Francisco Nadador räägib meile oma kogemustest kohtuekspertiisi maailmas

Täna intervjueerime ainult LxA Francisco Nadadori jaoks, spetsialiseerunud arvuti kohtuekspertiisile, kes on kirglik arvutiturbe, häkkimise ja levitamise testimise pärast. Francisco on lõpetanud Alcalá de Henaresi ülikooli ja nüüd lavastab Täielik, mis on pühendatud turvatundide tundide õpetamisele ja pakub ettevõtetele selle teemaga seotud teenuseid.

Ta lõpetas magistrikraadi (Kataloonia avatud ülikool), mis on spetsialiseerunud kahele teemale - kohtuekspertiisi analüüs ja võrgu turvalisus. Sel põhjusel sai ta aukraadi ja hiljem sai riikliku kohtute hindajate ja ekspertide riikliku ühenduse liige. Ja nagu ta meile selgitab, Nad andsid talle valge rinnamärgiga uurimisaluse Risti medali ametialase karjääri ja uurimistöö eest. Auhinna võitsid ka Chema Alonso, Angelucho, Josep Albors (ESET Hispaania tegevjuht) jne.

Linux Adictos: Palun selgitage meie lugejatele, mis on kohtuekspertiis.

Francis Swimmer: Minu jaoks on see teadus, mis püüab anda vastuseid sellele, mis juhtus pärast seda, kui arvuti turvaintsident on digitaalne stsenaarium, vastused tüüpi Mis on juhtunud? Millal see juhtus? Kuidas see juhtus? Ja mis või kes selle põhjustas?

PxW: Kas teie seisukohtade ja kogemuste põhjal leiab nii olulisi küberkuritegusid aset nii palju
Hispaanias nagu teistes riikides?

FN: ELi avaldatud ja üldkasutatavate aruannete kohaselt on Hispaania innovaatiliste riikide põhjas ning ülejäänud lõunapiirkonna riigid on need uuringud, mis pakuvad võrdlevaid teadusuuringuid ja innovatsiooni EL-i kuuluvate riikide vahel. Tõenäoliselt põhjustab see turvaintsidentide arvu siin märkimisväärselt ja nende tüpoloogia mitmekesine.
Ettevõtted riskivad igapäevaselt, kuid vastupidiselt sellele, mis võib tunduda, see tähendab, et need võivad tuleneda kokkupuutest võrguga, on need riskid, mille põhjustavad tavaliselt ahela nõrgim lüli, kasutaja. Iga kord, kui nii seadmete kui ka käideldavate seadmete sõltuvus on suurem, mis põhjustab hea turvarikkumise, ütles hiljuti lugenud uuring, et enam kui 50% turvaintsidentidest põhjustasid inimesed, töötajad, endised -töötajad jne, mis maksavad ettevõtetele palju tuhandeid eurosid, minu arvates on sellele probleemile ainult üks lahendus, koolitus ja teadlikkus ning suurem sertifikaat ISO27001-s.
Mis puutub küberkuritegudesse, siis sellised rakendused nagu WhatsApp, ramsonware (viimasel ajal nimetatakse seda cryptolockeriks), muidugi virtuaalne valuuta bitcoin, mitmesugused haavatavused ilma mugavalt lappimata, petturlikud maksed Internetis, sotsiaalvõrgustike "kontrollimatu" kasutamine jne. on need, kes on hõivanud telemaatiliste kuritegude edetabelis esimesed positsioonid.
Vastus on "JAH", Hispaanias on küberkuritegevus sama oluline kui ülejäänud EL-i liikmesriikides, kuid sagedamini.

PxW: Te olete saanud aukirja importi oma meistri viimase projekti eest, mille te tegite. Mis veel,
sul on auhind ... Palun räägi meile kogu lugu.

FN: Noh, ma ei ole kiindunud väga auhindadesse ega tunnustustesse, tõsi on see, et minu moto on vaev, töö, pühendumus ja nõudlikkus, olge väga visa, et saavutada endale seatud eesmärke.
Tegin Meistri, sest see on teema, mille vastu olen kirglik, lõpetasin selle edukalt ja olen siiani pühendunud sellele professionaalselt. Mulle meeldib arvuti kohtuekspertiis, mulle meeldib tõendeid otsida ja leida ning püüan seda teha kõige ülekaalukamast eetikast lähtudes. Auhind, pole midagi olulist, lihtsalt keegi arvas, et minu lõpliku meistri töö väärib seda, see on, ma ei anna sellele suuremat tähtsust. Täna olen palju uhkem kursuse üle, mille olen välja töötanud veebikursuse lõpetamiseks arvuti kohtuekspertiisis ja mis on nüüd teises väljaandes.

PxW: Milliseid GNU / Linuxi distributsioone te oma igapäevaselt kasutate? Kujutan ette, Kali Linux, DEFT,
Tagasi ja Santoku? Papagoi OS?

FN: Noh, olete nimetanud mõned jah. Kali ja Backtracki jaoks Santoku kohtuekspertiisi analüüsi jaoks mobiilseadmetes ja Deft või Helixis, kohtuekspertiisi analüüsimiseks arvutis (muu hulgas), ehkki need on raamistikud, mis kõik on tööriistad muude pentestimise ja arvuti kohtuekspertiisi analüüsiga seotud ülesannete täitmiseks Kuid on ka teisi tööriistu, mis mulle meeldivad ja millel on Linuxi versioon, näiteks lahkamine, volatiilsus, tööriistad nagu Foremost, testdisk, Photorec, kommunikatsiooniosas, juhtmehoid, teabe kogumiseks nessus, nmap, metasploidi automaatseks kasutamiseks ja Ubuntu live ise cd, mis võimaldab teil masina käivitada ja seejärel näiteks pahavara otsida, faile taastada jne.

PxW: Millised avatud lähtekoodiga tööriistad on teie lemmikud?

FN: Ma arvan, et olin sellele küsimusele vastuse ette jõudnud, kuid süvenen millessegi muusse. Oma töö arendamiseks kasutan peamiselt avatud lähtekoodiga tööriistu, need on kasulikud ja võimaldavad teil teha samu asju nagu need, mille eest makstakse kasutusloa eest, siis saab minu arvates töö nende tööriistadega suurepäraselt teostada.
Siin võtavad Linuxi raamistikud jackpoti, ma mõtlen, et need on suurepärased. Kohtuekspertiisi analüüsi tööriistade juurutamiseks on parim platvorm Linux, selle operatsioonisüsteemi jaoks on tööriistu rohkem kui ühelgi teisel ja kõigil neil on ka suurem osa tasuta, hästi tasuta ja avatud lähtekoodiga, mis võimaldab neid kasutada kohandatud.
Teiselt poolt saab Linuxi probleemideta analüüsida ka teisi opsüsteeme. Ainus puudus on võib-olla see, et selle kasutamine ja hooldamine on veidi keerukam ning kuna need pole kommertslikud, pole neil ka pidev tugi. Minu lemmikud, ütlesin neid juba varem, osav, lahkamine, volatiilsus ja veel mõned.

PxW: Kas saaksite meile veidi öelda The Sleuth Kit kohta ... Mis see on? Rakendused?

FN: Noh, nendest tööriistadest olen juba eelmistes punktides mingil viisil rääkinud. See on keskkond kohtuekspertiisi arvutianalüüsi tegemiseks, selle pilt, "hagijas koer", ja viimases versioonis on koeril halvem geenius, tõde face.
Selle tööriistarühma kõige olulisem lüli, lahkamine.
Need on süsteemide mahulised tööriistad, mis võimaldavad erinevat tüüpi platvormide arvuti kohtuekspertiisipilte uurida "MITTEKINDLUSTAVAL" viisil ja see on kõige olulisem, arvestades selle olulisust kohtuekspertiisis.
Seda saab kasutada käsurea režiimis, seejärel käivitatakse iga tööriist eraldi terminalikeskkonnas või saab palju sõbralikumalt kasutada ka graafilist keskkonda, mis võimaldab uurimist läbi viia lihtsal viisil.

PxW: Kas saate sama teha ka LiveCD-distrooga HELIX?

FN:Noh, see on veel üks kohtuekspertiisi arvutianalüüsi raamistik, ka mitmekeskkond, see tähendab, et see analüüsib kohtuekspertiisi pilte Linuxist, Windowsi ja Macist, samuti RAM-i ja muude seadmete pilte.
Võib-olla on selle kõige võimsamad tööriistad Adept for device kloonimine (peamiselt kettad), Aff, metaandmetega seotud kohtuekspertiisi tööriist ja muidugi! Lahang. Peale nende on sellel palju muid tööriistu.
Negatiivne külg on selle professionaalne versioon tasuline, kuigi sellel on ka tasuta versioon.

PxW: TCT (Coroneri tööriistakomplekt) on projekt, mille asendas The Sleuth Kit.
kas siis jätkate kasutamist?

FN:TCT oli esimene kohtuekspertiisi analüüsi tööriistakomplektidest, sellised tööriistad nagu hauaröövel, lazarus või findkey tõstsid seda esile ja vanade süsteemide analüüsimiseks on see eelkäijast tõhusam, natuke sama, mis juhtub tagasitee ja kali puhul, Kasutan ikka näiteks mõlemat.

PxW: Guidance Software on loonud EnCase'i, tasulise ja suletud. Ei leitud ka teiste mitte-Windowsi operatsioonisüsteemide puhul. Kas seda tüüpi tarkvara korvab kindlasti tasuta alternatiivide olemasolu? Ma arvan, et praktiliselt kõik vajadused on kaetud tasuta ja tasuta projektidega või kas ma eksin?

FN: Ma arvan, et olen sellele juba vastanud, minu tagasihoidlikul arvamusel EI, see ei kompenseeri ja JAH, kõik vajadused arvuti kohtuekspertiisi läbiviimiseks on kaetud tasuta ja tasuta projektidega.

PxW: Viidates ülaltoodud küsimusele, näen, et EnCase on mõeldud Windowsi ja ka teiste jaoks
tööriistad nagu FTK, Xways, kohtuekspertiisi jaoks, aga ka paljud muud vahendid sissetungimiseks ja turvalisuseks. Miks kasutada nende teemade jaoks Windowsi?

FN: Ma ei tea, kuidas sellele küsimusele kindlalt vastata, kasutan vähemalt 75% testides Linuxi platvormidele väljatöötatud tööriistu, ehkki tunnistan, et Windowsis on selleks otstarbeks välja töötatud tööriistu platvorme ja tunnistan ka, et panin need proovile ja mõnikord kasutan ka seda, jah, kui see kuulub tasuta kasutatavate projektide alla.

PxW: See küsimus võib olla midagi eksootilist, kui seda nimetada. Kuid kas arvate, et tõendite esitamiseks kohtuprotsessides peaksid kehtima ainult avatud lähtekoodiga tarkvara pakutavad tõendid, mitte kinnised? Lubage mul selgitada, see võib olla väga halb mõte ja arvan, et nad on suutnud luua varalise tarkvara, mis pakub mõnes mõttes ekslikke andmeid, et kedagi või teatud rühmi vabastada ja lähtekoodi ei oleks võimalik üle vaadata, et näha, mida ta teeb või ei tee seda tarkvara. See on veidi keerdunud, kuid ma pakun teile selle välja, et saaksite oma arvamust avaldada, ennast rahustada või vastupidi selle arvamusega ühineda ...

FN: Ei, ma ei ole seda meelt, ma kasutan peamiselt tasuta tarkvaratööriistu ja olen paljudel juhtudel avatud, kuid ma ei usu, et keegi arendaks valesid andmeid pakkuvaid tööriistu, et kedagi vabastada, kuigi on tõsi, et viimasel ajal on mõned programmid ilmunud et nad pakkusid tahtlikult valesid andmeid, see oli mõnes teises sektoris ja ma arvan, et reeglit kinnitab erand, tõesti, ma ei usu, et arengud toimuvad minu arvates professionaalselt ja vähemalt antud juhul need põhinevad eranditult teadusel, tõenditel, mida käsitletakse teaduse seisukohalt, lihtsalt see on minu arvamus ja veendumus.

PxW: Mõni päev tagasi väitis Linus Torvalds, et täielik turvalisus pole võimalik ja arendajaid ei tohiks selles osas kinnisideeks pidada ning seada esmatähtsaks muud funktsioonid (töökindlus, jõudlus jne). Washintong Post võttis need sõnad üles ja tegi murelikuks, sest Linus Torvalds "on mees, kelle käes on Interneti tulevik", tänu serverite ja võrguteenuste hulgale, mis tänu tema loodud tuumale töötavad. Mis arvamust sa väärid?

FN: Olen temaga absoluutselt nõus, täielikku turvalisust pole olemas. Kui soovite tõesti serveris täielikku turvalisust, lülitage see välja või ühendage võrguga lahti, matke see maha, kuid loomulikult pole see siis enam server, ähvardused alati olemas, peame katma haavatavused, mida on võimalik vältida, kuid loomulikult tuleb need kõigepealt üles leida ja mõnikord võtab selle otsingu teostamine aega või teised teevad seda ebaselgetel eesmärkidel.
Usun siiski, et tehnoloogiliselt oleme süsteemi turvalisuse osas väga kõrgel, asjad on palju paremaks muutunud, nüüd on see kasutaja teadlikkus, nagu ma varasemates vastustes ütlesin, ja see on endiselt roheline.

PxW: Kujutan ette, et küberkurjategijad muudavad selle iga kord raskemaks (TOR, I2P, Freenet, steganograafia, krüptimine, LUKS-i hädaolukorra hävitamine, puhverserveri, metaandmete puhastamine jne). Kuidas käituda sellistel juhtudel kohtus tõendite esitamiseks? Kas on juhtumeid, kus te ei saa?

FN: Noh, kui on tõsi, et asjad muutuvad keerukamaks ja on ka juhtumeid, kus ma pole suutnud käituda, ilma et kuulsa krüptolukuga kaugemale minna, on kliendid helistanud mulle ja palunud minu abi ning me ei ole tehke selle heaks palju, Nagu teada, on see lunavara, mis sotsiaalse inseneritöö ära kasutades on taas kasutaja kõige nõrgem lüli, krüpteerib kõvaketaste sisu ja juhib kõiki arvutiturbe spetsialiste, seaduse teadusüksusi jõustamine, turvapakettide tootjad ja kohtuekspertiisi analüütik, ei saa me veel probleemi lahendada.
Esimesele küsimusele, kuidas me tegutseme, et need küsimused kohtuprotsessini viia, kuidas me saame hakkama kõigi tõenditega, ma mõtlen, kutse-eetika, ka keerukate tööriistade, teaduse teadusega ja püüdega leida vastuseid küsimustele, mis esimeses küsimuses, mis on minu poolt üleliigne, ei leia ma vahet, juhtub see, et mõnikord neid vastuseid ei leita.

PxW: Kas soovitaksite ettevõtetel Linuxile üle minna? Miks?

FN: Ma ei ütleks nii palju, ma mõtlen, et kui mul on midagi ilma litsentsita, mis pakub mulle samu teenuseid kui midagi, mis maksab, siis miks seda kulutada? Teine küsimus on see, et see ei paku mulle sama teenuseid, kuid kas see nii on. Linux on opsüsteem, mis on sündinud võrguteenuse vaatenurgast ja pakub sarnaseid funktsioone ülejäänud turul olevate platvormidega, seetõttu on paljud valinud selle oma platvormiga, et näiteks pakkuda veebiteenus, ftp jne. Ma kindlasti kasutan seda ja mitte ainult kohtuekspertiiside kasutamiseks, vaid ka koolituskeskuse serverina, mul on sülearvutis Windows, kuna litsents on seadmega ühendatud, isegi nii et ma viskan palju virtualiseerimise Linux.
Vastuseks küsimusele ei maksa Linux, kuna sellel platvormil töötab üha rohkem rakendusi ja järjest rohkem arendusettevõtteid valmistab Linuxi jaoks tooteid. Teisest küljest, kuigi see pole pahavara vaba, on nakatumiste arv väiksem, kuid see koos platvormi paindlikkusega, mis võimaldab teil kinnasena vajadustega kohaneda, annab sellele minu arvates piisavalt jõudu olla Iga ettevõtte esimene valik ja mis kõige tähtsam, kõik saavad tarkvara tegemist auditeerida, rääkimata sellest, et turvalisus on selle üks tugevusi.

PxW: Praegu käib omamoodi arvutisõda, kus osalevad ka valitsused. Oleme näinud nii pahavara nagu Stuxnet, Stars, Duqu jt, mille valitsused on loonud konkreetsetel eesmärkidel, kui ka nakatunud püsivara (näiteks Arduino tahvlid koos nende muudetud püsivara abil), "spioon" laserprintereid jne. Kuid sellest ei pääse isegi riistvara, on ilmunud ka muudetud kiibid, mis lisaks ülesannetele, milleks need ilmselt olid mõeldud, sisaldavad ka muid varjatud funktsioone jne. Oleme näinud isegi mõnevõrra hullumeelseid projekte nagu AirHopper (mingi raadiolainete klahviloger), BitWhisper (kuumarünnakud ohvrilt teabe kogumiseks), pahavara, mis on võimeline heli kaudu levima ... Kas ma liialdan, kui ütlen, et need on pole enam ohutu või arvutid on ühestki võrgust lahti ühendatud?

FN: Nagu ma juba kommenteerisin, on kõige turvalisem süsteem, mis on välja lülitatud, ja mõned ütlevad, et see on lukustatud punkrisse, mees, kui see on lahti ühendatud, arvan, et see on ka üsna ohutu, kuid see pole küsimus, ma mõtlen, minu arvates pole küsimus olemasolevate ohtude arvus, üha rohkem on ühendatud seadmeid, mis tähendab suuremat hulka haavatavusi ja mitmesuguseid arvutirünnakuid, kasutades, nagu te küsimuses hästi väljendasite, erinevaid pragusid ja rünnata vektoreid, kuid ma arvan, et mitte. Peame ohutuse tagamiseks keskenduma ühenduse katkestamisele, peame keskenduma kõigi teenuste, seadmete, side jne turvalisusele, nagu ma juba mainisin, kuigi on tõsi, et ohtude arv on suur, pole vähem tõsi, et turvatehnikate arv pole vähem kui suur, meil puudub inimfaktor, teadlikkus ja turvakoolitus, midagi enamat ja meie probleemid, isegi seotud, jäävad vähemaks.

PxW: Lõpetame isikliku arvamusega ja turvaspetsialistina, mida need süsteemid väärivad, võiksite meile edastada ka andmeid, mida on keerulisem turvata, ja leiate rohkem turvaauke:

Miljonidollarilise küsimuse osas, milline süsteem on kõige turvalisem, anti vastus juba varem, ükski pole 100% turvaliselt võrku ühendatud.
Windows ei tea oma lähtekoodi, seetõttu ei tea keegi, välja arvatud muidugi arendajad, täpselt, mida ta teeb ja kuidas seda teeb. Linuxi lähtekood on teada ja nagu ma ütlesin, on turvalisus üks selle tugevaid külgi, selle vastu on see, et see on vähem sõbralik ja seal on palju distrosid. Mac OS-ist on selle tugev külg, tootlikkusele naasev minimalism, see on ideaalne süsteem algajatele. Kõigil neil põhjustel on minu arvates kõige raskem kaitsta Windowsi, hoolimata sellest, et uusimad uuringud näitavad, et sellel on kõige vähem haavatavusi, välja arvatud teie brauser. Minu arvates pole mõtet kinnitada, et see või teine ​​operatsioonisüsteem on enam-vähem haavatav, tuleb arvesse võtta kõiki tegureid, mida see mõjutab, haavatavusi, installitud rakendusi, nende kasutajaid jne. Kui kõik ülaltoodud on arvestatud, peaksin arvama, et süsteeme tuleks tugevdada igasuguste turvameetmetega, üldiselt ja mis on kohaldatavad mis tahes süsteemidele, nende kokkuvõtete tugevdamise võiks kokku võtta, kui need on järgmised:

• Värskendus: hoidke seda punkti süsteemis ja kõigis võrku kasutavates rakendustes alati ajakohasena.
• Paroolid peavad olema piisavad, ma mõtlen, vähemalt 8 tähemärki ja suure sõnastikuga.
• Perimeetri turvalisus: hea tulemüür ja IDS ei kahjustaks.
• Avatud pordid puuduvad, mis ei paku aktiivset ja värskendatud teenust.
• Tehke varukoopiad vastavalt iga juhtumi vajadustele ja hoidke neid turvalistes kohtades.
• Kui töötate tundlike andmetega, krüpteeritakse need.
• Ka side krüpteerimine.
• Kasutajate koolitus ja teadlikkus.

Loodan, et see intervjuu teile meeldis, teeme edasi. Hindame, et jätsite oma arvamused ja kommentaarid...