Francisco Nadador kertoo kokemuksestaan ​​rikosteknisen analyysin maailmassa

Complumatica ja LxA-logo

Tänään haastattelemme yksinomaan LxA Francisco Nadadoriaerikoistunut atk-rikosteknologiaan, intohimoisesti tietoturvaan, hakkerointiin ja tunkeutumistesteihin. Francisco valmistui Alcalá de Henaresin yliopistosta ja ohjaa nyt Täydellinen, joka on omistettu turvallisuusaiheiden opettamiselle ja tarjoaa tähän aiheeseen liittyviä palveluja yrityksille.

Hän suoritti tietotekniikan maisterin (Katalonian avoin yliopisto), joka on erikoistunut kahteen aiheeseen, rikostekniseen analyysiin ja verkkoturvallisuuteen. Tästä syystä hän sai kunniatutkinnon ja myöhemmin hänestä tuli kansallisen tietokoneavusteisten arvioijien ja asiantuntijoiden yhdistyksen jäsen. Ja kuten hän selittää meille, He antoivat hänelle ristimitalin tutkinnallisesta ansiosta valkoisella merkillä ammatillisesta urastaan ​​ja tutkimuksestaan. Palkinnon voittivat myös Chema Alonso, Angelucho, Josep Albors (ESET Spainin toimitusjohtaja) jne.

Linux Adictos: Selitä lukijoillemme, mitä rikostekninen analyysi on.

Francis Swimmer: Minulle se on tiede, joka yrittää antaa vastauksia tapahtumiin sen jälkeen, kun tietoturvatapahtuma on digitaalinen skenaario, vastauksentyyppisiä Mitä on tapahtunut? Milloin se tapahtui? Kuinka se tapahtui? Ja mikä tai kuka sen aiheutti?

PxW: Asemastasi ja kokemuksestasi ilmeneekö niin tärkeitä verkkorikoksia niin paljon
taajuus Espanjassa kuten muissakin maissa?

FN: No, EU: n julkaisemien ja julkisesti saatavilla olevien raporttien mukaan Espanja on innovatiivisten maiden pyrstössä, samoin kuin muut eteläisen alueen maat, ne ovat tutkimuksia, jotka tarjoavat vertailevaa tutkimusta ja innovaatiotoimintaa EU: n alueella. EU: hun kuuluvissa maissa. Tämä todennäköisesti aiheuttaa täällä esiintyvien turvatapahtumien määrän merkittäväksi ja niiden tyypin vaihtelevaksi.
Yrityksillä on riskejä päivittäin, mutta toisin kuin miltä saattaa tuntua, toisin sanoen että ne saattavat tulla altistumisestaan ​​verkolle, ne ovat riskejä, jotka yleensä aiheutuvat ketjun heikoimmista lenkeistä, käyttäjistä. Joka kerta, kun laitteiden riippuvuus ja käsiteltyjen laitteiden määrä on suurempi, mikä aiheuttaa hyvän tietoturvaloukkauksen, äskettäin lukemassani tutkimuksessa todettiin, että yli 50% turvallisuushäiriöistä johtui ihmisistä, työntekijöistä, entisistä Työntekijät jne., jotka maksavat yrityksille tuhansia euroja, mielestäni tähän ongelmaan on vain yksi ratkaisu, koulutus ja tietoisuus sekä suurempi sertifiointi ISO27001-standardissa.
Verkkorikollisuudet, kuten WhatsApp, ramsonware (äskettäin nimeltään cryptolocker), tietysti virtuaalivaluutta bitcoin, erilaiset haavoittuvuudet ilman kätevää korjausta, vilpillinen maksu Internetissä, sosiaalisten verkostojen "hallitsematon" käyttö jne., ovat ne, jotka ovat olleet ensimmäisissä asemissa telemaattisten rikosten rankingissa.
Vastaus on "KYLLÄ", Espanjassa tietoverkkorikoksia esiintyy yhtä paljon kuin muissa EU: n jäsenvaltioissa, mutta useammin.

PxW: Olet saanut kunnia-asteikon mestarin viimeisestä projektista, jonka teit. Lisäksi,
sait palkinnon ... Kerro meille koko tarina.

FN: En pidä kovinkaan palkinnoista tai tunnustuksista, totuus on, mottoni on vaivaa, työtä, omistautumista ja itsepintaisuutta, ole erittäin sitkeä saavuttaaksesi itsellesi asettamasi tavoitteet.
Tein Mestarin, koska se on aihe, josta olen intohimoisesti, olen suorittanut sen menestyksekkäästi ja siitä lähtien olen tähän mennessä omistautunut itselleni ammattimaisesti. Rakastan atk-rikostutkintaa, haluan etsiä ja löytää todisteita ja yritän tehdä ne kaikkein ylivoimaisimmasta etiikasta. Palkinto, ei mitään tärkeää, vain joku ajatteli, että lopullinen mestarini työ ansaitsi sen, se on, en anna sille enemmän merkitystä. Tänään olen paljon ylpeämpi kurssista, jonka olen kehittänyt sen suorittamiseksi verkossa tietotekniikan rikosteknologiassa ja joka on nyt sen toinen painos.

PxW: Mitä GNU / Linux-jakeluja käytät päivittäin? Kuvittelen Kali Linuxin, DEFT,
Takaisin ja Santoku? Papukaija-käyttöjärjestelmä?

FN: No, olet nimittänyt muutaman kyllä. Kalestin Pentestingille ja Backtrackille, Santoku for Forensic analysis on Mobile and Deft or Helix, rikostekniseen analyysiin PC: llä (muun muassa), vaikka ne ovatkin kehyksiä, niillä kaikilla on työkalut muiden pentestointiin ja tietokoneen rikostutkintaan liittyvien tehtävien suorittamiseen Mutta on muitakin työkaluja, joista pidän ja joilla on Linux-versio, kuten ruumiinavaus, volatiliteetti, työkalut, kuten Foremost, testdisk, Photorec, viestintäosassa, wireshark, tietojen keräämiseksi nessus, nmap, metasploitin hyödyntämiseksi automatisoidulla tavalla ja Ubuntu live its cd, jonka avulla voit käynnistää koneen ja sitten esimerkiksi etsiä haittaohjelmia, palauttaa tiedostoja jne.

PxW: Mitkä avoimen lähdekoodin työkalut ovat suosikkisi?

FN: Luulen, että sain itseni eteenpäin vastauksessa tähän kysymykseen, mutta syvenen johonkin muuhun. Työn kehittämiseksi käytän pääasiassa avoimen lähdekoodin työkaluja, ne ovat hyödyllisiä ja antavat sinun tehdä samat asiat kuin ne, joille maksetaan käyttölisenssistä, ja mielestäni työ voidaan suorittaa täydellisesti näillä työkaluilla.
Täällä Linux-kehykset ottavat jättipotin, tarkoitan, että ne ovat upeita. Linux on paras foorumi rikosteknisten analyysityökalujen käyttöönottoon, tälle käyttöjärjestelmälle on enemmän työkaluja kuin muillekin, ja ne kaikki, pikemminkin, suurin osa on ilmaisia, hyvin ilmaisia ​​ja avoimia lähdekoodeja, mikä mahdollistaa niiden käytön mukautettu.
Toisaalta muita käyttöjärjestelmiä voidaan analysoida ongelmitta Linuxista. Ainoa haittapuoli on ehkä se, että sen käyttö ja ylläpito on hieman monimutkaisempi, ja koska ne eivät ole kaupallisia, niillä ei ole jatkuva tuki. Suosikkini, sanoin ne aiemmin, Deft, ruumiinavaus, volatiliteetti ja jotkut muut.

PxW: Voisitko kertoa meille hieman The Sleuth Kit -pelistä ... Mikä se on? Sovellukset?

FN: No, olen jo puhunut tavallaan näistä työkaluista edellisissä kohdissa. Se on ympäristö rikosteknisen tietokoneanalyysin suorittamiseksi, sen kuva, "ajokoira", ja viimeisimmässä versiossa koiralla on edessään pahempi nero, totuus .
Tärkein linkki tässä työkaluryhmässä, ruumiinavaus.
Ne ovat järjestelmävolyymityökaluja, jotka mahdollistavat tietokoneiden rikosteknisten kuvien tutkimisen eri alustoilta "EI-INTRUSIIVISELLA" tavalla, ja tämä on tärkein, kun otetaan huomioon sen merkitys rikosteknologiassa.
Sitä on mahdollista käyttää komentorivimoodissa, sitten kukin työkalu suoritetaan erillisessä pääteympäristössä tai myös paljon "ystävällisemmällä" tavalla voidaan käyttää graafista ympäristöä, joka mahdollistaa tutkimuksen suorittamisen yksinkertainen tapa.

PxW: Voitteko tehdä saman LiveCD-distroilla nimeltä HELIX?

FN:No, se on toinen rikosteknisen analyysin kehyksistä, myös moniympäristöstä, eli se analysoi rikosteknisiä kuvia Linux-, Windows- ja Mac-järjestelmistä sekä kuvia RAM-muistista ja muista laitteista.
Ehkä sen tehokkaimmat työkalut ovat Adept for device cloning (lähinnä levyt), Aff, työkalu metatietoihin liittyvään rikostekniseen analyysiin ja tietysti ruumiinavaus. Näiden lisäksi sillä on paljon enemmän työkaluja.
Haittapuoli, sen ammattiversio on maksettu, vaikka sillä on myös ilmainen versio.

PxW: TCT (The Coroner's Toolkit) on projekti, joka korvattiin The Sleuth Kitillä.
jatkatko käyttöä sitten?

FN:TCT oli ensimmäinen rikosteknisen analyysin työkalupaketeista, kuten hauta-ryöstö, lazarus tai findkey korostivat sitä ja vanhojen järjestelmien analysoimiseksi se on tehokkaampi kuin edeltäjänsä, hieman sama kuin taustalla ja kalilla, Käytän edelleen esimerkiksi molempia.

PxW: Opastusohjelmisto on luonut EnCasen, maksetun ja suljetun. Ei myöskään löydy muille kuin Windows-käyttöjärjestelmille. Korvaako tämäntyyppinen ohjelmisto varmasti ilmaisten vaihtoehtojen saatavuuden? Luulen, että käytännössä kaikki tarpeet on katettu ilmaisilla ja ilmaisilla projekteilla, vai olenko väärässä?

FN: Luulen, että olen jo vastannut tähän, vaatimattomasta mielestäni EI, se ei korvaa ja KYLLÄ, kaikki tarpeet suorittaa tietokoneen rikostekninen analyysi on katettu ilmaisilla ja ilmaisilla projekteilla.

PxW: Viittaamalla yllä olevaan kysymykseen huomaan, että EnCase on tarkoitettu Windowsille ja myös muille
työkalut, kuten FTK, Xways, rikostekniseen analyysiin, mutta myös monet muut työkalut tunkeutumiseen ja turvallisuuteen. Miksi käyttää Windowsia näihin aiheisiin?

FN: En tiedä, miten vastata tähän kysymykseen varmasti, käytän vähintään 75% testeistä, joita suoritan Linux-alustoille kehitetyillä työkaluilla, vaikka tiedänkin, että Windows-alustoilla on yhä enemmän näitä tarkoituksia varten kehitettyjä työkaluja, ja Tunnustan myös, että olen testannut niitä ja joskus käytän sitä myös, kyllä, kunhan se kuuluu vapaasti käytettäviin projekteihin.

PxW: Tämä kysymys voi olla jonkin verran eksoottinen, kutsua sitä joksikin. Mutta luuletko, että todisteiden esittämiseen kokeissa vain avoimen lähdekoodin ohjelmistojen toimittamien todisteiden tulisi olla päteviä eikä suljettuja? Sallikaa minun selittää, se voi olla hyvin huono ajatus ja uskoa, että he ovat pystyneet luomaan omistetun ohjelmiston, joka tarjoaa virheellisiä tietoja jossakin mielessä vapauttamaan jotakuta tai tiettyjä ryhmiä, eikä lähdekoodia olisi mahdollista tarkistaa tarkistamalla se tekee tai ei tee kyseistä ohjelmistoa. Se on hieman vääntynyt, mutta pyydän sinua antamaan mielipiteesi, rauhoittamaan itseäsi tai päinvastoin liittymään tähän mielipiteeseen ...

FN: Ei, en ole sitä mieltä, käytän enimmäkseen ilmaisia ​​ohjelmistotyökaluja ja monissa tapauksissa avoimia, mutta en usko, että kukaan kehittää virheellisiä tietoja toimittavia työkaluja kenenkään vapauttamiseksi, vaikka onkin totta, että viime aikoina jotkut ohjelmat ovat ilmestyneet että he tarjosivat tarkoituksellisesti vääriä tietoja, se oli toisella sektorilla, ja mielestäni poikkeus vahvistaa säännön, en usko, että kehitys on mielestäni ammattimaisesti toteutettua ja ainakin tässä tapauksessa, ne perustuvat yksinomaan tieteeseen, tieteen näkökulmasta käsiteltyihin todisteisiin, yksinkertaisesti se on mielipiteeni ja uskoni.

PxW: Muutama päivä sitten Linus Torvalds väitti, että täydellinen turvallisuus ei ole mahdollista ja että kehittäjien ei pidä olla pakkomielle tässä suhteessa ja asettaa etusijalle muut ominaisuudet (luotettavuus, suorituskyky jne.). Washintong Post otti nämä sanat esiin ja oli huolestuttavaa, koska Linus Torvalds "on mies, jolla on Internetin tulevaisuus käsissä", johtuen palvelimien ja verkkopalvelujen määrästä, jotka toimivat hänen luomansa ytimen ansiosta. Minkä mielipiteen ansaitset?

FN: Olen ehdottomasti samaa mieltä hänen kanssaan, täydellistä tietoturvaa ei ole, jos todella haluat täydellisen suojauksen palvelimelle, sammuta se tai irrota se verkosta, hauta se, mutta tietysti silloin se ei ole enää palvelin, uhat aina olemassa, meidän on katettava haavoittuvuudet, jotka ovat vältettävissä, mutta tietysti ne on ensin löydettävä, ja joskus tämän haun suorittaminen vie aikaa tai muut tekevät sen hämärissä tarkoituksissa.
Uskon kuitenkin, että olemme teknisesti erittäin korkealla järjestelmän suojauspisteellä, asiat ovat parantuneet paljon, nyt se on käyttäjän tietoisuus, kuten sanoin edellisissä vastauksissa, ja se on edelleen vihreää.

PxW: Kuvittelen, että verkkorikolliset vaikeuttavat sitä joka kerta (TOR, I2P, Freenet, steganografia, salaus, LUKS: n itsetuho hätätilanteessa, välityspalvelin, metatietojen puhdistus jne.). Kuinka toimit näissä tapauksissa todisteiden toimittamiseksi oikeudessa? Onko tapauksia, joissa et voi?

FN: No, jos on totta, että asiat ovat monimutkaisempia ja on myös tapauksia, joissa en ole pystynyt toimimaan menemättä pidemmälle kuuluisan cryptolockerin kanssa, asiakkaat ovat soittaneet minulle pyytämällä apua ja emme ole pystyneet tehdä paljon asialle, Kuten tiedetään, se on lunnasohjelma, joka sosiaalista suunnittelua hyödyntäen on jälleen kerran käyttäjä heikoin lenkki, salaa kiintolevyjen sisällön ja johtaa kaikkia tietoturva-alan ammattilaisia, lainvalvontaviranomaisten, tietoturvapakettivalmistajien ja oikeuslääketieteen analyytikoiden kanssa, emme pysty vielä ratkaisemaan ongelmaa.
Ensimmäiseen kysymykseen, miten toimimme saadaksemme nämä kysymykset oikeudenkäyntiin, ja kuinka voimme toimia kaikilla todisteilla, tarkoitan ammattietiikillä myös kehittyneitä työkaluja, tieteen tietämystä ja yrittää löytää vastauksia kysymyksiin, jotka Ensimmäisessä kysymyksessä, jonka ilmoitin irtisanomisen arvoiseksi, en löydä eroa, tapahtuu, että joskus näitä vastauksia ei löydy.

PxW: Suosittelisitko yrityksiä siirtymään Linuxiin? Miksi?

FN: En sanoisi niin paljon, tarkoitan, luulen, että jos minulla on jotain ilman lisenssiä, joka tarjoaa minulle samat palvelut kuin mikä maksaa, miksi käyttää sitä? Toinen kysymys on, että se ei tarjoa minulle samaa palveluja, mutta onko se, jos se tekee. Linux on käyttöjärjestelmä, joka on syntynyt verkkopalvelun näkökulmasta ja tarjoaa samanlaisia ​​ominaisuuksia kuin muutkin markkinoilla olevat alustat, ja siksi monet ovat valinneet sen alustallaan esimerkiksi tarjoamaan verkkopalvelua , ftp, jne., käytän sitä varmasti, eikä vain käyttää rikosteknisiä distroja, mutta palvelimena koulutuskeskuksessani minulla on Windows kannettavalla tietokoneellani, koska lisenssi on liitetty laitteeseen, vaikka heitänkin paljon virtualisointeja Linux .
Vastauksena kysymykseen Linux ei maksa, sillä tällä alustalla on yhä enemmän sovelluksia, ja yhä useampi kehitysyritys valmistaa tuotteita Linuxille. Toisaalta, vaikka siinä ei ole haittaohjelmia, infektioiden määrä on pienempi, tämä yhdessä alustan antaman joustavuuden kanssa sopeutua käsineenä tarpeisiin antaa mielestäni tarpeeksi voimaa olla Minkä tahansa yrityksen ensimmäinen valinta ja mikä tärkeintä, kuka tahansa voi tarkastaa, mitä ohjelmisto tekee, puhumattakaan siitä, että turvallisuus on yksi sen vahvuuksista.

PxW: Tällä hetkellä käydään eräänlainen tietosota, johon myös hallitukset osallistuvat. Olemme nähneet hallitusten erityistarkoituksiin luomia haittaohjelmia, kuten Stuxnet, Stars, Duqu, jne., Samoin kuin tartunnan saaneita laiteohjelmia (esimerkiksi Arduino-kortteja, joissa on muunnettuja laiteohjelmistoja), "vakooja" -lasertulostimia jne. Mutta edes laitteisto ei pääse tästä, on myös ilmestynyt muokattuja siruja, jotka niiden tehtävien lisäksi, joita varten ne on suunniteltu, sisältävät myös muita piilotettuja toimintoja jne. Olemme nähneet jopa jonkin verran hulluja projekteja, kuten AirHopper (eräänlainen radioaaltojen näppäinlukija), BitWhisper (lämpöhyökkäykset tietojen keräämiseksi uhrilta), haittaohjelmat, jotka kykenevät levittämään äänen avulla ... Liioittelen, jos sanon, että ne ovat ole enää turvallinen tai tietokoneita ei ole kytketty mihinkään verkkoon?

FN: Kuten olen jo kommentoinut, turvallisin järjestelmä on sammutettu ja jotkut sanovat, että se on lukittu bunkkeriin, mies jos se on irrotettu, mielestäni se on myös melko turvallinen, mutta tämä ei ole kysymys, tarkoitan, mielestäni kysymys ei ole olemassa olevien uhkien määrä, on yhä enemmän laitteita, jotka ovat yhteydessä toisiinsa, mikä merkitsee suurempaa määrää haavoittuvuuksia ja erityyppisiä tietokonehyökkäyksiä, jotka käyttävät, kuten kysymyksessä hyvin ilmaisitte, erilaisia ​​halkeamia ja hyökkäävät vektorit, mutta mielestäni ei. Meidän on keskitettävä asia katkaisuun, jotta voimme olla turvallisia, meidän on keskityttävä kaikkien palvelujen, laitteiden, viestinnän jne. turvaamiseen, kuten jo mainitsin, vaikka onkin totta, että uhkien määrä on suuri, ei ole vähemmän totta, että turvallisuustekniikoiden määrä on yhtä suuri, meiltä puuttuu inhimillinen tekijä, tietoisuus ja turvallisuuskoulutus, ei mitään muuta ja ongelmamme, jopa liitettynä, ovat vähemmän.

PxW: Päätämme henkilökohtaiseen mielipiteeseen, ja näiden järjestelmien ansaitsemana tietoturva-asiantuntijana voisit myös antaa meille tietoja, joita on vaikeampaa turvata ja löytää enemmän turvallisuusaukkoja:

Miljoonan dollarin kysymykseen, mikä järjestelmä on turvallisin, vastaus annettiin aiemmin, kukaan ei ole 100% turvallinen kytketty verkkoon.
Windows ei tiedä lähdekoodiaan, joten kukaan ei tiedä tarkalleen mitä se tekee tai miten se tekee, paitsi tietysti kehittäjät. Linuxin lähdekoodi on tiedossa, ja kuten sanoin, turvallisuus on yksi sen vahvuuksista, sitä vastoin se on vähemmän ystävällinen ja monia distroja.Mac OS: stä sen vahvuus, tuottavuuteen palaava minimalismi, se on ihanteellinen järjestelmä aloittelijoille. Kaikista näistä syistä mielestäni vaikeinta suojata on Windows, huolimatta siitä, että uusimmat tutkimukset osoittavat, että siinä on vähiten haavoittuvuuksia, paitsi selaimesi. Mielestäni ei ole järkevää sanoa, että tämä tai toinen käyttöjärjestelmä on enemmän tai vähemmän haavoittuva, on otettava huomioon kaikki tekijät, joihin se vaikuttaa, haavoittuvuudet, asennetut sovellukset, niiden käyttäjät jne. Kun kaikki edellä mainitut on otettu huomioon, uskon, että järjestelmiä olisi vahvistettava kaikenlaisilla turvatoimenpiteillä, yleensä ja sovellettavissa mihin tahansa järjestelmään, niiden vahvistaminen voidaan tiivistää seuraavasti:

  • Päivitys: Pidä tämä kohta järjestelmässä ja kaikissa verkkoa käyttävissä sovelluksissa aina ajan tasalla.
  • Salasanojen on oltava tarkoituksenmukaisia, vähintään 8 merkkiä ja suuren sanakirjan.
  • Kehän suojaus: Hyvä palomuuri ja IDS eivät vahingoita.
  • Ei avoimia portteja, jotka eivät tarjoa aktiivista ja päivitettyä palvelua.
  • Tee varmuuskopiot kunkin tapauksen tarpeiden mukaan ja säilytä niitä turvallisissa paikoissa.
  • Jos työskentelet arkaluonteisten tietojen kanssa, niiden salaus.
  • Myös viestinnän salaus.
  • Käyttäjien koulutus ja tietoisuus.

Toivottavasti pidit tästä haastattelusta, jatkamme enemmän. Arvostamme, että jätit mielipiteitä ja kommentteja...


3 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Raul P. dijo

    Pidin haastattelusta.

  2.   KYLLÄ AC dijo

    No, avaintekijä. Käyttäjä.

    Järjestelmä on myös deterministinen. Mielestäni Windowsin esoteeriassa se on avain Toisin kuin Linux, joka vaatii aikaa. Tätä ei käännetä lainkaan, mutta se antaa Linuxille bonuksen.

  3.   Joseph Rojas dijo

    Mielenkiintoista kaikki esille tuotu. Haluaisin tietää hieman enemmän Helixistä ja sen hyödyllisyydestä