Francisco Nadador nous raconte son expérience dans le monde de l'analyse médico-légale

Logo Complumatica et LxA

Aujourd'hui nous interviewons exclusivement pour LxA Francisco Nadador, spécialisée en criminalistique informatique, passionnée par la sécurité informatique, le piratage informatique et les tests d'intrusion. Francisco est diplômé de l'Université d'Alcalá de Henares et dirige maintenant Complumatique, dédié à l'enseignement de cours sur des sujets de sécurité et propose des services liés à ce sujet pour les entreprises.

Il a complété un Master (Université Ouverte de Catalogne) sur la sécurité informatique, spécialisé dans deux domaines, l'analyse médico-légale et la sécurité des réseaux. Pour cette raison, il a reçu le tableau d'honneur et est devenu plus tard membre de l'Association nationale des évaluateurs et experts judiciaires en informatique. Et comme il nous l'expliquera, Ils lui ont donné la médaille de croix pour le mérite d'enquête avec un insigne blanc pour sa carrière professionnelle et ses recherches. Prix ​​également remporté par Chema Alonso, Angelucho, Josep Albors (PDG d'ESET Espagne), etc.

Addicts Linux: Veuillez expliquer à nos lecteurs ce qu'est l'analyse médico-légale.

Francisco Nadador : Pour moi, c'est une science qui essaie de donner des réponses à ce qui s'est passé après un incident de sécurité informatique est un scénario numérique, des réponses du type Qu'est-ce qui s'est passé? Quand est-ce arrivé? Comment est-ce arrivé? Et quoi ou qui l'a causé?

LxA : D'après votre position et votre expérience, des cybercrimes aussi importants se produisent-ils avec autant
fréquence en Espagne comme dans d'autres pays?

FN: Eh bien, selon des rapports publiés par l'UE et qui sont dans le domaine public, l'Espagne est au bas des pays innovants, avec le reste des pays de la zone sud, ce sont des études qui offrent des performances de recherche comparative et d'innovation de la pays qui font partie de l'UE. Cela rend probablement le nombre d'incidents de sécurité ici important et leur typologie variée.
Les entreprises courent des risques au quotidien, mais contrairement à ce que cela peut sembler, c'est-à-dire qu'ils peuvent provenir de leur exposition au réseau, ce sont des risques qui sont généralement causés par le maillon le plus faible de la chaîne, l'utilisateur. Chaque fois que la dépendance des appareils ainsi que le nombre de ceux qui sont traités est plus grande, ce qui provoque une bonne faille de sécurité, une étude que j'ai lue récemment a déclaré que plus de 50% des incidents de sécurité étaient causés par des personnes, des travailleurs, ex. -les travailleurs, etc., coûtant plusieurs milliers d'euros aux entreprises, à mon avis, il n'y a qu'une seule solution à ce problème, la formation et la sensibilisation et une plus grande certification ISO27001.
En ce qui concerne la cybercriminalité, des applications telles que WhatsApp, ramsonware (récemment appelé cryptolocker), bien sûr, la monnaie virtuelle bitcoin, des vulnérabilités de toutes sortes sans correctifs pratiques, des paiements frauduleux sur Internet, l'utilisation «incontrôlée» des réseaux sociaux, etc., sont ceux qui ont occupé les premières positions dans le classement des délits télématiques.
La réponse est «OUI», en Espagne, la cybercriminalité est aussi importante que dans le reste des États membres de l'UE, mais plus fréquemment.

LxA : Vous avez reçu un diplôme d'honneur pour votre projet final du Master que vous avez fait. En outre,
vous avez reçu un prix… Veuillez nous raconter toute l'histoire.

FN: Eh bien, je n'aime pas beaucoup les récompenses ou les reconnaissances, la vérité est que ma devise est l'effort, le travail, le dévouement et l'insistance, soyez très persévérant pour atteindre les objectifs que vous vous êtes fixés.
J'ai fait le Master parce que c'est un sujet qui me passionne, je l'ai terminé avec succès et depuis lors jusqu'à maintenant je me suis consacré professionnellement. J'adore les enquêtes judiciaires informatiques, j'aime rechercher et trouver des preuves et j'essaie de le faire de la plus écrasante de l'éthique. Le prix, rien d'important, juste quelqu'un pensait que le travail de mon Master final le méritait, c'est tout, je ne lui donne pas plus d'importance. Aujourd'hui, je suis beaucoup plus fier d'un cours que j'ai développé pour compléter en ligne sur la criminalistique informatique et qui en est maintenant à sa deuxième édition.

LxA : Quelles distributions GNU / Linux utilisez-vous au quotidien? J'imagine Kali Linux, DEFT,
Backtrack et Santoku? Parrot OS?

FN: Eh bien, vous en avez nommé quelques-uns oui. Pour Pentesting Kali et Backtrack, Santoku pour l'analyse médico-légale sur Mobile et Deft ou Helix, pour l'analyse médico-légale sur PC (entre autres), bien qu'il s'agisse de frameworks, tous dotés d'outils pour effectuer d'autres tâches liées au pentesting et à l'analyse judiciaire informatique, Mais il y a d'autres outils que j'aime et qui ont une version Linux comme l'autopsie, la volatilité, des outils comme Foremost, testdisk, Photorec, dans la partie communication, WireShark, pour collecter des informations nessus, nmap, pour exploiter metasploit de manière automatisée et Ubuntu live lui-même cd, qui vous permet de démarrer une machine puis, par exemple, de rechercher des logiciels malveillants, de récupérer des fichiers, etc.

LxA : Quels outils open source sont vos favoris?

FN: Eh bien, je pense que j'étais en avance sur la réponse à cette question, mais je vais approfondir autre chose. Pour développer mon travail j'utilise principalement des outils open source, ils sont utiles et vous permettent de faire les mêmes choses que ceux qui sont payés pour une licence d'utilisation, alors, à mon avis, le travail peut être parfaitement effectué avec ces outils.
Ici, les frameworks Linux prennent le jackpot, je veux dire, ils sont merveilleux. Linux est la meilleure plate-forme pour le déploiement d'outils d'analyse médico-légale, il y a plus d'outils pour ce système d'exploitation que pour tout autre et tous, eh bien plutôt, la grande majorité sont gratuits, bien gratuits et Open Source, ce qui leur permet d'être adapté.
Par contre, d'autres systèmes d'exploitation peuvent être analysés sans problème à partir de Linux. Le seul inconvénient, peut-être, est qu'il est un peu plus complexe dans son utilisation et sa maintenance, et aussi, comme ils ne sont pas commerciaux, ils n'ont pas soutien continu. Mes favoris, je les ai déjà dit, Deft, Autopsy, Volatility, et bien d'autres.

LxA : Pourriez-vous nous parler un peu de The Sleuth Kit… Qu'est-ce que c'est? Applications?

FN: Eh bien j'ai déjà parlé en quelque sorte de ces outils dans les points précédents. C'est un environnement pour effectuer une analyse informatique médico-légale, son image, "le chien de chasse", enfin dans la dernière version le chien a le visage d'avoir un pire génie la vérité 
Le maillon le plus important de ce groupe d'outils, l'autopsie.
Ce sont des outils de volume de systèmes qui permettent l'examen d'images médico-légales informatiques provenant de diverses plates-formes d'une manière "NON INTRUSIVE", et c'est le plus important étant donné son importance en criminalistique.
Il a la possibilité d'être utilisé en mode ligne de commande, puis chaque outil est exécuté dans un environnement terminal séparé ou aussi, de manière beaucoup plus «conviviale», l'environnement graphique peut être utilisé, ce qui permet de mener une investigation dans un manière simple.

LxA : Pouvez-vous faire la même chose avec la distribution LiveCD appelée HELIX?

FN:Eh bien, c'est un autre des cadres d'analyse informatique médico-légale, également multi-environnement, c'est-à-dire qu'il analyse des images médico-légales des systèmes Linux, Windows et Mac, ainsi que des images de RAM et d'autres appareils.
Peut-être que ses outils les plus puissants sont Adept pour le clonage d'appareils (principalement des disques), Aff, un outil d'analyse médico-légale liée aux métadonnées et bien sûr! Autopsy. Outre ceux-ci, il dispose de nombreux autres outils.
L'inconvénient, sa version professionnelle est payante, même si elle dispose également d'une version gratuite.

LxA : TCT (The Coroner's Toolkit) est un projet qui a été remplacé par The Sleuth Kit.
continuer à utiliser alors?

FN:TCT a été la première des boîtes à outils pour l'analyse médico-légale, des outils tels que le voleur de tombes, lazarus ou findkey l'ont mis en évidence et pour l'analyse d'anciens systèmes, il est plus efficace que son prédécesseur, un peu comme cela se produit avec backtrack et kali, J'utilise toujours les deux, par exemple.

LxA : Guidance Software a créé EnCase, payé et fermé. Également introuvable pour les autres systèmes d'exploitation non Windows. Ce type de logiciel compense-t-il certainement cela en proposant des alternatives gratuites? Je crois que pratiquement tous les besoins sont couverts par des projets gratuits et gratuits, ou est-ce que je me trompe?

FN: Je pense avoir déjà répondu à cela, à mon avis modeste NON, cela ne compense pas et OUI, tous les besoins pour effectuer une analyse judiciaire informatique sont couverts par des projets gratuits et gratuits.

LxA : En me référant à la question ci-dessus, je vois que EnCase est pour Windows et aussi d'autres
des outils comme FTK, Xways, pour l'analyse médico-légale, mais aussi de nombreux autres outils de pénétration et de sécurité. Pourquoi utiliser Windows pour ces sujets?

FN: Je ne saurais pas répondre à cette question avec certitude, j'utilise au moins 75% des tests que je réalise des outils développés pour les plateformes Linux, même si je reconnais qu'il y a de plus en plus d'outils développés à ces fins sur les plateformes Windows, et Je reconnais aussi que je les ai mis à l'épreuve et que parfois je l'utilise aussi, oui, du moment qu'il appartient à des projets gratuits.

LxA : Cette question peut être quelque peu exotique, pour l'appeler quelque chose. Mais pensez-vous que pour présenter des preuves lors d'essais, seules les preuves fournies par un logiciel open source devraient être valides et non fermées? Laissez-moi vous expliquer, cela pourrait être très mal pensé et en venir à croire qu'ils ont été en mesure de créer un logiciel propriétaire qui fournit des données erronées dans un certain sens pour exonérer quelqu'un ou certains groupes et il n'y aurait aucun moyen de revoir le code source pour voir ce que il fait ou ne fait pas ce logiciel. C'est un peu tordu, mais je vous demande de donner votre avis, de vous rassurer ou, au contraire, de vous joindre à cet avis ...

FN: Non, je ne suis pas de cet avis, j'utilise principalement des logiciels libres et dans de nombreux cas ouverts, mais je ne pense pas que quiconque développe des outils qui fournissent des données erronées afin de disculper quiconque, même s'il est vrai que récemment certains programmes sont apparus qu'ils ont délibérément offert des données erronées, c'était dans un autre secteur et je pense que c'est l'exception qui confirme la règle, vraiment, je ne pense pas, les développements, à mon avis, se font professionnellement et, du moins dans ce cas, elles se fondent exclusivement sur la science, des preuves traitées du point de vue de la science, simplement, c'est mon opinion et ma croyance.

LxA : Il y a quelques jours, Linus Torvalds affirmait qu'une sécurité totale n'est pas possible et que les développeurs ne doivent pas être obsédés à cet égard et donner la priorité à d'autres fonctionnalités (fiabilité, performances, ...). Washintong Post a repris ces mots et ils étaient alarmants puisque Linus Torvalds "est l'homme qui a l'avenir d'Internet entre ses mains", en raison de la quantité de serveurs et de services réseau qui fonctionnent grâce au noyau qu'il a créé. Quelle opinion méritez-vous?

FN: Je suis tout à fait d'accord avec lui, la sécurité totale n'existe pas, si vous voulez vraiment une sécurité totale sur un serveur, éteignez-le ou déconnectez-le du réseau, enterrez-le, mais bien sûr, alors, ce n'est plus un serveur, les menaces vont existent toujours, ce que nous devons couvrir, ce sont les vulnérabilités, qui sont évitables, mais bien sûr, il faut d'abord les trouver et parfois cela prend du temps pour effectuer cette recherche ou d'autres le font à des fins obscures.
Cependant, je crois que technologiquement nous sommes à un point de sécurité très élevé du système, les choses se sont beaucoup améliorées, maintenant c'est la conscience de l'utilisateur, comme je l'ai dit dans les réponses précédentes, et c'est toujours vert.

LxA : J'imagine que les cybercriminels rendent la tâche plus difficile à chaque fois (TOR, I2P, Freenet, stéganographie, cryptage, autodestruction d'urgence de LUKS, proxy, nettoyage des métadonnées, etc.). Comment agissez-vous dans ces cas pour fournir des preuves lors d'un procès? Y a-t-il des cas où vous ne pouvez pas?

FN: Eh bien, s'il est vrai que les choses se complexifient et qu'il y a aussi des cas où je n'ai pas pu agir, sans aller plus loin avec le fameux cryptolocker, des clients m'ont appelé pour me demander mon aide et nous n'avons pas pu pour en faire beaucoup, Comme on le sait, c'est un ransomware qui, profitant de l'ingénierie sociale, une fois de plus l'utilisateur est le maillon le plus faible, crypte le contenu des disques durs et dirige tous les professionnels de la sécurité informatique, unités scientifiques du application de la loi, fabricants de suites de sécurité et analyste médico-légal, nous ne sommes pas encore en mesure de résoudre le problème.
À la première question, comment agissons-nous pour juger ces problèmes, comment faisons-nous avec toutes les preuves, je veux dire, avec l'éthique professionnelle, également des outils sophistiqués, des connaissances scientifiques et en essayant de trouver les réponses aux questions qui dans la première question, vaut la redondance que j'ai expliqué, je ne trouve pas de différence, ce qui se passe, c'est que parfois ces réponses ne sont pas trouvées.

LxA : Recommanderiez-vous aux entreprises de passer à Linux? Parce que?

FN: Yo no diría tanto, quiero decir, yo creo que si tengo algo libre de licencia que me proporciona los mismos servicios que algo que cuesta dinero, ¿Por qué gastarlo?, otra cuestión es que no me proporcionase los mismos servicios, pero, es que s'il le fait. Linux est un système d'exploitation né du point de vue du service réseau et qui offre des fonctionnalités similaires au reste des plateformes du marché, c'est la raison pour laquelle beaucoup l'ont sélectionné avec leur plateforme pour, par exemple, proposer un service web , ftp, etc., je l'utilise certainement et non seulement pour utiliser des distributions médico-légales mais comme serveur dans mon centre de formation, j'ai Windows sur mon ordinateur portable car la licence est intégrée à l'appareil, même si je lance beaucoup de virtualisations Linux .
En réponse à la question, Linux ne coûte pas, il y a un nombre croissant d'applications qui fonctionnent sur cette plate-forme et de plus en plus de sociétés de développement fabriquent des produits pour Linux. D'autre part, bien qu'elle ne soit pas exempte de logiciels malveillants, le nombre d'infections est plus faible, cela, combiné à la flexibilité que la plate-forme vous donne pour vous adapter comme un gant aux besoins, lui donne, à mon avis, assez de force pour être Le premier choix de toute entreprise et le plus important de tous, tout le monde peut auditer ce que fait le logiciel, sans oublier que la sécurité est l'une de ses forces.

LxA : Actuellement, il existe une sorte de guerre informatique à laquelle les gouvernements participent également. Nous avons vu des logiciels malveillants tels que Stuxnet, Stars, Duqu, etc., créés par des gouvernements à des fins spécifiques, ainsi que des micrologiciels infectés (par exemple, des cartes Arduino avec leur micrologiciel modifié), des imprimantes laser "espions", etc. Mais même le matériel n'y échappe pas, des puces modifiées sont également apparues qui, en plus des tâches pour lesquelles elles ont apparemment été conçues, incluent également d'autres fonctionnalités cachées, etc. On a même vu des projets un peu fous comme AirHopper (une sorte de keylogger d'ondes radio), BitWhisper (attaques thermiques pour collecter des informations auprès de la victime), des malwares capables de se propager par le son, ... j'exagère si je dis qu'ils le sont n'est plus sûr ou les ordinateurs déconnectés de tout réseau?

FN: Comme je l'ai déjà commenté, le système le plus sûr est celui qui est éteint et certains disent qu'il est enfermé dans un bunker, mec s'il est déconnecté, je pense que c'est assez sûr aussi, mais ce n'est pas la question, je veux dire, à mon avis la question n'est pas la quantité de menaces existantes, il y a de plus en plus d'appareils qui sont interconnectés, ce qui implique un plus grand nombre de vulnérabilités et d'attaques informatiques de toutes sortes, utilisant, comme vous l'avez bien exprimé dans la question, différentes fissures et les vecteurs d'attaque, mais je ne pense pas.Nous devons focaliser le problème sur la déconnexion pour être sûr, nous devons nous concentrer sur la sécurisation de tous les services, appareils, communications, etc., comme je l'ai déjà mentionné, même s'il est vrai que le nombre de menaces est grand, il n'en est pas moins vrai que le nombre de techniques de sécurité n'en est pas moins grand, il nous manque le facteur humain, la sensibilisation et la formation à la sécurité, rien de plus et nos problèmes, même liés, seront moindres.

LxA : Nous terminons avec l'avis personnel et en tant qu'expert en sécurité que ces systèmes méritent, vous pouvez également nous fournir des données sur lesquelles il est plus difficile de sécuriser et trouver plus de failles de sécurité:

En ce qui concerne la question à un million de dollars, quel système est le plus sûr, la réponse a été donnée auparavant, aucun n'est 100% sécurisé connecté au réseau.
Windows ne connaît pas son code source, donc personne ne sait exactement ce qu'il fait ni comment il le fait, sauf les développeurs bien sûr. Le code source de Linux est connu et, comme je l'ai dit, la sécurité est l'un de ses points forts, par contre c'est qu'il est moins convivial et qu'il existe de nombreuses distributions. De Mac OS, son point fort, son minimalisme qui revient à la productivité, c'est un système idéal pour les débutants. Pour toutes ces raisons, à mon avis, le plus difficile à sécuriser est Windows, malgré le fait que les dernières études révèlent que c'est celui qui a le moins de vulnérabilités, enfin sauf votre navigateur. A mon avis, cela n'a aucun sens d'affirmer que tel ou tel système d'exploitation est plus ou moins vulnérable, tous les facteurs par lesquels il est affecté doivent être pris en compte, les vulnérabilités, les applications installées, les utilisateurs de celui-ci, etc. Une fois que tout ce qui précède a été pris en compte, je pense que les systèmes devraient être renforcés avec toutes sortes de mesures de sécurité, en général et applicables à n'importe quel système, l'enrichissement de celui-ci pourrait être résumé en ces points de base:

  • Mise à jour: gardez toujours ce point dans le système et toutes les applications qui utilisent le réseau à jour.
  • Les mots de passe doivent être adéquats, je veux dire, avec un minimum de 8 caractères et un grand dictionnaire.
  • Sécurité du périmètre: un bon pare-feu et un IDS ne feraient pas de mal.
  • Ne pas avoir de ports ouverts qui n'offrent pas de service actif et mis à jour.
  • Faites des copies de sauvegarde en fonction des besoins de chaque cas et conservez-les en lieu sûr.
  • Si vous travaillez avec des données sensibles, cryptage de la même chose.
  • Cryptage des communications également.
  • Formation et sensibilisation des utilisateurs.

J'espère que vous avez aimé cette interview, nous continuerons à faire plus. Nous vous remercions de laisser votre opinions et commentaires...


3 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Raul P. dit

    J'ai aimé l'interview.

  2.   SIAC dit

    Eh bien, le facteur clé. Utilisateur.

    Le système est également déterministe. Dans l'ésotérique de Windows, je crois que c'est la clé. Contrairement à Linux, qui demande du temps. Ce n'est pas du tout traduit, mais cela donne un bonus à Linux.

  3.   Jose Rojas dit

    Intéressant tout soulevé. J'aimerais en savoir un peu plus sur Helix et son utilité