Francisco Nadador ci racconta la sua esperienza nel mondo dell'analisi forense

Oggi intervistiamo in esclusiva per LxA Francisco Nadador, specializzato in informatica forense, appassionato di sicurezza informatica, hacking e test di penetrazione. Francisco si è laureato all'Università di Alcalá de Henares e ora dirige Complumatico, dedicato a corsi di insegnamento su temi di sicurezza e offre servizi relativi a questo argomento per le aziende.

Ha completato un Master (Università aperta della Catalogna) sulla sicurezza informatica specializzandosi in due argomenti, analisi forense e sicurezza di rete. Per questo motivo, ha ricevuto l'Honor Roll e in seguito è diventato membro dell'Associazione nazionale dei periti ed esperti giudiziari informatici. E come ci spiegherà, Gli hanno dato la medaglia della croce al merito investigativo con un distintivo bianco per la sua carriera professionale e di ricerca. Premio vinto anche da Chema Alonso, Angelucho, Josep Albors (CEO di ESET Spagna), ecc.

Linux Adictos: Per favore, spiega ai nostri lettori che cos'è l'analisi forense.

Francesco Nadador: Per me è una scienza che cerca di dare risposte a quello che è successo dopo che un incidente di sicurezza informatica è uno scenario digitale, risposte del tipo Cosa è successo? Quando è successo? Come è successo? E cosa o chi l'ha causato?

LxL: Dalla tua posizione e dalla tua esperienza, crimini informatici così importanti si verificano con così tanto
frequenza in Spagna come in altri paesi?

FN: Ebbene, secondo i rapporti pubblicati dall'UE e che sono di dominio pubblico, la Spagna è in fondo ai paesi innovativi, insieme al resto dei paesi dell'area meridionale, sono studi che offrono prestazioni comparative di ricerca e innovazione del paesi che fanno parte dell'UE. Ciò probabilmente fa sì che il numero di incidenti di sicurezza qui sia significativo e la loro tipologia diversa.
Le aziende corrono rischi quotidianamente, ma contrariamente a quanto possa sembrare, cioè che possono derivare dalla loro esposizione alla rete, sono rischi che di solito sono causati dall'anello più debole della catena, l'utente. Ogni volta che la dipendenza dei dispositivi e il numero di questi che vengono gestiti è maggiore, il che causa una buona violazione della sicurezza, uno studio che ho letto di recente ha affermato che più del 50% degli incidenti di sicurezza sono stati causati da persone, lavoratori, ex -lavoratori, ecc., costano alle aziende molte migliaia di euro, a mio avviso c'è una sola soluzione per questo problema, formazione e consapevolezza e una maggiore certificazione ISO27001.
Per quanto riguarda i crimini informatici, applicazioni come WhatsApp, ramsonware (ultimamente chiamato cryptolocker), ovviamente la valuta virtuale bitcoin, vulnerabilità di vario genere senza opportune patching, pagamenti fraudolenti su Internet, uso "incontrollato" dei social network, ecc. sono quelli che hanno occupato le prime posizioni nelle graduatorie dei reati telematici.
La risposta è "SI", in Spagna i crimini informatici sono importanti quanto nel resto degli Stati membri dell'UE, ma più frequentemente.

LxL: Hai ricevuto una Laurea Honoris Causa per il tuo progetto finale del Master che hai svolto. Cosa c'è di più,
hai ricevuto un premio ... Raccontaci l'intera storia.

FN: Beh, non amo molto i premi o riconoscimenti, la verità è che il mio motto è impegno, lavoro, dedizione e insistenza, sii molto persistente per raggiungere gli obiettivi che ti sei prefissato.
Ho fatto il Master perché è una materia che mi appassiona, l'ho terminato con successo e da allora fino ad ora mi sono dedicato professionalmente. Amo le indagini forensi informatiche, mi piace cercare e trovare prove e cerco di farlo dalla più travolgente dell'etica. Il premio, niente di importante, solo qualcuno ha pensato che il lavoro del mio Final Master lo meritasse, ecco, non gli do più importanza. Oggi sono molto più orgoglioso di un corso che ho sviluppato per il completamento online di informatica forense e che è giunto alla sua seconda edizione.

LxL: Quali distribuzioni GNU / Linux usi nella tua giornata? Immagino Kali Linux, DEFT,
Backtrack e Santoku? Parrot OS?

FN: Beh, ne hai nominati alcuni sì. Per Pentesting Kali e Backtrack, Santoku per l'analisi forense su Mobile e Deft o Helix, per l'analisi forense su PC (tra gli altri), sebbene siano framework, tutti dotati di strumenti per eseguire altre attività relative al pentesting e all'analisi forense del computer, Ma ci sono altri strumenti che mi piacciono e hanno una versione Linux come autopsy, volatility, strumenti come Foremost, testdisk, Photorec, nella parte delle comunicazioni, wirehark, per raccogliere informazioni nessus, nmap, per sfruttare metasploit in modo automatizzato e Ubuntu live stesso cd, che consente di avviare una macchina e quindi, ad esempio, cercare malware, recuperare file, ecc.

LxL: Quali strumenti open source sono i tuoi preferiti?

FN: Beh, penso di aver superato me stesso nella risposta a questa domanda, ma approfondirò qualcos'altro. Per sviluppare il mio lavoro utilizzo principalmente strumenti open source, sono utili e ti permettono di fare le stesse cose di quelli che vengono pagati in licenza d'uso, quindi, secondo me, il lavoro può essere svolto perfettamente con questi strumenti.
Qui i framework Linux prendono il jackpot, voglio dire, sono meravigliosi. Linux è la migliore piattaforma per l'implementazione di strumenti di analisi forense, ci sono più strumenti per questo sistema operativo che per qualsiasi altro e tutti, beh piuttosto, la stragrande maggioranza sono gratuiti, ben gratuiti e Open Source, il che consente loro di essere adattato.
D'altra parte, altri sistemi operativi possono essere analizzati senza problemi da Linux. L'unico inconveniente, forse, è che è un po 'più complesso nel suo utilizzo e manutenzione, e inoltre, poiché non sono commerciali, non hanno supporto continuo. I miei preferiti, l'ho detto prima, Abilità, Autopsia, Volatilità e altro ancora.

LxL: Puoi parlarci un po 'di The Sleuth Kit ... Cos'è? Applicazioni?

FN: Ebbene, ho già parlato in qualche modo di questi strumenti nei punti precedenti. È un ambiente per effettuare analisi forensi al computer, la sua immagine, "il cane da caccia", beh nell'ultima versione il cane ha la faccia di avere un genio peggiore, la verità .
Il collegamento più importante in questo gruppo di strumenti, l'autopsia.
Sono strumenti di volume dei sistemi che consentono l'esame di immagini forensi di computer da varie piattaforme in modo "NON INTRUSIVO", e questo è il più importante dato il suo significato in medicina legale.
Ha la possibilità di essere utilizzato in modalità riga di comando, quindi ogni strumento viene eseguito in un ambiente terminale separato o anche, in modo molto più "amichevole", può essere utilizzato l'ambiente grafico, che consente di effettuare un'indagine in modo modo semplice.

LxL: Puoi fare lo stesso con la distribuzione LiveCD chiamata HELIX?

FN:Bene, è un altro dei framework per l'analisi forense del computer, anche multi-ambiente, cioè analizza le immagini forensi di sistemi Linux, Windows e Mac, così come le immagini di RAM e altri dispositivi.
Forse i suoi strumenti più potenti sono Adept per la clonazione dei dispositivi (principalmente dischi), Aff, uno strumento per l'analisi forense relativa ai metadati e ovviamente! Autopsy. Oltre a questi ha molti altri strumenti.
Il rovescio della medaglia, la sua versione professionale è a pagamento, sebbene abbia anche una versione gratuita.

LxL: TCT (The Coroner's Toolkit) è un progetto che è stato sostituito da The Sleuth Kit.
continuare ad usare allora?

FN:TCT è stato il primo dei toolkit per l'analisi forense, strumenti come il ladro di tombe, lazarus o findkey lo hanno evidenziato e per l'analisi dei vecchi sistemi è più efficiente del suo predecessore, un po 'come accade con backtrack e kali, Ad esempio, li uso ancora entrambi.

LxL: Il software di guida ha creato EnCase, pagato e chiuso. Inoltre non trovato per altri sistemi operativi non Windows. Questo tipo di software compensa certamente la disponibilità di alternative gratuite? Credo che praticamente tutte le esigenze siano coperte da progetti liberi e gratuiti, o mi sbaglio?

FN: Penso di aver già risposto a questo, a mio modesto parere NO, non compensa e SI, tutte le necessità per eseguire analisi forensi informatiche sono coperte da progetti liberi e gratuiti.

LxL: Facendo riferimento alla domanda sopra, vedo che EnCase è per Windows e anche per altri
strumenti come FTK, Xways, per l'analisi forense, ma anche molti altri strumenti per la penetrazione e la sicurezza. Perché utilizzare Windows per questi argomenti?

FN: Non saprei rispondere con certezza a questa domanda, utilizzo almeno il 75% dei test che svolgo strumenti sviluppati per piattaforme Linux, anche se riconosco che ci sono sempre più strumenti sviluppati per questi scopi su piattaforme Windows, e Riconosco anche di metterli alla prova e qualche volta lo uso anche, sì, purché appartenga a progetti free-to-use.

LxL: Questa domanda può essere un po 'esotica, per chiamarla qualcosa. Ma pensi che per presentare le prove nelle prove, dovrebbero essere valide solo le prove fornite dal software open source e non quelle chiuse? Mi spiego, potrebbe essere una pessima idea e arrivare a credere di essere stati in grado di creare software proprietario che fornisce dati errati in un certo senso per scagionare qualcuno o determinati gruppi e non ci sarebbe modo di rivedere il codice sorgente per vedere cosa fa o non fa quel software. È un po 'contorto, ma ti chiedo di dare la tua opinione, rassicurarti o, al contrario, unirti a questa opinione ...

FN: No, non sono di quell'opinione, utilizzo perlopiù strumenti software liberi e in molti casi aperti, ma non credo che nessuno sviluppi strumenti che forniscono dati errati al fine di esonerare qualcuno, anche se è vero che recentemente sono apparsi alcuni programmi che hanno offerto deliberatamente dati sbagliati, era in un altro settore e penso sia l'eccezione che conferma la regola, davvero, non credo, gli sviluppi, secondo me, sono fatti in modo professionale e, almeno in questo caso, si basano esclusivamente sulla scienza, evidenze trattate dal punto di vista della scienza, semplicemente, questa è la mia opinione e la mia convinzione.

LxL: Qualche giorno fa, Linus Torvalds ha affermato che la sicurezza totale non è possibile e che gli sviluppatori non dovrebbero essere ossessionati da questo aspetto e dare la priorità ad altre funzionalità (affidabilità, prestazioni, ...). Washintong Post ha raccolto queste parole ed erano allarmanti perché Linus Torvalds "è l'uomo che ha il futuro di Internet nelle sue mani", a causa della quantità di server e servizi di rete che funzionano grazie al kernel che ha creato. Che opinione meriti?

FN: Sono assolutamente d'accordo con lui, la sicurezza totale non esiste, se vuoi davvero la sicurezza totale su un server, spegnilo o disconnettilo dalla rete, seppelliscilo, ma ovviamente, poi, non è più un server, le minacce lo faranno esistono sempre, ciò che dobbiamo coprire sono le vulnerabilità, che sono evitabili, ma ovviamente devono prima essere trovate ea volte ci vuole tempo per fare questa ricerca o altri lo fanno per scopi oscuri.
Tuttavia, credo che tecnologicamente siamo a un punto di sicurezza del sistema molto alto, le cose sono migliorate molto, ora è la consapevolezza dell'utente, come ho detto nelle risposte precedenti, e che è ancora verde.

LxL: Immagino che i criminali informatici lo rendano ogni volta più difficile (TOR, I2P, Freenet, steganografia, crittografia, autodistruzione di emergenza di LUKS, proxy, pulizia dei metadati, ecc.). Come ti comporti in questi casi per fornire prove in un processo? Ci sono casi in cui non puoi?

FN: Ebbene, se è vero che le cose si fanno sempre più complesse e ci sono anche casi in cui non ho potuto agire, senza andare oltre con il famoso cryptolocker, i clienti mi hanno chiamato chiedendomi il mio aiuto e non ci siamo riusciti fare molto al riguardo, Come è noto, si tratta di un ransomware che, sfruttando l'ingegneria sociale, ancora una volta l'utente è l'anello più debole, crittografa il contenuto dei dischi rigidi e sta guidando tutti i professionisti della sicurezza informatica, unità scientifiche del forze dell'ordine, produttori di suite di sicurezza e analista forense, non siamo ancora in grado di affrontare il problema.
Alla prima domanda, come ci comportiamo per portare questi problemi a processo, ebbene come facciamo con tutte le prove, intendo con l'etica professionale, anche strumenti sofisticati, conoscenza della scienza e cercando di trovare le risposte alle domande che nella prima Domanda, vale la ridondanza che ho affermato, non trovo differenza, quello che succede è che a volte queste risposte non si trovano.

LxL: Consiglieresti alle aziende di passare a Linux? Perché?

FN: Non direi così tanto, voglio dire, penso che se ho qualcosa senza licenza che mi fornisce gli stessi servizi di qualcosa che costa denaro, perché spenderlo? Se lo fa. Linux è un sistema operativo che nasce dall'ottica del servizio di rete e offre funzionalità simili al resto delle piattaforme presenti sul mercato, motivo per cui in molti lo hanno selezionato con la propria piattaforma per, ad esempio, offrire un servizio web , ftp, ecc., Lo uso sicuramente e non solo per usare distribuzioni forensi ma come server nel mio centro di formazione, ho Windows sul mio laptop perché la licenza è incorporata con il dispositivo, anche così lancio molte virtualizzazioni Linux .
In risposta alla domanda, Linux non costa, c'è un numero crescente di applicazioni che girano su questa piattaforma e sempre più aziende di sviluppo realizzano prodotti per Linux. D'altra parte, sebbene non sia esente da malware, il numero di infezioni è inferiore, questo insieme alla flessibilità che la piattaforma ti offre per adattarti come un guanto alle esigenze, le dà, a mio avviso, abbastanza forza per essere La prima scelta di qualsiasi azienda e, cosa più importante di tutte, tutti possono controllare cosa fa il software, senza contare che la sicurezza è uno dei suoi punti di forza.

LxL: Attualmente c'è una sorta di guerra informatica a cui partecipano anche i governi. Abbiamo visto malware come Stuxnet, Stars, Duqu, ecc., Creati dai governi per scopi specifici, nonché firmware infetto (ad esempio, schede Arduino con il loro firmware modificato), stampanti laser "spia", ecc. Ma nemmeno l'hardware sfugge a questo, sono comparsi anche chip modificati che, oltre ai compiti per i quali sono stati apparentemente progettati, includono anche altre funzionalità nascoste, ecc. Abbiamo anche visto progetti un po 'folli come AirHopper (una specie di keylogger di onde radio), BitWhisper (attacchi di calore per raccogliere informazioni dalla vittima), malware in grado di diffondersi tramite il suono, ... Sto esagerando se dico che lo sono non più al sicuro o computer scollegati da qualsiasi rete?

FN: Come ho già commentato, il sistema più sicuro è quello che è spento e alcuni dicono che è chiuso in un bunker, amico se è disconnesso penso che sia anche abbastanza sicuro, ma non è questo il problema, voglio dire, a mio avviso la domanda non è la quantità di minacce esistenti, ci sono sempre più dispositivi che sono interconnessi, il che implica un numero maggiore di vulnerabilità e attacchi informatici di vario genere, utilizzando, come hai ben espresso nella domanda, diverse crepe e vettori di attacco, ma penso di no Dobbiamo concentrare la questione sulla disconnessione per essere sicuri, dobbiamo concentrarci sulla protezione di tutti i servizi, dispositivi, comunicazioni, ecc., Come ho già detto, anche se è vero che il numero di minacce è grande, non è meno vero che il numero di tecniche di sicurezza non è da meno, ci manca il fattore umano, la consapevolezza e la formazione sulla sicurezza, niente di più ei nostri problemi, anche connessi, saranno minori.

LxL: Concludiamo con l'opinione personale e come esperto di sicurezza che questi sistemi meritano, potresti anche fornirci dati su cui è più difficile proteggere e trovare più falle di sicurezza:

Per quanto riguarda la domanda da un milione di dollari, quale sistema è il più sicuro, la risposta è stata data prima, nessuno è sicuro al 100% connesso alla rete.
Windows non conosce il suo codice sorgente, quindi nessuno sa esattamente cosa fa o come lo fa, ad eccezione degli sviluppatori ovviamente. Il codice sorgente di Linux è noto e, come dicevo, la sicurezza è uno dei suoi punti di forza, contro è che è meno amichevole e ci sono molte distribuzioni. Di Mac OS, il suo punto di forza, il suo minimalismo che torna alla produttività, è un sistema ideale per i principianti. Per tutti questi motivi, a mio avviso il più difficile da mettere in sicurezza è Windows, nonostante gli ultimi studi rivelino che è quello con meno vulnerabilità, beh tranne il browser. Secondo me non ha senso dire che questo o quel sistema operativo è più o meno vulnerabile, vanno presi in considerazione tutti i fattori da cui è influenzato, vulnerabilità, applicazioni installate, utenti di esso, ecc. Una volta preso in considerazione tutto quanto sopra, credo che i sistemi debbano essere fortificati con tutti i tipi di misure di sicurezza, in generale e applicabili a qualsiasi sistema, il rafforzamento dello stesso potrebbe essere riassunto in questi punti fondamentali:

• Aggiornamento: mantenere sempre aggiornati questo punto nel sistema e tutte le applicazioni che utilizzano la rete.
• Le password devono essere adeguate, voglio dire, con un minimo di 8 caratteri e un grande dizionario.
• Sicurezza perimetrale: un buon firewall e IDS non danneggerebbe.
• Non avere porte aperte che non offrono un servizio attivo e aggiornato.
• Crea copie di backup in base alle esigenze di ogni caso e conservale in luoghi sicuri.
• Se lavori con dati sensibili, crittografia degli stessi.
• Crittografia anche delle comunicazioni.
• Formazione e sensibilizzazione degli utenti.

Spero ti sia piaciuta questa intervista, continueremo a fare di più. Ti ringraziamo per aver lasciato il tuo opinioni e commenti...