetrationstests. Francisco absolvierte die Universität von Alcalá de Henares und leitet jetzt Komplumatisch, widmet sich dem Unterrichten von Kursen zu Sicherheitsthemen und bietet Unternehmen Dienstleistungen zu diesem Thema an.

Er absolvierte einen Master (Open University of Catalonia) in Computersicherheit mit den Schwerpunkten Forensische Analyse und Netzwerksicherheit. Aus diesem Grund erhielt er einen Ehrentitel und wurde später Mitglied der National Association of Computer Judicial Appraisers and Experts. Und wie er uns erklären wird, Sie gaben ihm die Kreuzmedaille für Ermittlungsverdienst mit einem weißen Abzeichen für seine berufliche Laufbahn und Forschung. Der Preis wurde auch von Chema Alonso, Angelucho, Josep Albors (CEO von ESET Spanien) usw. gewonnen.

Linux Adictos: Bitte erklären Sie unseren Lesern, was forensische Analyse ist.

Franz Schwimmer: Für mich ist es eine Wissenschaft, die versucht, Antworten auf das zu geben, was passiert ist, nachdem ein Computersicherheitsvorfall ein digitales Szenario ist. Antworten vom Typ Was ist passiert? Wann ist es passiert? Wie ist es passiert? Und was oder wer hat es verursacht?

LxB: Treten aus Ihrer Position und Erfahrung so wichtige Cyberkriminalität mit so viel auf
Häufigkeit in Spanien wie in anderen Ländern?

FN: Nun, nach Berichten, die von der EU veröffentlicht wurden und öffentlich zugänglich sind, liegt Spanien zusammen mit den übrigen Ländern im südlichen Bereich an der Spitze der innovativen Länder. Dies sind Studien, die vergleichende Forschungs- und Innovationsleistung der EU bieten Länder, die Teil der EU sind. Dies führt wahrscheinlich dazu, dass die Anzahl der Sicherheitsvorfälle hier erheblich ist und ihre Typologie unterschiedlich ist.
Unternehmen gehen täglich Risiken ein, aber im Gegensatz zu dem, was den Anschein hat, dass sie aus dem Kontakt mit dem Netzwerk stammen, handelt es sich um Risiken, die normalerweise durch das schwächste Glied in der Kette, den Benutzer, verursacht werden. Jedes Mal, wenn die Abhängigkeit der Geräte sowie die Anzahl der behandelten Geräte größer ist, was zu einer guten Sicherheitsverletzung führt, wurde in einer kürzlich von mir gelesenen Studie festgestellt, dass mehr als 50% der Sicherheitsvorfälle von Personen, Arbeitnehmern, z -arbeiter usw., die Unternehmen viele tausend Euro kosten, meiner Meinung nach gibt es nur eine Lösung für dieses Problem: Schulung und Sensibilisierung sowie eine bessere Zertifizierung nach ISO27001.
Was Cyberkriminalität betrifft, so sind Anwendungen wie WhatsApp, Ramsonware (in letzter Zeit Cryptolocker genannt), das Bitcoin in virtueller Währung, Schwachstellen verschiedener Art ohne bequemes Patchen, betrügerische Zahlungen im Internet, die "unkontrollierte" Nutzung sozialer Netzwerke usw. sind diejenigen, die die ersten Positionen in der Rangliste der Telematikverbrechen belegt haben.
Die Antwort lautet "JA". In Spanien sind Cyberkriminalität genauso wichtig wie in den übrigen EU-Mitgliedstaaten, jedoch häufiger.

LxB: Sie haben eine Ehren-Immatrikulation für Ihr letztes Projekt des Meisters erhalten, das Sie durchgeführt haben. Was ist mehr,
Du hast eine Auszeichnung bekommen ... Bitte erzähl uns die ganze Geschichte.

FN: Nun, ich mag Auszeichnungen oder Anerkennungen nicht sehr, die Wahrheit ist, mein Motto ist Anstrengung, Arbeit, Engagement und Beharren, sei sehr beharrlich, um die Ziele zu erreichen, die du dir selbst gesetzt hast.
Ich habe den Master gemacht, weil es ein Thema ist, für das ich eine Leidenschaft habe. Ich habe es erfolgreich abgeschlossen und mich von da an bis jetzt professionell dem Thema verschrieben. Ich liebe computerforensische Ermittlungen, ich suche und finde gerne Beweise und ich versuche es aus der überwältigendsten Ethik heraus. Die Auszeichnung, nichts Wichtiges, nur jemand dachte, dass die Arbeit meines Final Masters es verdient hat, das ist es, ich gebe ihr keine größere Bedeutung. Heute bin ich viel stolzer auf einen Kurs, den ich für den Online-Abschluss in Computerforensik entwickelt habe und der jetzt in der zweiten Auflage erscheint.

LxB: Welche GNU / Linux-Distributionen verwenden Sie täglich? Ich stelle mir Kali Linux, DEFT,
Backtrack und Santoku? Papagei OS?

FN: Nun, Sie haben ein paar ja genannt. Für Pentesting Kali und Backtrack, Santoku für Forensic Analysis auf Mobile und Deft oder Helix, für Forensic Analysis auf PC (unter anderem), obwohl es sich um Frameworks handelt, die alle über Tools verfügen, um andere Aufgaben im Zusammenhang mit Pentesting und Computer Forensic Analysis auszuführen. Aber es gibt andere Tools, die mir gefallen und die eine Linux-Version haben, wie Autopsie, Volatilität, Tools wie Foremost, Testdisk, Photorec, im Kommunikationsteil, Wireshark, um Informationen zu sammeln, nmap, um Metasploit auf automatisierte Weise zu nutzen, und Ubuntu Live selbst CD, mit der Sie einen Computer starten und dann beispielsweise nach Malware suchen, Dateien wiederherstellen usw. können.

LxB: Welche Open Source Tools sind Ihre Favoriten?

FN: Nun, ich glaube, ich war der Antwort auf diese Frage voraus, aber ich werde mich mit etwas anderem befassen. Um meine Arbeit zu entwickeln, verwende ich hauptsächlich Open-Source-Tools. Sie sind nützlich und ermöglichen es Ihnen, die gleichen Dinge zu tun, die für die Nutzungslizenz bezahlt werden. Meiner Meinung nach kann die Arbeit mit diesen Tools perfekt ausgeführt werden.
Hier nehmen die Linux-Frameworks den Jackpot, ich meine, sie sind wunderbar. Linux ist die beste Plattform für die Bereitstellung von forensischen Analysetools. Es gibt mehr Tools für dieses Betriebssystem als für jedes andere und alle von ihnen. Vielmehr ist die überwiegende Mehrheit kostenlos, kostenlos und Open Source, was dies ermöglicht angepasst.
Andererseits können andere Betriebssysteme unter Linux problemlos analysiert werden. Der einzige Nachteil besteht möglicherweise darin, dass sie in ihrer Verwendung und Wartung etwas komplexer sind und auch nicht, da sie nicht kommerziell sind kontinuierliche Unterstützung. Meine Favoriten, sagte ich schon, Geschickt, Autopsie, Volatilität und vieles mehr.

LxB: Können Sie uns etwas über das Sleuth Kit erzählen? Was ist das? Bewerbungen?

FN: Nun, ich habe bereits in den vorherigen Punkten in gewisser Weise über diese Tools gesprochen. Es ist eine Umgebung, um forensische Computeranalysen durchzuführen, sein Bild "der Jagdhund", und in der neuesten Version hat der Hund das Gesicht, ein schlechteres Genie zu haben, die Wahrheit .
Das wichtigste Glied in dieser Gruppe von Werkzeugen ist die Autopsie.
Sie sind Volumenwerkzeuge von Systemen, die es ermöglichen, computerforensische Bilder verschiedener Arten von Plattformen auf "NICHT-INTRUSIVE" Weise zu untersuchen, und dies ist angesichts seiner Bedeutung für die Forensik das wichtigste.
Es hat die Möglichkeit, im Befehlszeilenmodus verwendet zu werden, dann wird jedes Tool in einer separaten Terminalumgebung ausgeführt, oder es kann auf eine viel "freundlichere" Weise auch die grafische Umgebung verwendet werden, die es ermöglicht, eine Untersuchung in einem durchzuführen einfacher Weg.

LxB: Können Sie dasselbe mit der LiveCD-Distribution namens HELIX tun?

FN:Nun, es ist ein weiteres Framework für die forensische Computeranalyse, auch für mehrere Umgebungen, dh es analysiert forensische Images von Linux-, Windows- und Mac-Systemen sowie Images von RAM und anderen Geräten.
Die vielleicht leistungsstärksten Tools sind Adept für das Klonen von Geräten (hauptsächlich Festplatten), Aff, ein Tool für die forensische Analyse von Metadaten und natürlich! Autopsie. Neben diesen hat es viele weitere Werkzeuge.
Der Nachteil ist, dass die professionelle Version bezahlt wird, obwohl es auch eine kostenlose Version gibt.

LxB: TCT (The Coroner's Toolkit) ist ein Projekt, das durch The Sleuth Kit ersetzt wurde.
dann weiter benutzen?

FN:TCT war das erste Toolkit für die forensische Analyse, das von Tools wie Grabräuber, Lazarus oder Findkey hervorgehoben wurde. Für die Analyse alter Systeme ist es effizienter als sein Vorgänger, ähnlich wie bei Backtrack und Kali. Ich benutze zum Beispiel immer noch beide.

LxB: Guidance Software hat EnCase erstellt, bezahlt und geschlossen. Auch für andere Nicht-Windows-Betriebssysteme nicht gefunden. Gleicht es diese Art von Software mit kostenlosen Alternativen aus? Ich glaube, dass praktisch alle Bedürfnisse mit freien und freien Projekten abgedeckt sind, oder irre ich mich?

FN: Ich glaube, ich habe dies bereits beantwortet, meiner bescheidenen Meinung nach NEIN, es kompensiert nicht und JA, alle Bedürfnisse zur Durchführung einer computerforensischen Analyse werden mit kostenlosen und kostenlosen Projekten abgedeckt.

LxB: In Bezug auf die obige Frage sehe ich, dass EnCase für Windows und auch für andere ist
Tools wie FTK, Xways für forensische Analysen, aber auch viele andere Tools für Penetration und Sicherheit. Warum Windows für diese Themen verwenden?

FN: Ich würde nicht wissen, wie ich diese Frage mit Sicherheit beantworten soll. Ich verwende sie zumindest in 75% der Tests, die ich für Tools durchführe, die für Linux-Plattformen entwickelt wurden, obwohl ich erkenne, dass unter Windows immer mehr Tools für diese Zwecke entwickelt werden Plattformen, und ich erkenne auch, dass ich sie auf die Probe stelle und manchmal auch benutze, ja, solange es zu frei nutzbaren Projekten gehört.

LxB: Diese Frage kann etwas Exotisches sein, um es etwas zu nennen. Aber denken Sie, dass für die Präsentation von Beweisen in Studien nur die von Open Source-Software bereitgestellten Beweise gültig sein sollten und nicht die geschlossenen? Lassen Sie mich erklären, es könnte sehr schlecht gedacht sein und zu der Annahme kommen, dass sie in der Lage waren, proprietäre Software zu erstellen, die in gewisser Weise fehlerhafte Daten liefert, um jemanden oder bestimmte Gruppen zu entlasten, und es keine Möglichkeit gibt, den Quellcode zu überprüfen, um festzustellen, was passiert Diese Software wird ausgeführt oder nicht. Es ist ein wenig verdreht, aber ich schlage es Ihnen vor, damit Sie Ihre Meinung äußern, sich beruhigen oder sich im Gegenteil dieser Meinung anschließen können ...

FN: Nein, ich bin nicht der Meinung, ich benutze meistens freie Software-Tools und bin in vielen Fällen offen, aber ich glaube nicht, dass jemand Tools entwickelt, die fehlerhafte Daten liefern, um jemanden zu entlasten, obwohl es stimmt, dass kürzlich einige Programme erschienen sind dass sie absichtlich falsche Daten angeboten haben, es war in einem anderen Sektor und ich denke, es ist die Ausnahme, die die Regel bestätigt, wirklich, ich glaube nicht, Entwicklungen werden meiner Meinung nach professionell und zumindest in diesem Fall durchgeführt Sie basieren ausschließlich auf Wissenschaft, Beweise, die aus wissenschaftlicher Sicht behandelt werden. Das ist einfach meine Meinung und mein Glaube.

LxB: Vor einigen Tagen behauptete Linus Torvalds, dass keine vollständige Sicherheit möglich sei und dass Entwickler diesbezüglich nicht besessen sein sollten und anderen Funktionen (Zuverlässigkeit, Leistung, ...) Vorrang einräumen sollten. Washintong Post nahm diese Worte auf und war alarmiert, weil Linus Torvalds "der Mann ist, der die Zukunft des Internets in seinen Händen hat", aufgrund der Menge an Servern und Netzwerkdiensten, die dank des von ihm erstellten Kernels funktionieren. Welche Meinung verdienst du?

FN: Ich stimme ihm absolut zu, totale Sicherheit gibt es nicht, wenn Sie wirklich totale Sicherheit auf einem Server wollen, schalten Sie ihn aus oder trennen Sie ihn vom Netzwerk, begraben Sie ihn, aber dann ist es natürlich kein Server mehr, Bedrohungen werden es tun Es gibt immer die Sicherheitslücken, die vermeidbar sind, aber natürlich müssen sie zuerst gefunden werden, und manchmal dauert es einige Zeit, diese Suche durchzuführen, oder andere tun dies für unklare Zwecke.
Ich glaube jedoch, dass wir uns technologisch an einem sehr hohen System-Sicherheitspunkt befinden, die Dinge haben sich stark verbessert, jetzt ist es das Bewusstsein des Benutzers, wie ich in früheren Antworten sagte, und das ist immer noch grün.

LxB: Ich stelle mir vor, dass Cyberkriminelle es jedes Mal schwieriger machen (TOR, I2P, Freenet, Steganographie, Verschlüsselung, Selbstzerstörung von LUKS im Notfall, Proxy, Bereinigung von Metadaten usw.). Wie verhalten Sie sich in diesen Fällen, um vor Gericht Beweise vorzulegen? Gibt es Fälle, in denen Sie nicht können?

FN: Nun, wenn es stimmt, dass die Dinge immer komplexer werden und es auch Fälle gibt, in denen ich nicht in der Lage war zu handeln, ohne mit dem berühmten Kryptolocker weiterzugehen, haben mich Kunden angerufen und um meine Hilfe gebeten, und wir konnten es nicht Machen Sie viel dagegen. Bekanntlich handelt es sich um eine Ransomware, die unter Ausnutzung des Social Engineering erneut das schwächste Glied ist, den Inhalt der Festplatten verschlüsselt und alle Fachleute für Computersicherheit, wissenschaftliche Einheiten des Gesetzes, anführt Hersteller von Durchsetzungsmaßnahmen, Sicherheitssuiten und forensische Analysten sind noch nicht in der Lage, das Problem anzugehen.
Auf die erste Frage: Wie gehen wir vor, um diese Probleme vor Gericht zu bringen? Wie gehen wir mit all den Beweisen um? Ich meine, mit Berufsethik, auch hoch entwickelten Werkzeugen, wissenschaftlichen Kenntnissen und dem Versuch, Antworten auf die Fragen zu finden, die In der ersten Frage, die die Redundanz wert ist, die ich angegeben habe, finde ich keinen Unterschied. Was passiert, ist, dass diese Antworten manchmal nicht gefunden werden.

LxB: Würden Sie Unternehmen empfehlen, auf Linux umzusteigen? Warum?

FN: Ich würde nicht so viel sagen, ich meine, ich denke, wenn ich etwas frei von einer Lizenz habe, die mir die gleichen Dienstleistungen bietet wie etwas, das Geld kostet, warum sollte ich es ausgeben? Eine andere Frage ist, dass es mir nicht die gleichen bietet Dienstleistungen, aber ist das, wenn es tut. Linux ist ein Betriebssystem, das aus der Sicht des Dienstes im Netzwerk geboren wurde und ähnliche Funktionen wie die anderen Plattformen auf dem Markt bietet. Aus diesem Grund haben viele es mit ihrer Plattform ausgewählt, um beispielsweise a anzubieten Web-Service, FTP usw., ich benutze es auf jeden Fall und nicht nur, um forensische Distributionen zu verwenden, sondern auch als Server in meinem Schulungszentrum. Ich habe Windows auf meinem Laptop, weil die Lizenz in das Gerät integriert ist, obwohl ich viel werfe von Virtualisierungen Linux.
Als Antwort auf die Frage, Linux kostet nichts, es gibt eine zunehmende Anzahl von Anwendungen, die auf dieser Plattform ausgeführt werden, und immer mehr Entwicklungsunternehmen stellen Produkte für Linux her. Auf der anderen Seite, obwohl es nicht frei von Malware ist, ist die Anzahl der Infektionen geringer. Dies zusammen mit der Flexibilität, die die Plattform bietet, um sich wie ein Handschuh an die Bedürfnisse anzupassen, gibt ihr meiner Meinung nach genug Kraft, um zu sein Als erste Wahl eines Unternehmens und vor allem kann jeder prüfen, was die Software leistet, ganz zu schweigen davon, dass Sicherheit eine seiner Stärken ist.

LxB: Gegenwärtig gibt es eine Art Computerkrieg, an dem auch Regierungen teilnehmen. Wir haben Malware wie Stuxnet, Stars, Duqu usw. gesehen, die von Regierungen für bestimmte Zwecke erstellt wurde, sowie infizierte Firmware (z. B. Arduino-Boards mit ihrer modifizierten Firmware), "Spionage" -Laserdrucker usw. Aber nicht einmal die Hardware entgeht diesem Problem, es sind auch modifizierte Chips erschienen, die neben den Aufgaben, für die sie anscheinend entwickelt wurden, auch andere versteckte Funktionen usw. enthalten. Wir haben sogar etwas verrückte Projekte gesehen, wie AirHopper (eine Art Funkwellen-Keylogger), BitWhisper (Hitzeangriffe, um Informationen vom Opfer zu sammeln), Malware, die sich durch Sound verbreiten kann, ... Übertreibe ich, wenn ich sage, dass dies der Fall ist nicht mehr sicher oder Computer von einem Netzwerk getrennt?

FN: Wie ich bereits kommentiert habe, ist das sicherste System das, das ausgeschaltet ist, und einige sagen, dass es in einem Bunker eingeschlossen ist. Mann, wenn es nicht angeschlossen ist, denke ich, dass es auch ziemlich sicher ist, aber das ist nicht die Frage, meine ich, Meiner Meinung nach ist die Frage nicht die Menge der vorhandenen Bedrohungen, es gibt immer mehr Geräte, die miteinander verbunden sind, was eine größere Anzahl von Schwachstellen und Computerangriffen verschiedener Art impliziert, wobei, wie Sie in der Frage gut ausgedrückt haben, verschiedene Risse verwendet werden und Angriffsvektoren, aber ich denke nicht. Wir müssen das Problem auf die Trennung konzentrieren, um sicher zu sein. Wir müssen uns auf die Sicherung aller Dienste, Geräte, Kommunikationen usw. konzentrieren, wie ich bereits erwähnt habe, obwohl es wahr ist, dass die Anzahl der Bedrohungen gleich ist groß, es ist nicht weniger wahr, dass die Anzahl der Sicherheitstechniken nicht weniger groß ist, uns fehlt der menschliche Faktor, das Bewusstsein und das Sicherheitstraining, nichts weiter und unsere Probleme, auch wenn sie verbunden sind, werden geringer sein.

LxB: Wir schließen mit der persönlichen Meinung und als Sicherheitsexperte, den diese Systeme verdienen, könnten Sie uns auch Daten zur Verfügung stellen, die schwieriger zu sichern sind und mehr Sicherheitslücken finden:

In Bezug auf die Millionen-Dollar-Frage, welches System das sicherste ist, wurde zuvor die Antwort gegeben, dass keines 100% sicher mit dem Netzwerk verbunden ist.
Windows kennt seinen Quellcode nicht, daher weiß niemand genau, was es tut oder wie es es tut, außer natürlich Entwicklern. Unter Linux ist der Quellcode bekannt, und wie gesagt, Sicherheit ist eine seiner Stärken. Dagegen ist er weniger benutzerfreundlich und es gibt viele Distributionen. Unter Mac OS ist es seine Stärke, sein Minimalismus, der zur Produktivität zurückkehrt ist ein ideales System für Anfänger. Aus all diesen Gründen ist Windows meiner Meinung nach am schwierigsten zu sichern, obwohl die neuesten Studien ergeben haben, dass es mit Ausnahme Ihres Browsers die geringsten Sicherheitslücken aufweist. Meiner Meinung nach macht es keinen Sinn zu behaupten, dass dieses oder jenes Betriebssystem mehr oder weniger anfällig ist. Alle Faktoren, von denen es betroffen ist, müssen berücksichtigt werden, Schwachstellen, installierte Anwendungen, Benutzer desselben usw. Wenn alle oben genannten Punkte berücksichtigt wurden, sollten die Systeme meines Erachtens mit allen Arten von Sicherheitsmaßnahmen verstärkt werden, die im Allgemeinen und für jedes System anwendbar sind. Die Befestigung derselben kann unter folgenden grundlegenden Punkten zusammengefasst werden:

• Update: Halten Sie diesen Punkt im System und in allen Anwendungen, die das Netzwerk verwenden, immer auf dem neuesten Stand.
• Ich meine, Passwörter müssen mit mindestens 8 Zeichen und einem großen Wörterbuch angemessen sein.
• Perimeter-Sicherheit: Eine gute Firewall und IDS würden nicht schaden.
• Keine offenen Ports, die keinen aktiven und aktualisierten Dienst bieten.
• Erstellen Sie Sicherungskopien entsprechend den Anforderungen des jeweiligen Falles und bewahren Sie diese an sicheren Orten auf.
• Wenn Sie mit sensiblen Daten arbeiten, verschlüsseln Sie diese.
• Verschlüsselung der Kommunikation ebenfalls.
• Schulung und Sensibilisierung der Benutzer.

Ich hoffe dir hat dieses Interview gefallen, Wir werden weiter tun. Wir freuen uns, dass Sie Ihre verlassen Meinungen und Kommentare...