フランシスコ・ナダドールは、フォレンジック分析の世界での彼の経験について語っています

今日 LxAフランシスコナダドールのためだけにインタビューします、コンピュータフォレンジックを専門とし、コンピュータセキュリティ、ハッキング、侵入テストに情熱を注いでいます。 フランシスコはアルカラデエナレス大学を卒業し、現在は監督を務めています 複雑、セキュリティトピックに関するクラスの指導に専念し、このトピックに関連するサービスを企業に提供します。

彼は、法医学分析とネットワークセキュリティのXNUMXつのトピックに特化したコンピュータセキュリティの修士号（カタルーニャオープン大学）を修了しました。 このため、彼は名誉学位を取得し、後に全米コンピュータ司法鑑定士および専門家協会の会員になりました。 そして彼が私たちに説明するように、 彼らは彼に白いバッジで調査のメリットのためのクロスメダルを与えました 彼のプロとしてのキャリアと研究に対して。 また、Chema Alonso、Angelucho、Josep Albors（ESET SpainのCEO）なども受賞しました。

Linux Adictos: フォレンジック分析とは何かを読者に説明してください。

フランシスコナダドール： 私にとっては、コンピュータセキュリティインシデントがデジタルシナリオになった後に何が起こったのか、「何が起こったのか？いつ起こったのか？どのように起こったのか？」というタイプの答えを出そうとする科学です。 そして、それを引き起こしたのは何ですか？

LxA： あなたの立場と経験から、非常に多くのことで生み出されたそのような重要なサイバー犯罪はありますか
他の国のようにスペインの頻度？

FN： さて、EUが発表し、パブリックドメインにあるレポートによると、スペインは南部地域の他の国々と同様に革新的な国の最下位にあり、それらは比較研究と革新的なパフォーマンスを提供する研究です。 EUの一部である国。 これにより、おそらくここでのセキュリティインシデントの数が重要になり、その類型が多様になります。
企業は日常的にリスクを負っていますが、ネットワークへの露出から生じると思われるリスクとは逆に、通常はチェーン内の最も弱いリンクであるユーザーによって引き起こされるリスクです。 最近読んだ調査によると、デバイスの依存度と処理されるデバイスの数が増えるたびに、セキュリティ違反が発生し、セキュリティインシデントの50％以上が人、労働者、元何千ユーロもの費用がかかる労働者など、私の意見では、この問題の解決策は27001つだけであり、トレーニングと認識、およびISOXNUMXでのより高い認証です。
サイバー犯罪に関しては、WhatsApp、ラムソンウェア（最近はクリプトロッカーと呼ばれる）、もちろん、仮想通貨ビットコイン、便利なパッチを適用しないさまざまな種類の脆弱性、インターネットでの不正な支払い、ソーシャルネットワークの「制御されていない」使用などのアプリケーション。テレマティック犯罪のランキングで最初の位置を占めているものです。
答えは「はい」です。スペインでは、サイバー犯罪は他のEU加盟国と同じくらい重要ですが、より頻繁に発生します。

LxA： あなたはあなたがしたマスターのあなたの最後のプロジェクトのために名誉の入学を受け取りました。 そのうえ、
受賞しました…全体を教えてください。

FN： まあ、私は賞や表彰があまり好きではありません、真実は、私のモットーは努力、仕事、献身と主張であり、あなたがあなた自身のために設定した目的を達成するために非常に粘り強くあります。
私はそれが私が情熱を持っている主題であるためにマスターをしました、私はそれを首尾よく終えました、そしてそれから今まで私はそれに専門的に専念してきました。 私はコンピューターフォレンジック調査が大好きで、証拠を検索して見つけるのが好きで、最も圧倒的な倫理からそれをやろうとしています。 賞は、重要なことではなく、誰かが私のファイナルマスターの仕事がそれに値すると思っただけです。それだけです。私はそれ以上の重要性を与えません。 今日、私はコンピュータフォレンジックでオンラインで修了するために開発したコースをはるかに誇りに思っています。このコースは現在第XNUMX版になっています。

LxA： 日常的にどのGNU / Linuxディストリビューションを使用していますか？ Kali Linux、DEFT、
バックトラックと三徳？ オウムOS？

FN： さて、あなたはいくつかのはいを挙げました。 ペンテストのKaliとBacktrackの場合、Santoku for Mobile and DeftまたはHelixのフォレンジック分析、PCのフォレンジック分析（とりわけ）はフレームワークですが、すべてにペンテストとコンピューターフォレンジック分析に関連する他のタスクを実行するツールがあります。しかし、私が気に入っている他のツールがあり、autopsy、volatility、Foremost、testdisk、Photorecなどのツール、通信部分、wireshark、情報を収集するためのnessus、nmap、metasploitを自動化された方法で活用するためのツール、Ubuntuがあります。 live自体がcdです。これにより、マシンを起動してから、たとえば、マルウェアの検索、ファイルの回復などを行うことができます。

LxA： あなたのお気に入りのオープンソースツールは何ですか？

FN： さて、私はこの質問への答えを先取りしたと思いますが、私は何か他のものを掘り下げます。 私の仕事を発展させるために、私は主にオープンソースツールを使用します。それらは便利で、使用ライセンスごとに支払われるものと同じことを行うことができます。そして、私の意見では、これらのツールで仕事を完璧に実行できます。
ここで、Linuxフレームワークは大当たりです。つまり、すばらしいものです。 Linuxは、フォレンジック分析ツールの展開に最適なプラットフォームです。このオペレーティングシステムには、他のどのツールよりも多くのツールがあり、そのすべてが無料で、無料で、オープンソースであるため、適合しました。
一方、他のオペレーティングシステムはLinuxから問題なく分析できます。唯一の欠点は、おそらく、使用と保守が少し複雑であり、商用ではないため、継続的なサポート。 私のお気に入りは、前に言った、巧みな、剖検、ボラティリティ、その他。

LxA： The Sleuth Kitについて少し教えてください…それはなんですか？ アプリケーション？

FN： さて、私は前のポイントでこれらのツールについてすでにある意味で話しました。 フォレンジックコンピュータ分析を実行する環境であり、そのイメージである「ハウンドドッグ」は、最新バージョンでは、犬はより悪い天才、真実を持っているという顔をしています。
このツールグループの中で最も重要なリンクである剖検。
これらは、さまざまなプラットフォームからのコンピュータフォレンジック画像を「非侵入的」な方法で検査できるシステムボリュームツールであり、フォレンジックにおけるその重要性を考えると、これが最も重要です。
コマンドラインモードで使用する可能性があり、各ツールは個別の端末環境で実行されます。また、はるかに「使いやすい」方法で、グラフィカル環境を使用して、調査を実行できます。簡単な方法。

LxA： HELIXと呼ばれるLiveCDディストリビューションでも同じことができますか？

FN：これは、フォレンジックコンピューター分析のフレームワークのXNUMXつであり、マルチ環境でもあります。つまり、Linux、Windows、Macシステムのフォレンジックイメージ、およびRAMやその他のデバイスのイメージを分析します。
おそらく、その最も強力なツールは、デバイスのクローン作成（主にディスク）に適したツール、メタデータに関連するフォレンジック分析用のツールであるAff、そしてもちろん剖検です。 これらに加えて、それはより多くのツールを持っています。
欠点は、無料バージョンもありますが、プロフェッショナルバージョンは有料です。

LxA： TCT（The Coroner's Toolkit）は、The SleuthKitに置き換えられたプロジェクトです。
それでも使い続けますか？

FN：TCTは、フォレンジック分析用の最初のツールキットであり、grave-robber、lazarus、findkeyなどのツールがそれを強調し、古いシステムの分析では、バックトラックやカリで発生するのと少し同じように、以前のシステムよりも効率的です。たとえば、私はまだ両方を使用しています。

LxA： Guidance SoftwareはEnCaseを作成し、支払いを済ませて閉鎖しました。 他のWindows以外のオペレーティングシステムでも見つかりません。 それは確かに無料の代替品を持つことによってこのタイプのソフトウェアを補いますか？ 事実上すべてのニーズは無料と無料のプロジェクトでカバーされていると思いますか、それとも私は間違っていますか？

FN： 私はすでにこれに答えたと思います、私の控えめな意見ではいいえ、それは補償しません、そしてはい、コンピュータフォレンジック分析を実行するためのすべての必要性は無料と無料のプロジェクトでカバーされています。

LxA： 上記の質問を参照すると、EnCaseはWindows用であり、他の
フォレンジック分析用のFTK、Xwaysなどのツールだけでなく、侵入とセキュリティ用の他の多くのツールもあります。 これらのトピックにWindowsを使用する理由

FN： その質問に確実に答える方法がわかりません。少なくとも、Linuxプラットフォーム用に開発されたツールを実行するテストの75％で使用していますが、Windows上でこれらの目的のために開発されたツールがますます増えていることを認識しています。プラットフォーム、そして私はそれらをテストしたことも認識しており、自由に使用できるプロジェクトに属している限り、それを使用することもあります。

LxA： この質問は、それを何かと呼ぶために、何かエキゾチックなものかもしれません。 しかし、試験で証拠を提示するには、オープンソースソフトウェアによって提供された証拠のみが有効であり、閉じたものではないと思いますか？ 説明させてください、それは非常に悪い考えであり、誰かまたは特定のグループを免罪するためにある意味で誤ったデータを提供するプロプライエタリソフトウェアを作成することができ、ソースコードをレビューして何を確認する方法がないと信じるようになる可能性がありますそのソフトウェアを実行するかしないか。 少しねじれていますが、あなたが意見を述べたり、安心したり、逆にこの意見に参加したりできるように、私はあなたにそれを提案します...

FN： いいえ、私はその意見ではありません。私はほとんど無料のソフトウェアツールを使用し、多くの場合オープンですが、最近いくつかのプログラムが登場したことは事実ですが、誰かを免罪するために誤ったデータを提供するツールを開発する人はいないと思います。彼らが故意に間違ったデータを提供したこと、それは別のセクターにあったこと、そしてルールを確認するのは例外だと思います、実際、私はそうは思いません、開発は専門的に行われ、少なくともこの場合、それらはもっぱら科学に基づいており、科学の観点から扱われた証拠、つまり、それが私の意見であり、私の信念です。

LxA： 数日前、Linus Torvaldsは、完全なセキュリティは不可能であり、開発者はこの点に執着してはならず、他の機能（信頼性、パフォーマンスなど）を優先すべきではないと主張しました。 ワシントンポストはこれらの言葉を拾い上げ、彼が作成したカーネルのおかげで機能するサーバーとネットワークサービスの量のために、Linus Torvaldsが「インターネットの未来を手にした男」であるため、彼らは警戒していました。 あなたはどのような意見に値しますか？

FN： 私は彼に絶対に同意します。完全なセキュリティは存在しません。サーバーに完全なセキュリティが本当に必要な場合は、サーバーをオフにするか、ネットワークから切断して埋めますが、もちろん、サーバーではなくなり、脅威が発生します。常に存在し、カバーしなければならないのは回避可能な脆弱性ですが、もちろん、最初に発見する必要があり、この検索を実行するのに時間がかかる場合や、他の人があいまいな目的で実行する場合があります。
しかし、技術的には非常に高いシステムセキュリティポイントにあり、状況は大幅に改善されたと思います。以前の回答で述べたように、今ではユーザーの意識であり、それはまだグリーンです。

LxA： サイバー犯罪者が毎回それを難し​​くしていると思います（TOR、I2P、Freenet、ステガノグラフィ、暗号化、LUKSの緊急自己破壊、プロキシ、メタデータクリーニングなど）。 これらの場合、法廷で証拠を提出するためにどのように行動しますか？ できない場合はありますか？

FN： さて、事態がますます複雑になり、有名なクリプトロッカーを使わずに行動できなかった場合もあるとすれば、クライアントから電話があり、助けを求められて、私たちはできませんでした。知られているように、ソーシャルエンジニアリングを利用して、ユーザーが最も弱いリンクであり、ハードドライブのコンテンツを暗号化し、すべてのコンピューターセキュリティ専門家、科学部門をリードしているのはランサムウェアです。法執行機関、セキュリティスイートの製造元、および法医学アナリストは、まだ問題に取り組むことができません。
最初の質問に対して、これらの問題を裁判にかけるためにどのように行動するか、すべての証拠をどのように処理するか、つまり、職業倫理、洗練されたツール、科学の知識、そして次の質問に対する答えを見つけようとすることです。最初の質問では、私が述べた冗長性の価値がありますが、違いは見つかりません。何が起こるかというと、これらの答えが見つからないことがあります。

LxA： Linuxに切り替えることを企業に勧めますか？ どうして？

FN： あまり言いませんが、お金がかかるものと同じサービスを提供するライセンスのないものがあるのなら、なぜそれを使うのでしょうか？別の質問は、それが私に同じものを提供しないということですサービスが、もしそうならそれです。 Linuxは、ネットワークサービスの観点から生まれたオペレーティングシステムであり、市場に出回っている他のプラットフォームと同様の機能を提供します。そのため、多くの人が、たとえばWebサービスを提供するためにプラットフォームでLinuxを選択しています。 、ftpなど、私は確かにそれを使用しており、フォレンジックディストリビューションを使用するだけでなく、トレーニングセンターのサーバーとしても使用しています。ライセンスがデバイスに組み込まれているため、ラップトップにWindowsがあります。それでも、多くの仮想化をスローします。 Linux。
質問に答えると、Linuxはコストがかからず、このプラットフォームで実行されるアプリケーションの数が増え、ますます多くの開発会社がLinux用の製品を製造しています。 一方、マルウェアがないわけではありませんが、感染の数は少なく、プラットフォームが手袋のようにニーズに適応できる柔軟性と相まって、私の意見では、十分な強度があります。あらゆる企業の最初の選択肢であり、何よりも重要なのは、セキュリティがその強みのXNUMXつであることは言うまでもなく、誰もがソフトウェアの機能を監査できることです。

LxA： 現在、政府も参加する一種のコンピューター戦争があります。 政府が特定の目的で作成したStuxnet、Stars、Duquなどのマルウェアや、感染したファームウェア（たとえば、ファームウェアが変更されたArduinoボード）、「スパイ」レーザープリンターなどがあります。 しかし、ハードウェアでさえこれから逃れることはできませんが、明らかに設計されたタスクに加えて、他の隠された機能などを含む変更されたチップも登場しています。 AirHopper（電波キーロガーの一種）、BitWhisper（被害者から情報を収集するための熱攻撃）、音で拡散できるマルウェアなど、ややクレイジーなプロジェクトも見たことがあります。安全でなくなったり、コンピューターがネットワークから切断されたりしていませんか？

FN： すでにコメントしたように、最も安全なシステムはオフになっているシステムであり、バンカーにロックされていると言う人もいます。切断されている場合は、かなり安全だと思いますが、それは問題ではありません。私の意見では、問題は既存の脅威の量ではなく、相互接続されるデバイスがますます増えています。これは、質問でよく表現されているように、さまざまなクラックを使用して、さまざまな種類の脆弱性とコンピューター攻撃の数が多いことを意味します脅威の数は確かですが、すでに述べたように、すべてのサービス、デバイス、通信などのセキュリティ保護に焦点を当てる必要があります。大規模な場合、セキュリティ技術の数が少なくないことは事実です。人的要因、認識、セキュリティトレーニングが不足しており、それ以上の問題はなく、接続されていても問題は少なくなります。

LxA： 私たちは個人的な意見で締めくくり、これらのシステムに値するセキュリティの専門家として、セキュリティを確保するのがより困難なデータを提供し、より多くのセキュリティホールを見つけることもできます。

どのシステムが最も安全であるかという百万ドルの質問に関して、答えは以前に与えられました、ネットワークに接続された100％安全なものはありません。
Windowsはそのソースコードを知らないので、もちろん開発者を除いて、Windowsが何をするのか、どのように行うのかを正確に知る人は誰もいません。 Linuxのソースコードは既知であり、私が言ったように、セキュリティはその長所のXNUMXつですが、それに対して、それは友好的ではなく、多くのディストリビューションがあります。MacOSの長所、生産性に戻るミニマリズム、初心者にとって理想的なシステムです。 これらすべての理由から、私の意見では、セキュリティで保護するのが最も難しいのはWindowsですが、最新の調査では、ブラウザを除いて、脆弱性が最も少ないことが明らかになっています。 私の意見では、このオペレーティングシステムまたはそのオペレーティングシステムが多かれ少なかれ脆弱であると言うのは意味がありません。影響を受けるすべての要因、脆弱性、インストールされているアプリケーション、そのユーザーなどを考慮に入れる必要があります。 上記のすべてを考慮に入れると、システムはあらゆる種類のセキュリティ対策で強化されるべきであり、一般的にどのシステムにも適用可能であると私は信じています。同じ強化はこれらの基本的なポイントに要約できます。

• 更新：システムおよびネットワークを使用するすべてのアプリケーションで、このポイントを常に最新の状態に保ちます。
• パスワードは適切である必要があります。つまり、最低8文字と大きな辞書が必要です。
• 境界セキュリティ：優れたファイアウォールとIDSは害を及ぼしません。
• アクティブで更新されたサービスを提供しない開いているポートがない。
• それぞれのケースのニーズに応じてバックアップコピーを作成し、安全な場所に保管してください。
• 機密データを扱う場合は、同じものを暗号化します。
• 通信の暗号化も同様です。
• ユーザーのトレーニングと認識。

このインタビューが気に入っていただけたら幸いです。 私たちはもっとやり続けます。 私たちはあなたを残してくれてありがとう 意見やコメント...