היום אנו מראיינים אך ורק עבור LxA פרנסיסקו נדאדור, המתמחה בזיהוי פלילי למחשבים, נלהב מאבטחת מחשבים, פריצות ובדיקות חדירה. פרנסיסקו סיים את לימודיו באוניברסיטת אלקלה דה הנארס וכעת מנהל מסובך, המוקדש לשיעורי הוראה בנושאי אבטחה ומציע שירותים הקשורים לנושא זה עבור חברות.
הוא סיים תואר שני (אוניברסיטה פתוחה בקטלוניה) בנושא אבטחת מחשבים המתמחה בשני נושאים, ניתוח משפטי ואבטחת רשת. מסיבה זו הוא קיבל תואר כבוד ובהמשך הפך לחבר בהתאחדות הלאומית לשמאים ומומחים בתחום השיפוט במחשבים. וכפי שהוא יסביר לנו, הם העניקו לו את מדליית הצלב בהצטיינות חקירה עם תג לבן על הקריירה המקצועית והמחקר שלו. בפרס זכו גם צ'מה אלונסו, אנג'לוצ'ו, ג'וספ אלבורס (מנכ"ל ESET ספרד) וכו '.
Linux Adictos: אנא הסבירו לקוראינו מהי ניתוח פלילי.
פרנסיסקו נדאדור: מבחינתי זה מדע שמנסה לתת תשובות למה שקרה אחרי שאירוע אבטחה במחשב הוא תרחיש דיגיטלי, תשובות מהסוג מה קרה? מתי זה קרה? איך זה קרה? ומה או מי גרם לזה?
LxW: מהעמדה והניסיון שלך, האם פשעי רשת חשובים כל כך מתרחשים עם כל כך הרבה
תדירות בספרד כמו במדינות אחרות?
FN: ובכן, על פי דיווחים שפורסמו על ידי האיחוד האירופי ושהם נחלת הכלל, ספרד נמצאת בתחתית המדינות החדשניות, יחד עם שאר המדינות באזור הדרום, הם מחקרים המציעים ביצועים השוואתיים של מחקר וחדשנות מדינות שהן חלק מהאיחוד האירופי. זה כנראה גורם למספר אירועי הביטחון כאן להיות משמעותי והטיפולוגיה שלהם מגוונת.
חברות מסתכנות על בסיס יומיומי, אך בניגוד למה שנראה, כלומר שהן עשויות להגיע מחשיפתן לרשת, מדובר בסיכונים שנגרמים בדרך כלל על ידי החוליה החלשה ביותר ברשת, המשתמש. בכל פעם שהתלות של המכשירים כמו גם מספר אלה המטופלים גדולה יותר, מה שגורם להפרת אבטחה טובה, מחקר שקראתי לאחרונה אמר כי יותר מ 50% מאירועי הביטחון נגרמו על ידי אנשים, עובדים, לשעבר עובדים וכו ', שעולים לחברות אלפי יורו רבים, לדעתי יש רק פיתרון אחד לבעיה זו, הכשרה ומודעות והסמכה גבוהה יותר ב- ISO27001.
באשר לפשעי רשת, יישומים כמו ווטסאפ, ramsonware (לאחרונה נקרא cryptolocker), כמובן, המטבע הווירטואלי bitcoin, נקודות תורפה מסוגים שונים ללא תיקון נוח, תשלום הונאה באינטרנט, שימוש "בלתי מבוקר" ברשתות חברתיות וכו ', הם אלה שתפסו את העמדות הראשונות בדירוג הפשעים הטלמטיים.
התשובה היא "כן", בספרד עבירות סייבר מתרחשות חשובות כמו בשאר המדינות החברות באיחוד האירופי, אך בתדירות גבוהה יותר.
LxW: קיבלת תואר הצטיינות עבור פרויקט הגמר שלך של המאסטר שעשית. מה עוד,
קיבלת פרס ... אנא ספר לנו את כל הסיפור.
FN: ובכן, אני לא מאוד אוהב פרסים או הכרות, האמת היא שהמוטו שלי הוא מאמץ, עבודה, מסירות והתעקשות, להיות עקשניים מאוד להשיג את היעדים שהצבת לעצמך.
עשיתי את המאסטר כי זה נושא שאני מתלהב ממנו, סיימתי אותו בהצלחה ומאז ועד עכשיו התמסרתי אליו באופן מקצועי. אני אוהב חקירה משפטית במחשב, אני אוהב לחפש ולמצוא ראיות ואני מנסה לעשות זאת מהאתיקה הכי מוחצת. הפרס, שום דבר חשוב, רק מישהו חשב שעבודת המאסטר הסופי שלי ראויה לכך, זהו, אני לא נותן לו יותר חשיבות. היום אני הרבה יותר גאה בקורס שפיתחתי להשלמתו באינטרנט בנושא פלילי פלילי למחשבים והוא כעת במהדורה השנייה שלו.
LxW: באילו הפצות GNU / Linux אתה משתמש ביומיום שלך? אני מתאר לעצמי את קאלי לינוקס, DEFT,
מסלול חזרה וסנטוקו? תוכנת הפעלה תוכי?
FN: ובכן שמעת כמה כן. עבור Pentesting Kali ו- Backtrack, Santoku לניתוח פלילי ב- Mobile ו- Deft או Helix, לניתוח פלילי ב- PC (בין היתר), למרות שהם מסגרות, לכולם יש כלים לבצע משימות אחרות הקשורות לפנטנט וניתוח פלילי ממוחשב, אבל יש כלים אחרים שאני אוהב ויש לי גרסת לינוקס כמו נתיחה, תנודתיות, כלים כמו Foremost, testdisk, Photorec, בחלק התקשורת, wireshark, לאיסוף nessus מידע, nmap, כדי לנצל את metasploit בצורה אוטומטית ואת Ubuntu. לחיות CD עצמו, המאפשר להפעיל מכונה ואז, למשל, לחפש תוכנות זדוניות, לשחזר קבצים וכו '.
LxW: אילו כלים קוד פתוח הם המועדפים עליך?
FN: ובכן, אני חושב שהקדם את התשובה לשאלה זו, אך אתעמק במשהו אחר. כדי לפתח את עבודתי אני משתמש בעיקר בכלי קוד פתוח, הם שימושיים ומאפשרים לך לעשות את אותם הדברים כמו אלה שמשלמים עבור רישיון השימוש, ואז, לדעתי, ניתן לבצע את העבודה בצורה מושלמת בעזרת כלים אלה.
כאן מסגרות לינוקס לוקחות את הקופה, כלומר, הן נפלאות. לינוקס היא הפלטפורמה הטובה ביותר לפריסת כלי ניתוח פורנזיים, ישנם כלים רבים יותר למערכת הפעלה זו מאשר לכל אחד אחר וכולם, ובכן, הרוב המכריע הם חופשיים, חופשיים ובמקורות פתוחים, מה שמאפשר להם להיות מְעוּבָּד.
מצד שני, ניתן לנתח מערכות הפעלה אחרות בלי שום בעיה מלינוקס. החיסרון היחיד, אולי, הוא שהיא מורכבת מעט יותר בשימוש ותחזוקה שלה, ומכיוון שהן אינן מסחריות, אין להן תמיכה מתמשכת. המועדפים עליי, אמרתי אותם בעבר, דפט, נתיחה, תנודתיות ועוד.
LxW: אתה יכול לספר לנו קצת על ערכת Sleuth ... מה זה? יישומים?
FN: ובכן, כבר דיברתי בדרך על הכלים הללו בנקודות הקודמות. זוהי סביבה לביצוע ניתוח מחשב משפטי, דימויו, "כלב הכלב", ובנוסף בגרסה האחרונה הכלב מתמודד עם האמת worse.
החוליה החשובה ביותר בקבוצת כלים זו, נתיחה.
הם כלי נפח מערכות המאפשרים בחינת תמונות פורנזיות ממוחשבות מפלטפורמות שונות באופן "NON-INTRUSIVE", וזה החשוב ביותר בהתחשב במשמעותו בזיהוי פלילי.
יש לו אפשרות להשתמש במצב שורת פקודה, ואז כל כלי מבוצע בסביבת מסוף נפרדת או גם, בצורה הרבה יותר "ידידותית", ניתן להשתמש בסביבה הגרפית, המאפשרת לבצע חקירה במערכת דרך פשוטה.
LxW: האם אתה יכול לעשות את אותו הדבר עם הפצת LiveCD שנקראת HELIX?
FN:ובכן, זוהי עוד אחת מהמסגרות לניתוח מחשב משפטי, גם רב סביבה, כלומר, היא מנתחת תמונות משפטיות של מערכות לינוקס, חלונות ו- Mac, כמו גם תמונות של זיכרון RAM והתקנים אחרים.
אולי הכלים החזקים ביותר שלו הם מיועד לשיבוט מכשירים (בעיקר דיסקים), Aff, כלי לניתוח פלילי הקשור למטא נתונים וכמובן! נתיחה. מלבד אלה יש לו כלים רבים נוספים.
החיסרון, הגרסה המקצועית שלו בתשלום, אם כי יש לו גם גרסה חינמית.
LxW: TCT (ערכת הכלים של Coroner) הוא פרויקט שהוחלף בערכת Sleuth.
להמשיך להשתמש אז?
FN:TCT היה הראשון מבין ערכות הכלים לניתוח פלילי, כלים כמו שודד קברים, לזרוס או findkey הדגישו אותו ולניתוח מערכות ישנות הוא יעיל יותר מקודמו, קצת כמו שקורה עם חזרה וקאלי, אני עדיין משתמש בשניהם, למשל.
LxW: תוכנת הדרכה יצרה את EnCase, שילמה וסגרה. לא נמצא גם עבור מערכות הפעלה אחרות שאינן חלונות. האם זה בהחלט מפצה על תוכנה מסוג זה על ידי חלופות בחינם? אני חושב שלמעשה כל הצרכים מכוסים בפרויקטים בחינם ובחינם, או שאני טועה?
FN: אני חושב שכבר עניתי על זה, לדעתי הצנועה לא, זה לא מפצה וכן, כן, כל הצרכים לביצוע ניתוח פלילי ממוחשב מכוסים בפרויקטים בחינם וחינמיים.
LxW: בהתייחס לשאלה שלעיל, אני רואה ש- EnCase מיועד ל- Windows וגם לאחרים
כלים כמו FTK, Xways, לניתוח פלילי, אך גם כלים רבים אחרים לחדירה וביטחון. מדוע להשתמש ב- Windows לנושאים אלה?
FN: לא הייתי יודע לענות על שאלה זו בוודאות, אני משתמש, לפחות, ב 75% מהבדיקות שאני מבצע כלים שפותחו עבור פלטפורמות לינוקס, אם כי אני מכיר בכך שיש יותר ויותר כלים שפותחו למטרות אלה ב- Windows. פלטפורמות, ואני גם מכיר בכך שהעמדתי אותם במבחן ולפעמים אני גם משתמש בזה, כן, כל עוד זה שייך לפרויקטים חופשיים לשימוש.
LxW: שאלה זו עשויה להיות משהו אקזוטי, לקרוא לזה משהו. אך האם אתה חושב שכדי להציג ראיות בניסויים, רק הראיות שמספקות תוכנת קוד פתוח צריכות להיות תקפות ולא הסגורות? תן לי להסביר, זה יכול להיות מחשבה גרועה מאוד ולהאמין שהם הצליחו ליצור תוכנה קניינית שמספקת נתונים שגויים במובן מסוים כדי לפטור מישהו או קבוצות מסוימות ולא תהיה שום דרך לבדוק את קוד המקור כדי לראות מה היא עושה או לא עושה את התוכנה. זה קצת מעוות, אבל אני מבקש ממך לתת את דעתך, להרגיע את עצמך או להיפך, להצטרף לדעה זו ...
FN: לא, אני לא בדעה זו, אני משתמש בעיקר בכלי תוכנה חינמיים ובמקרים רבים פתוחים, אבל אני לא חושב שמישהו מפתח כלים שמספקים נתונים שגויים כדי לפטור מישהו, אם כי נכון שלאחרונה הופיעו כמה תוכניות שהם בכוונה הציעו נתונים שגויים, זה היה במגזר אחר ואני חושב שזה החריג שמאשר את הכלל, באמת, אני לא חושב שכן, ההתפתחויות, לדעתי, נעשות באופן מקצועי, ולפחות במקרה זה, הם מבוססים אך ורק על מדע, ראיות שטופלו מנקודת מבט של מדע, פשוט, זו דעתי ואמונתי.
LxW: לפני מספר ימים טען לינוס טורוואלדס כי אבטחה מוחלטת אינה אפשרית וכי אין להתייחס למפתחים בעניין זה ולתת עדיפות לתכונות אחרות (אמינות, ביצועים, ...). וושינטונג פוסט קלט את המילים הללו והבהיל מכיוון שלינוס טורוואלדס "הוא האיש שעתיד האינטרנט בידיו", בגלל כמות השרתים ושירותי הרשת שעובדים בזכות הגרעין שיצר. איזו דעה מגיעה לך?
FN: אני בהחלט מסכים איתו, אבטחה מוחלטת לא קיימת, אם אתה באמת רוצה אבטחה מוחלטת בשרת, כבה אותו או תנתק אותו מהרשת, תקבר אותו, אבל כמובן, אז, זה כבר לא שרת, איומים תמיד קיימים, מה שעלינו לכסות הם הפגיעות, אשר ניתן להימנע מהן, אך כמובן, תחילה יש למצוא אותן ולעיתים לוקח זמן לבצע חיפוש זה או שאחרים עושים זאת למטרות לא ברורות.
עם זאת, אני מאמין שמבחינה טכנולוגית אנחנו נמצאים בנקודת אבטחה גבוהה מאוד של המערכת, הדברים השתפרו מאוד, עכשיו זו המודעות של המשתמש, כמו שאמרתי בתשובות קודמות, והיא עדיין ירוקה.
LxW: אני מתאר לעצמי שפושעי סייבר מקשים על כל פעם מחדש (TOR, I2P, Freenet, סטגנוגרפיה, הצפנה, הרס עצמי חירום של LUKS, proxy, ניקוי מטא-נתונים וכו '). כיצד פועלים במקרים אלה כדי לספק ראיות בבית המשפט? יש מקרים שאתה לא יכול?
FN: ובכן, אם נכון שהדברים הופכים מורכבים יותר וישנם גם מקרים שלא הצלחתי לפעול, מבלי להמשיך הלאה עם ה- cryptolocker המפורסם, לקוחות התקשרו אלי בבקשה לעזרתנו ולא הצלחנו לעשות הרבה בקשר לזה, כידוע, מדובר בכופר שכופר, תוך ניצול ההנדסה החברתית, שוב המשתמש הוא החוליה החלשה ביותר, מצפין את תוכן הכוננים הקשיחים ומוביל את כל אנשי מקצוע בתחום אבטחת המחשבים, היחידות המדעיות של רשויות אכיפת החוק, יצרני ערכות אבטחה ומנתח פלילי, עדיין איננו מסוגלים להתמודד עם הבעיה.
לשאלה הראשונה, כיצד אנו פועלים להעמיד את הנושאים הללו לדין, ובכן כיצד נעשה עם כל הראיות, כלומר, עם אתיקה מקצועית, גם כלים מתוחכמים, ידע במדע וניסיון למצוא את התשובות לשאלות ש בשאלה הראשונה, ששווה את היתירות שהסברתי, אני לא מוצא הבדל, מה שקורה הוא שלפעמים התשובות הללו לא נמצאות.
LxW: האם היית ממליץ לחברות לעבור ללינוקס? למה?
FN: לא הייתי אומר כל כך הרבה, זאת אומרת, אני חושב שאם יש לי משהו ללא רישיון שמספק לי את אותם שירותים כמו משהו שעולה כסף, למה להוציא אותו? שאלה אחרת היא שהוא לא מספק לי את אותו הדבר שירותים, אך האם זה כן. לינוקס היא מערכת הפעלה שנולדה מנקודת מבטו של שירות הרשת ומציעה תכונות דומות לשאר הפלטפורמות בשוק, וזאת הסיבה שרבים בחרו בה בעזרת הפלטפורמה שלהם, למשל, להציע שירות אינטרנט. , ftp וכו ', אני בהחלט משתמש בו ולא רק כדי להשתמש בהפצות פליליות אלא גם כשרת במרכז ההדרכה שלי, יש לי חלונות על המחשב הנייד שלי מכיוון שהרישיון משולב במכשיר, למרות זאת אני זורק הרבה וירטואליזציות לינוקס.
בתשובה לשאלה, לינוקס אינה עולה, יש מספר הולך וגדל של יישומים הפועלים בפלטפורמה זו ויותר ויותר חברות פיתוח מייצרות מוצרים עבור לינוקס. מצד שני, למרות שהיא אינה חפה מתוכנות זדוניות, מספר הזיהומים נמוך יותר, זאת יחד עם הגמישות שהפלטפורמה נותנת לך להתאים כמו כפפה ליד לצרכים, נותנים לה, לדעתי, מספיק כוח כדי להיות הבחירה הראשונה של כל חברה והכי חשוב, כל אחד יכול לבקר מה התוכנה עושה, שלא לדבר על כך שאבטחה היא אחת החוזקות שלה.
LxW: נכון להיום יש סוג של לוחמת מחשבים בה משתתפות גם ממשלות. ראינו תוכנות זדוניות כמו Stuxnet, Stars, Duqu וכו ', שנוצרו על ידי ממשלות למטרות ספציפיות, כמו גם קושחה נגועה (למשל, לוחות Arduino עם הקושחה המתוקנת שלהם), מדפסות לייזר "מרגלות" וכו'. אך אפילו החומרה לא בורחת מכך, הופיעו גם שבבים ששונו כי בנוסף למשימות שעבורן הם נועדו ככל הנראה, כוללים גם פונקציות נסתרות אחרות וכו '. אפילו ראינו פרויקטים מטורפים משהו כמו AirHopper (סוג של מפתח רדיו של גלי רדיו), BitWhisper (התקפות חום לאיסוף מידע מהקורבן), תוכנות זדוניות שמסוגלות להתפשט באמצעות צליל, ... האם אני מגזים אם אני אומר שהם כבר לא בטוחים או שמחשבים מנותקים מכל רשת?
FN: כפי שכבר הגבתי, המערכת הבטוחה ביותר היא זו שמנותקת ויש שאומרים שהיא נעולה בבונקר, בנאדם אם היא מנותקת אני חושב שהיא גם די בטוחה, אבל זו לא השאלה, זאת אומרת, לדעתי השאלה היא לא כמות האיומים הקיימים, ישנם יותר ויותר מכשירים המחוברים זה לזה, מה שמרמז על מספר רב יותר של פגיעות והתקפות מחשב מסוגים שונים, תוך שימוש, כפי שביטאת היטב בשאלה, בסדקים שונים ותקיפת וקטורים, אבל אני חושב שלא עלינו למקד את הנושא בניתוק כדי להיות בטוחים, עלינו להתמקד באבטחת כל השירותים, המכשירים, התקשורת וכו ', כפי שכבר ציינתי, אם כי נכון שמספר האיומים הוא גדול, זה לא פחות נכון שמספר טכניקות האבטחה הוא לא פחות גדול, חסר לנו הגורם האנושי, הכשרה למודעות וביטחון, לא יותר והבעיות שלנו, אפילו מחוברות, יהיו פחות.
LxW: אנו מסיימים בחוות הדעת האישית וכמומחה אבטחה שמגיע למערכות אלה, תוכל גם לספק לנו נתונים שקשה יותר לאבטח עליהם ולמצוא יותר חורי אבטחה:
לגבי שאלת מיליון הדולר, איזו מערכת היא הבטוחה ביותר, התשובה ניתנה לפני כן, אף אחת מהן אינה מאובטחת ב 100% לרשת.
Windows אינו יודע את קוד המקור שלו, כך שאיש אינו יודע בדיוק מה הוא עושה או כיצד הוא עושה זאת, למעט מפתחים כמובן. מלינוקס קוד המקור ידוע, וכפי שאמרתי, האבטחה היא אחת החוזקות שלה, כנגדה היא שהיא פחות ידידותית ויש הרבה הפצות. ממק OS, הצד החזק שלה, המינימליזם שחוזר לפרודוקטיביות, זה היא מערכת אידיאלית למתחילים. מכל הסיבות הללו, לדעתי הקשה ביותר לאבטחה הוא Windows, למרות העובדה שהמחקרים האחרונים מגלים שהוא זה עם הכי פחות פגיעות, ובכן מלבד הדפדפן שלך. לדעתי, אין טעם לאשר שמערכת הפעלה זו או אחרת פגיעה פחות או יותר, יש לקחת בחשבון את כל הגורמים בהם היא מושפעת, נקודות תורפה, יישומים מותקנים, משתמשים זהים וכו '. לאחר שנלקח בחשבון כל האמור לעיל, אני סבור כי יש לבצר את המערכות בכל מיני אמצעי אבטחה, באופן כללי וחלים על כל מערכת, ניתן לסכם את ביצורה של אותן הן נקודות בסיסיות אלה:
- עדכון: שמור תמיד על נקודה זו במערכת ובכל היישומים המשתמשים ברשת.
- סיסמאות חייבות להיות מספקות, כלומר, עם מינימום 8 תווים ומילון גדול.
- אבטחה היקפית: חומת אש טובה ו- IDS לא יזיקו.
- אין יציאות פתוחות שאינן מציעות שירות פעיל ומעודכן.
- צור עותקי גיבוי בהתאם לצרכים של כל מקרה ושמור במקומות בטוחים.
- אם אתה עובד עם נתונים רגישים, הצפנה של אותם.
- הצפנת תקשורת גם כן.
- הדרכה ומודעות למשתמשים.
אני מקווה שאהבתם את הראיון הזה, נמשיך לעשות יותר. אנו מעריכים שעזבת את דעות והערות...
אהבתי את הראיון.
ובכן, גורם המפתח. המשתמש.
המערכת גם דטרמיניסטית. באזוטרי של חלונות אני חושב שזה המפתח. בניגוד לינוקס, שדורש זמן. זה בכלל לא מתורגם, אבל כן נותן לינוקס בונוס.
מעניין כל מה שהועלה. הייתי רוצה לדעת קצת יותר על Helix והשימושיות שלו