Francisco Nadador mesél a kriminalisztikai elemzés világában szerzett tapasztalatairól

Ma kizárólag az LxA Francisco Nadadornak készítettünk interjút, a számítógépes kriminalisztikai szakterületre szakosodott, rajong a számítógépes biztonságért, a hackelésért és a penetrációs tesztekért. Francisco az Alcalá de Henares Egyetemen végzett, és most rendezi Komplettikus, biztonsági témákkal foglalkozó osztályok tanításának szentelve, és a témához kapcsolódó szolgáltatásokat kínál a vállalatok számára.

Elvégezte a számítógépbiztonsági mestert (Katalónia Nyitott Egyetem), amely két témára specializálódott: az igazságügyi elemzésre és a hálózatbiztonságra. Emiatt megtisztelő oklevelet kapott, majd később a Számítógépes Igazságügyi Értékelők és Szakértők Országos Szövetségének tagja lett. És ahogy elmagyarázza nekünk, Fehér kitűzővel adták át neki a nyomozati érdemekért járó keresztérmet szakmai karrierjéért és kutatásáért. Díjat nyert Chema Alonso, Angelucho, Josep Albors (az ESET Spanyolország vezérigazgatója) stb.

Linux Adictos: Kérjük, magyarázza el olvasóinknak, mi a törvényszéki elemzés.

Úszó Ferenc: Számomra ez egy olyan tudomány, amely megpróbálja megválaszolni a történteket, miután egy számítógépes biztonsági esemény digitális forgatókönyv, a Mi történt? Mikor történt? Hogyan történt? És mi vagy ki okozta?

LxW: Az ön álláspontja és tapasztalata alapján ilyen fontos számítógépes bűncselekmények fordulnak elő ennyivel
Spanyolországban, mint más országokban?

FN: Nos, az EU által közzétett és nyilvánosan elérhető jelentések szerint Spanyolország az innovatív országok legalján van, a déli térség többi országával együtt ezek olyan tanulmányok, amelyek összehasonlító kutatási és innovációs teljesítményt kínálnak a EU-tagországok. Ez valószínűleg az itteni biztonsági események számának jelentős és tipológiájukban eltérő.
A vállalatok napi szinten kockáztatnak, de ellentétben azzal, aminek látszhat, vagyis hogy a hálózatnak való kitettségükből származhatnak, ezek olyan kockázatok, amelyeket általában a lánc leggyengébb láncszeme, a felhasználó okoz. Valahányszor nagyobb az eszközök függősége, valamint a kezelt eszközök száma, ami jó biztonsági rést okoz, egy tanulmány, amelyet nemrégiben olvastam, azt mondta, hogy a biztonsági események több mint 50% -át emberek, munkavállalók, ex -munkások stb., sok ezer euróba kerülnek a vállalatoknak, véleményem szerint erre a problémára csak egy megoldás létezik, képzés és tudatosság, valamint nagyobb tanúsítás az ISO27001 szerint.
A számítástechnikai bűnözéseket illetően olyan alkalmazások, mint a WhatsApp, a ramsonware (az utóbbi időben cryptolocker néven hívják), természetesen a virtuális valuta bitcoin, a különféle sérülékenységek kényelmesen javítás nélkül, csalárd interneten történő fizetés, a közösségi hálózatok "ellenőrizetlen" használata stb. azok, amelyek elfoglalták az első pozíciókat a telematikai bűncselekmények rangsorában.
A válasz "IGEN", Spanyolországban a számítógépes bűnözés ugyanolyan fontos, mint az EU többi tagállamában, de gyakrabban.

LxW: Megtisztelő érettségi címet kapott a Mester utolsó projektjéért, amelyet elvégzett. Mi több,
díjat kapott ... Kérem, mondja el nekünk az egész történetet.

FN: Nos, nem nagyon szeretem a díjakat vagy az elismeréseket, az az igazság, hogy a mottóm az erőfeszítés, a munka, az odaadás és a ragaszkodás, légy nagyon kitartó a kitűzött célok elérése érdekében.
Azért csináltam a Mestert, mert ez egy olyan téma, amiért rajongok, sikeresen befejeztem és ettől kezdve szakmailag elköteleztem magam. Szeretem a számítógépes törvényszéki nyomozást, szeretek bizonyítékokat keresni és megtalálni, és megpróbálom a legelterjedtebb etika alapján megtenni. A díj, semmi fontos, csak valaki úgy gondolta, hogy a Végső Mester munkám megérdemelte, ennyi, nem tulajdonítok neki nagyobb jelentőséget. Ma sokkal büszkébb vagyok egy tanfolyamra, amelyet a számítógépes kriminalisztika online befejezéséhez fejlesztettem ki, és amelynek immár második kiadása van.

LxW: Milyen GNU / Linux disztribúciókat használ a mindennapokban? Elképzelem a Kali Linuxot, DEFT,
Vissza és Santoku? Parrot OS?

FN: Nos, megnevezett néhány igent. A Kali és a Backtrack Pentesting, a Santoku for Forensic analysis on Mobile and Deft or Helix, a bírósági elemzéshez PC-n (többek között), bár ezek keretrendszerek, bár mindegyik rendelkezik eszközökkel a penteszteléshez és a számítógépes kriminalisztikai elemzéshez kapcsolódó egyéb feladatok elvégzéséhez, De vannak más eszközök, amelyek tetszenek, és rendelkeznek Linuxos verzióval, például boncolás, volatilitás, olyan eszközök, mint a Foremost, a testdisk, a Photorec, a kommunikációs részben, a wireshark, a nessus, nmap információk gyűjtésére, a metasploit automatizált kihasználására és az Ubuntu live its cd, amely lehetővé teszi a gép elindítását, majd például rosszindulatú programok keresését, fájlok helyreállítását stb.

LxW: Milyen nyílt forráskódú eszközök a kedvencei?

FN: Nos, azt hiszem, megelőztem magam a kérdésre adott válaszban, de elmélyülök valami másban. Munkám fejlesztése érdekében elsősorban nyílt forráskódú eszközöket használok, ezek hasznosak és lehetővé teszik, hogy ugyanazokat a dolgokat hajtsa végre, mint amelyeket a használati licencért fizetnek, akkor véleményem szerint a munka tökéletesen elvégezhető ezekkel az eszközökkel.
Itt a Linux keretrendszerek veszik a jackpotot, vagyis csodálatosak. A Linux a legjobb platform a törvényszéki elemző eszközök telepítéséhez, több eszköz van ehhez az operációs rendszerhez, mint bármelyik máshoz, és mindegyikük, sőt, túlnyomó többségük ingyenes, jól ingyenes és nyílt forráskódú, ami lehetővé teszi számukra, hogy alkalmazkodott.
Másrészt más operációs rendszerek problémamentesen elemezhetők a Linux-tól. Talán az egyetlen hátrány, hogy kissé összetettebb a használata és karbantartása, és mivel nem kereskedelmi jellegűek, nincsenek folyamatos támogatás. Kedvenceim, mondtam már korábban, ügyes, boncolás, volatilitás és még néhány.

LxW: Mesélne egy kicsit a The Sleuth Kit-ről ... Mi ez? Alkalmazások?

FN: Nos, az előző pontokban már beszéltem valamilyen módon ezekről az eszközökről. Ez egy olyan körülmény, ahol igazságügyi számítógépes elemzéseket lehet végezni, a képe, a "kutya kutya", és a legújabb verzióban a kutya azzal az arccal rendelkezik, hogy rosszabb zsenialitással bír az igazság 
A legfontosabb link ebben az eszközcsoportban, a boncolás.
Rendszerkötet-eszközök, amelyek lehetővé teszik a különböző platformokról érkező számítógépes kriminalisztikai képek "NEM INTRUSZÍV" módon történő vizsgálatát, és ez a legfontosabb az igazságügyi orvostudományi jelentőségére való tekintettel.
Lehetősége van parancssori módban történő használatra, majd minden eszközt külön terminálkörnyezetben hajtanak végre, vagy sokkal barátságosabb módon használható a grafikus környezet is, amely lehetővé teszi a vizsgálat lefolytatását egy egyszerű módon.

LxW: Megteheti ugyanezt a HELIX nevű LiveCD disztróval?

FN:Nos, ez a kriminalisztikai számítógépes elemzés másik keretrendszere, szintén multikörnyezetű, vagyis elemzi a Linux, Windows és Mac rendszerek kriminalisztikai képeit, valamint a RAM és más eszközök képeit.
A leghatékonyabb eszközei talán az Adept for device cloning (főleg a lemezek), az Aff, a metaadatokkal kapcsolatos kriminalisztikai elemzés eszköze és természetesen! Boncolás. Ezek mellett még sok más eszköze van.
Hátránya, professzionális változata fizetett, bár van ingyenes verziója is.

LxW: A TCT (The Coroner's Toolkit) egy projekt, amelyet a The Sleuth Kit váltott fel.
akkor továbbra is használja?

FN:A TCT volt az első a törvényszéki elemzés eszköztára közül, olyan eszközök, mint a sírrabló, a lazarus vagy a findkey emelték ki, és a régi rendszerek elemzéséhez hatékonyabb, mint elődje, kicsit ugyanúgy, mint a backtrack és a kali esetében, Továbbra is használom például mindkettőt.

LxW: A Guidance Software létrehozta az EnCase-t, fizetős és bezárt. Más nem Windows operációs rendszerekhez sem található. Biztosan pótolja ezt a típusú szoftvert azáltal, hogy ingyenes alternatívákat kínál? Úgy gondolom, hogy gyakorlatilag minden igényt ingyenes és ingyenes projektek fedeznek, vagy tévedek?

FN: Azt hiszem, erre már válaszoltam, szerény véleményem szerint NEM, ez nem kompenzál és IGEN, a számítógépes törvényszéki elemzés elvégzésének minden igényét ingyenes és ingyenes projektek fedezik.

LxW: A fenti kérdésre utalva azt látom, hogy az EnCase Windows-ra és másokra is vonatkozik
olyan eszközök, mint az FTK, az Xways, a törvényszéki elemzéshez, de sok más eszköz a behatoláshoz és a biztonsághoz is. Miért használja a Windows rendszert ezekhez a témákhoz?

FN: Nem tudnám, hogyan válaszolhatok erre a kérdésre biztosan, legalább a tesztek 75% -ában használom a Linux platformokhoz kifejlesztett eszközöket, bár tudom, hogy egyre több ilyen eszköz van kifejlesztve a Windows rendszeren platformokat, és azt is felismerem, hogy próbára tettem őket, és néha használom is, igen, mindaddig, amíg ingyenesen használható projektekhez tartozik.

LxW: Ez a kérdés valami egzotikus lehet, hogy nevezzük valaminek. De szerinted a bizonyítékok bemutatásához a kísérletekben csak a nyílt forráskódú szoftverek által szolgáltatott bizonyítékoknak kell érvényesnek lenniük, nem pedig a lezártnak? Hadd magyarázzam el, nagyon rossz gondolkodás lehet, és rájöhetnék, hogy képesek voltak olyan saját szoftvert létrehozni, amely valamilyen értelemben hibás adatokat szolgáltat valakinek vagy bizonyos csoportoknak a mentesítésére, és nem lenne mód a forráskód felülvizsgálatára, hogy megnézzük vagy nem csinálja azt a szoftvert. Kicsit elcsavarodott, de arra kérem, mondja el véleményét, nyugtassa meg magát, vagy éppen ellenkezőleg, csatlakozzon ehhez a véleményhez ...

FN: Nem, nem vagyok ezen a véleményen, többnyire ingyenes szoftvereszközöket használok, és sok esetben nyitva is vagyok, de nem gondolom, hogy bárki téves adatokat szolgáltató eszközöket fejlesztene senkinek a felmentése érdekében, bár igaz, hogy az utóbbi időben megjelent néhány program hogy szándékosan hibás adatokat kínáltak, egy másik szektorban voltak, és azt hiszem, ez a kivétel erősíti meg a szabályt, valójában, nem hiszem, hogy a fejlesztéseket véleményem szerint szakszerűen végzik, és legalábbis ebben az esetben kizárólag tudományon alapulnak, a tudomány szempontjából kezelt bizonyítékokkal, egyszerűen ez az én véleményem és meggyőződésem.

LxW: Néhány nappal ezelőtt Linus Torvalds azt állította, hogy a teljes biztonság nem lehetséges, és a fejlesztőknek nem szabad megszállottnak lenniük e tekintetben, és elsőbbséget kell biztosítaniuk más funkcióknak (megbízhatóság, teljesítmény, ...). A Washintong Post felvette ezeket a szavakat, és riasztóak voltak, mivel Linus Torvalds "az az ember, akinek kezében van az internet jövője", az általa létrehozott kernelnek köszönhetően működő szerverek és hálózati szolgáltatások mennyisége miatt. Milyen véleményt érdemelsz?

FN: Abszolút egyetértek vele, a teljes biztonság nem létezik, ha valóban teljes biztonságot szeretne egy szerveren, kapcsolja ki, vagy válassza le a hálózatról, temesse el, de természetesen akkor már nem szerver, a fenyegetések mindig léteznek, a sérülékenységekre kell kitérnünk, amelyek elkerülhetők, de természetesen előbb meg kell találni őket, és néha időbe telik a keresés végrehajtása, vagy mások homályos célokból teszik.
Úgy gondolom azonban, hogy technológiailag nagyon magas rendszerbiztonsági ponton vagyunk, a dolgok sokat javultak, most ez a felhasználó tudatossága, amint azt az előző válaszokban mondtam, és ez még mindig zöld.

LxW: Úgy képzelem, hogy az internetes bűnözők minden alkalommal megnehezítik (TOR, I2P, Freenet, szteganográfia, titkosítás, a LUKS vészhelyzeti önpusztítása, proxy, metaadatok tisztítása stb.). Hogyan jár el ezekben az esetekben, hogy bizonyítékot szolgáltasson a bíróságon? Vannak olyan esetek, amikor nem lehet?

FN: Nos, ha igaz, hogy a dolgok egyre összetettebbé válnak, és vannak olyan esetek, amikor nem tudtam cselekedni, anélkül, hogy tovább mentem volna a híres kriptolockerrel, az ügyfelek felhívtak, hogy segítségemet kérjék, és nem tudtuk sokat tenni ez ellen, Mint ismeretes, ez egy olyan ransomware, amely a szociális mérnöki lehetőségeket kihasználva ismét a felhasználó a leggyengébb láncszem, titkosítja a merevlemezek tartalmát, és vezeti az összes számítógépes biztonsági szakembert, a bűnüldöző szervek, biztonsági csomagok gyártói és törvényszéki elemzők, még nem vagyunk képesek megoldani a problémát
Az első kérdésre: hogyan cselekedjünk azért, hogy ezeket a kérdéseket tárgyalás elé állítsuk, és hogyan járunk el minden bizonyítékkal, mármint szakmai etikával, kifinomult eszközökkel, a tudomány ismeretével és azzal, hogy megpróbálok választ találni azokra a kérdésekre, az első kérdésben, amelyet megértem, kijelentettem, nem találok különbséget, az történik, hogy néha ezek a válaszok nem találhatók meg.

LxW: Javasolná a vállalatoknak, hogy váltsanak Linuxra? Miért?

FN: Nem mondanék ennyit, mármint azt gondolom, hogy ha van egy engedélyemtől mentes dolog, amely ugyanazokat a szolgáltatásokat nyújtja nekem, mint ami pénzbe kerül, miért költeném el? Más kérdés, hogy nem ugyanazokat nyújtja szolgáltatásokat, de ha ez megtörténik. A Linux olyan operációs rendszer, amely a hálózat szolgáltatásának szemszögéből született, és hasonló funkciókat kínál a piac többi platformjához képest, ezért sokan a platformjukkal együtt választották, hogy például egy webszolgáltatás, ftp stb., természetesen használom, és nem csak a törvényszéki disztribúciók használatához, hanem szerverként az oktatóközpontomban, a laptopomon van a Windows, mert a licenc be van építve a készülékbe, még akkor is, ha rengeteget dobok virtualizációk Linux.
A kérdésre válaszolva a Linux nem kerül költségbe, egyre több olyan alkalmazás fut, amely ezen a platformon fut, és egyre több fejlesztő cég gyárt termékeket a Linux számára. Másrészt, bár nem mentes a rosszindulatú programoktól, a fertőzések száma alacsonyabb, ez együtt a rugalmassággal, amelyet a platform ad ahhoz, hogy kesztyűként alkalmazkodjon az igényekhez, véleményem szerint elegendő erőt ad ahhoz, hogy Bármely vállalat első választása, és ami a legfontosabb, mindenki ellenőrizheti, hogy mit csinál a szoftver, nem beszélve arról, hogy a biztonság az egyik erőssége.

LxW: Jelenleg egyfajta számítógépes háború zajlik, ahol a kormányok is részt vesznek. Láttunk olyan rosszindulatú programokat, mint például a Stuxnet, a Stars, Duqu stb., Amelyeket a kormányok saját célokra hoztak létre, valamint fertőzött firmware-t (például Arduino táblák módosított firmware-jével), "kém" lézernyomtatókat stb. De még a hardver sem kerüli el ezt, olyan módosított chipek is megjelentek, amelyek azon feladatok mellett, amelyekre látszólag tervezték, egyéb rejtett funkciókat is tartalmaznak stb. Láttunk még olyan kissé őrült projekteket is, mint az AirHopper (egyfajta rádióhullám-billentyűzet), a BitWhisper (hő támadások, hogy információkat gyűjtsenek az áldozattól), rosszindulatú programok, amelyek képesek hanggal terjedni, ... Túlzok-e, ha azt mondom, hogy azok már nem biztonságos, vagy a számítógépek le vannak választva bármely hálózatról?

FN: Amint már megjegyeztem, a legbiztonságosabb a kikapcsolt rendszer, és egyesek azt mondják, hogy egy bunkerbe van zárva. Ember, ha le van kapcsolva, azt hiszem, ez is elég biztonságos, de ez nem a kérdés, mármint véleményem szerint nem a meglévő fenyegetések mennyisége a kérdés, hanem egyre több olyan eszköz van, amelyek összekapcsolódnak, ami nagyobb számú sérülékenységet és különféle típusú számítógépes támadást jelent, különféle repedéseket használva, amint azt a kérdésben jól kifejtette és támadó vektorok, de azt gondolom, hogy nem. A biztonság érdekében a lekapcsolásra kell összpontosítanunk, minden szolgáltatás, eszköz, kommunikáció stb. biztonságára kell összpontosítanunk, amint azt már említettem, bár igaz, hogy a fenyegetések száma nagy, nem kevésbé igaz, hogy a biztonsági technikák száma nem kevésbé nagy, hiányzik az emberi tényező, a tudatosság és a biztonsági képzés, semmi más, és a problémáink, még kapcsolódva is, kevesebbek lesznek.

LxW: Személyes véleményünkkel fejezzük be, és mint a biztonság szakértője, amelyet ezek a rendszerek megérdemelnek, olyan adatokat is megadhat nekünk, amelyek nehezebben biztosíthatók, és további biztonsági réseket talál:

Az egymillió dolláros kérdéssel kapcsolatban, melyik rendszer a legbiztonságosabb, a választ már korábban megadtuk, egyik sem 100% -osan biztonságos a hálózathoz.
A Windows nem ismeri a forráskódját, így senki sem tudja pontosan, hogy mit és hogyan csinál, kivéve természetesen a fejlesztőket. A Linux forráskódja ismert, és mint mondtam, a biztonság az egyik legerősebb pontja, azzal szemben, hogy kevésbé barátságos és sok disztró van. A Mac OS közül az erős pontja, a termelékenységre visszatérő minimalizmusa, ideális rendszer a kezdők számára. Mindezen okokból véleményem szerint a legnehezebben biztosítható a Windows, annak ellenére, hogy a legfrissebb tanulmányok azt mutatják, hogy a legkevesebb sérülékenységet okozza, kivéve a böngészőt. Véleményem szerint nincs értelme megerősíteni, hogy ez vagy az operációs rendszer többé-kevésbé sérülékeny, figyelembe kell venni az összes tényezőt, amelyek hatással vannak rá, a sérülékenységekre, a telepített alkalmazásokra, azok felhasználói stb. Miután a fentieket figyelembe vettük, úgy gondolom, hogy a rendszereket mindenféle biztonsági intézkedéssel meg kell erősíteni, általában és bármely rendszerre alkalmazható, ezek megerősítése összefoglalható, ezek az alapvető szempontok:

• Frissítés: Ezt a pontot mindig tartsa naprakészen a rendszerben és a hálózatot használó összes alkalmazásban.
• A jelszavaknak megfelelőnek kell lenniük, mármint minimum 8 karakterrel és egy nagy szótárral.
• Kerület biztonsága: A jó tűzfal és az IDS nem ártana.
• Nincsenek nyitott portjaik, amelyek nem kínálnak aktív és frissített szolgáltatást.
• Készítsen biztonsági másolatokat az egyes esetek igényeinek megfelelően, és tartsa biztonságos helyen.
• Ha bizalmas adatokkal dolgozik, ugyanazok titkosítása.
• A kommunikáció titkosítása is.
• A felhasználók képzése és tudatossága.

Remélem tetszett ez az interjú, tovább fogunk folytatni. Köszönjük, hogy otthagyta vélemények és megjegyzések...