Francisco Nadador는 법의학 분석 세계에서 자신의 경험에 대해 이야기합니다.

오늘 LxA Francisco Nadador 전용 인터뷰, 컴퓨터 포렌식 전문, 컴퓨터 보안, 해킹 및 침투 테스트에 대한 열정. Francisco는 University of Alcalá de Henares를 졸업했으며 현재 Complumatic, 보안 주제에 대한 강의에 전념하고 회사를 위해이 주제와 관련된 서비스를 제공합니다.

그는 포렌식 분석과 네트워크 보안이라는 두 가지 주제를 전문으로하는 컴퓨터 보안 석사 (Open University of Catalonia)를 마쳤습니다. 이러한 이유로 그는 명예 학위를 받았고 나중에 전미 컴퓨터 사법 감정사 및 전문가 협회의 회원이되었습니다. 그리고 그가 우리에게 설명 하듯이 그들은 그에게 흰색 배지와 함께 수사 공로로 십자가 메달을주었습니다. 그의 전문 경력과 연구를 위해. Chema Alonso, Angelucho, Josep Albors (ESET 스페인 CEO) 등도 수상했습니다.

Linux Adictos: 포렌식 분석이 무엇인지 독자들에게 설명해주십시오.

Francisco Nadador : 제게는 컴퓨터 보안 사고 이후에 일어난 일에 대한 해답을 제공하는 것이 과학입니다. 디지털 시나리오는 무슨 일이 있었는지, 언제 일어 났는지, 어떻게 된 거죠? 그리고 그 원인은 무엇입니까?

LxA : 귀하의 위치와 경험에서 이러한 중요한 사이버 범죄가 너무 많이 발생합니까?
다른 나라에서와 같이 스페인에서 빈도?

FN : 글쎄요, EU가 발표하고 공개 된 보고서에 따르면 스페인은 남부 지역의 나머지 국가와 함께 혁신 국가의 최하위에 있습니다. 그들은 비교 연구와 혁신 성과를 제공하는 연구입니다 EU에 속한 국가. 이로 인해 여기에서 보안 사고의 수가 중요하고 유형이 다양 할 수 있습니다.
기업은 매일 위험을 감수하지만, 네트워크 노출로 인해 발생할 수있는 것처럼 보이는 것과는 달리 일반적으로 체인에서 가장 약한 링크 인 사용자로 인해 발생하는 위험입니다. 처리되는 장치의 수와 장치의 의존도가 높아질 때마다 보안 위반이 발생합니다. 최근에 읽은 연구에 따르면 보안 사고의 50 % 이상이 사람, 작업자, -노동자 등이 회사에 수천 유로의 비용을들이는 등, 제 생각에는 ISO27001에서이 문제, 교육 및 인식 및 더 큰 인증에 대한 해결책은 단 하나뿐입니다.
사이버 범죄의 경우 WhatsApp, ramsonware (최근에 cryptolocker라고 함)와 같은 애플리케이션, 가상 화폐 비트 코인, 편리한 패치가없는 다양한 종류의 취약성, 인터넷에서의 사기 결제, 소셜 네트워크의 "제어되지 않은"사용 등이 있습니다. 텔레 매틱 범죄 순위에서 XNUMX 위를 차지한 사람들입니다.
대답은 "예"입니다. 스페인에서 사이버 범죄는 나머지 EU 회원국만큼 중요하지만 더 자주 발생합니다.

LxA : 당신은 당신이 한 마스터의 마지막 프로젝트에 대한 명예 입학을 받았습니다. 또 뭔데,
당신은 상을 받았습니다 ... 모든 이야기를 들려주세요.

FN : 글쎄요, 저는 상이나 인정을별로 좋아하지 않습니다. 진실은 제 좌우명이 노력, 일, 헌신 및 고집이며, 당신이 설정 한 목표를 달성하기 위해 매우 끈질 기게 행동한다는 것입니다.
제가 열정을 가지고있는 주제이기 때문에 마스터를했고, 성공적으로 끝냈고 그때부터 지금까지 전문적으로 헌신했습니다. 저는 컴퓨터 법의학 조사를 좋아하고 증거를 검색하고 찾는 것을 좋아하며 가장 압도적 인 윤리에서 그것을 시도합니다. 중요한 것은 아무것도 아니고 누군가 제 최종 마스터 작품이 그럴 자격이 있다고 생각했습니다. 그게 더 중요하지 않습니다. 오늘 저는 컴퓨터 포렌식에 대한 온라인 완료를 위해 개발 한 과정이 훨씬 더 자랑 스럽습니다.이 과정은 현재 두 번째 버전입니다.

LxA : 매일 어떤 GNU / Linux 배포판을 사용하십니까? Kali Linux, DEFT,
백 트랙과 산 토쿠? 앵무새 OS?

FN : 당신은 몇 가지 예라고 말했습니다. Pentesting Kali and Backtrack, Santoku for Forensic analysis on Mobile and Deft or Helix, for forensic analysis on PC (특히), 프레임 워크이지만, 모두 침투 테스트 및 컴퓨터 법의학 분석과 관련된 다른 작업을 수행하는 도구를 가지고 있습니다. 그러나 내가 좋아하는 다른 도구가 있으며 부검, 휘발성, Foremost, testdisk, Photorec과 같은 도구, 통신 부분에서 wireshark, 정보 nessus, nmap, 자동화 된 방식으로 메타 스플 로이트를 악용하기위한 ubuntu와 같은 Linux 버전이 있습니다. 라이브 자체 CD를 사용하면 컴퓨터를 시작한 다음 맬웨어 검색, 파일 복구 등을 수행 할 수 있습니다.

LxA : 가장 좋아하는 오픈 소스 도구는 무엇입니까?

FN : 이 질문에 대한 답에서 앞서 나간 것 같지만 다른 것에 대해 알아볼 것입니다. 내 작업을 개발하기 위해 주로 오픈 소스 도구를 사용하는데, 그것들은 유용하고 당신이 사용 라이센스에 대해 지불하는 것과 같은 일을 할 수 있도록 해준다. 그리고 내 생각에는 이러한 도구로 작업을 완벽하게 수행 할 수 있다고 생각한다.
여기에서 Linux 프레임 워크는 대박을 차지합니다. 즉, 훌륭합니다. Linux는 포렌식 분석 도구 배포를위한 최고의 플랫폼입니다.이 운영 체제에는 다른 모든 도구보다 더 많은 도구가 있습니다. 오히려 대부분은 무료이며, 무료이며, 오픈 소스입니다. 적응.
반면에 다른 운영체제는 리눅스에서 문제없이 분석 할 수 있습니다. 유일한 단점은 아마도 사용 및 유지 관리가 조금 더 복잡하고 상용이 아니기 때문에 문제가 없다는 것입니다. 지속적인 지원. 제가 가장 좋아하는 것은 Deft, Autopsy, Volatility 등입니다.

LxA : The Sleuth Kit에 대해 조금 말씀해 주시겠습니까? 응용 프로그램?

FN : 글쎄, 나는 이미 이전 요점에서 이러한 도구에 대해 이야기했습니다. 포렌식 컴퓨터 분석을 수행하는 환경으로, 그 이미지 "하운드 독", 잘 최신 버전에서 개는 더 나쁜 천재, 진실 의 얼굴을 가지고 있습니다.
이 도구 그룹에서 가장 중요한 링크는 부검입니다.
이들은 서로 다른 유형의 플랫폼의 컴퓨터 포렌식 이미지를 "비 간섭 적"방식으로 검사 할 수있는 시스템의 볼륨 도구이며 포렌식에서 그 중요성을 감안할 때 가장 중요합니다.
명령 줄 모드에서 사용할 가능성이 있으며 각 도구는 별도의 터미널 환경에서 실행되거나 훨씬 "친숙한"방식으로 그래픽 환경을 사용할 수 있습니다. 간단한 방법.

LxA : HELIX라는 LiveCD 배포판에서도 똑같이 할 수 있습니까?

FN :음, 그것은 포렌식 컴퓨터 분석을위한 또 다른 프레임 워크이자 다중 환경입니다. 즉, Linux, Windows 및 Mac 시스템의 포렌식 이미지와 RAM 및 기타 장치의 이미지를 분석합니다.
아마도 가장 강력한 도구는 Adept for device cloning (주로 디스크), Aff, 메타 데이터와 관련된 포렌식 분석 도구 및 물론 Autopsy입니다. 이 외에도 더 많은 도구가 있습니다.
단점은 무료 버전도 있지만 전문 버전이 유료라는 것입니다.

LxA : TCT (The Coroner 's Toolkit)는 The Sleuth Kit로 대체 된 프로젝트입니다.
계속 사용 하시겠습니까?

FN :TCT는 포렌식 분석을위한 툴킷 중 첫 번째 툴킷으로 grave-robber, lazarus 또는 findkey와 같은 툴이 강조했으며 이전 시스템 분석의 경우 역 추적 및 칼리에서 발생하는 것과 약간 동일하게 이전 시스템 분석보다 더 효율적입니다. 예를 들어 저는 여전히 둘 다 사용합니다.

LxA : Guidance Software는 EnCase를 만들고 유료 및 폐쇄했습니다. 다른 비 Windows 운영 체제에서도 찾을 수 없습니다. 이러한 유형의 소프트웨어가 무료 대안을 확실히 보완합니까? 실질적으로 모든 요구가 무료 및 무료 프로젝트로 덮여 있다고 믿습니다. 아니면 제가 틀렸습니까?

FN : 나는 이미 이것에 대답했다고 생각합니다. 내 겸손한 의견으로는 아니오, 보상하지 않습니다. 그렇습니다. 컴퓨터 법의학 분석을 수행하는 데 필요한 모든 요구는 무료 및 무료 프로젝트로 덮여 있습니다.

LxA : 위의 질문을 참조하면 EnCase가 Windows 및 기타
포렌식 분석을위한 FTK, Xways와 같은 도구뿐만 아니라 침투 및 보안을위한 다른 많은 도구도 있습니다. 이 주제에 Windows를 사용하는 이유는 무엇입니까?

FN : 이 질문에 확실하게 대답하는 방법을 모르겠습니다. 저는 Linux 플랫폼 용으로 개발 된 도구를 수행하는 테스트의 75 % 이상에서 Windows에서 이러한 목적으로 개발 된 도구가 점점 더 많이 있다는 것을 알고 있습니다. 또한 무료로 사용할 수있는 프로젝트에 속하는 한, 테스트에 적용하고 때로는 사용하기도합니다.

LxA : 이 질문은 다소 이국적 일 수 있습니다. 그러나 재판에서 증거를 제시하려면 오픈 소스 소프트웨어가 제공하는 증거 만 유효해야하며 폐쇄 된 것이 아니어야한다고 생각하십니까? 설명해 드리죠. 그것은 매우 나쁜 생각 일 수 있으며, 어떤 의미에서 잘못된 데이터를 제공하는 독점 소프트웨어를 만들어 누군가 또는 특정 그룹을 훼손 할 수 있다고 믿게되었으며 소스 코드를 검토하여 무엇을 볼 수있는 방법이 없을 것입니다. 해당 소프트웨어를 수행하거나 수행하지 않습니다. 약간 뒤틀 렸지만, 나는 당신에게 당신의 의견을 말하고, 자신을 안심 시키거나, 반대로이 의견에 동참 해달라고 요청하고 있습니다.

FN : 아니요, 저는 그런 의견이 아닙니다. 저는 대부분 무료 소프트웨어 도구를 사용하고 많은 경우 개방되어 있습니다.하지만 최근에 일부 프로그램이 등장한 것은 사실이지만 누구든지 누군가를 훼손하기 위해 잘못된 데이터를 제공하는 도구를 개발한다고 생각하지 않습니다. 그들이 의도적으로 잘못된 데이터를 제공했다는 것, 그것은 다른 분야에 있었고, 규칙을 확인하는 것은 예외라고 생각합니다. 정말로, 저는 그렇게 생각하지 않습니다. 제 생각에는 개발이 전문적으로 이루어지고, 적어도이 경우에는, 그것들은 오로지 과학, 과학의 관점에서 취급되는 증거, 즉 내 의견과 믿음에 기반합니다.

LxA : 며칠 전 Linus Torvalds는 완전한 보안이 불가능하며 개발자가이 점에 집착해서는 안되며 다른 기능 (신뢰성, 성능 등)에 우선 순위를 두어서는 안된다고 주장했습니다. Washintong Post는이 말을 집어 들고 Linus Torvalds가 자신이 만든 커널 덕분에 작동하는 서버와 네트워크 서비스의 양으로 인해 "미래의 인터넷을 손에 쥐고있는 사람"이기 때문에 놀랐습니다. 어떤 의견을받을 자격이 있습니까?

FN : 나는 그에게 절대적으로 동의합니다. 전체 보안은 존재하지 않습니다. 서버에 대한 전체 보안을 원한다면 끄거나 네트워크에서 연결을 끊고 묻어 두십시오.하지만 물론 더 이상 서버가 아닙니다. 위협은 항상 존재합니다. 우리가 다루어야하는 것은 피할 수있는 취약성입니다. 그러나 물론 먼저 발견되어야하며 때로는이 검색을 수행하는 데 시간이 걸리거나 다른 사람들이 모호한 목적으로 수행합니다.
그러나 나는 기술적으로 우리가 매우 높은 시스템 보안 지점에 있다고 믿고 상황이 많이 개선되었으며 이전 답변에서 말했듯이 이제는 사용자의 인식이며 여전히 녹색입니다.

LxA : 저는 사이버 범죄자들이 매번 더 어렵게 만들고 있다고 생각합니다 (TOR, I2P, Freenet, 스테 가노 그래피, 암호화, LUKS의 긴급자가 파괴, 프록시, 메타 데이터 정리 등). 재판에서 증거를 제공하기 위해 이러한 경우 어떻게 행동합니까? 할 수없는 경우가 있습니까?

FN : 글쎄요, 상황이 더 복잡해지고 있다는 것이 사실이고 유명한 cryptolocker와 더 이상 진행하지 않고 내가 행동 할 수 없었던 경우도 있다면 클라이언트는 내게 도움을 요청하고 우리는 할 수 없었습니다 알려진 바와 같이 사회 공학을 활용하여 사용자가 다시 한 번 가장 약한 링크이고 하드 드라이브의 콘텐츠를 암호화하고 모든 컴퓨터 보안 전문가, 법의 과학 단위를 이끌고있는 랜섬웨어입니다. 집행, 보안 제품군 제조업체 및 법의학 분석가는 아직 문제를 해결할 수 없습니다.
첫 번째 질문에 대해, 우리는 이러한 문제를 재판에 가져 오기 위해 어떻게 행동해야하는지, 모든 증거를 어떻게 처리해야하는지, 즉 전문적인 윤리, 정교한 도구, 과학 지식을 가지고 질문에 대한 답을 찾으려고 노력합니다. 내가 설명한 중복의 가치가있는 첫 번째 질문에서 차이점을 찾지 못했습니다. 때때로 이러한 답변을 찾을 수 없습니다.

LxA : 회사에서 Linux로 전환하도록 권장 하시겠습니까? 왜?

FN : 나는 그렇게 많이 말하지 않을 것입니다. 즉, 비용이 드는 것과 동일한 서비스를 제공하는 면허가없는 것이 있다면 왜 사용합니까? 또 다른 질문은 동일한 서비스를 제공하지 않았다는 것입니다. ,하지만 그렇다면. Linux는 네트워크상의 서비스 관점에서 탄생 한 운영 체제이며 시장에 나와있는 나머지 플랫폼과 유사한 기능을 제공합니다. 그렇기 때문에 많은 사람들이 자신의 플랫폼과 함께이를 선택하여 웹 서비스, ftp 등, 저는 확실히 그것을 사용하고 법의학 배포판을 사용하는 것뿐만 아니라 교육 센터의 서버로도 사용합니다. 라이센스가 장치에 통합되어 있기 때문에 랩톱에 Windows가 있으므로 많이 던졌습니다. 가상화 Linux.
이 질문에 대한 답으로, Linux는 비용이 들지 않으며이 플랫폼에서 실행되는 애플리케이션의 수가 증가하고 있으며 점점 더 많은 개발 회사가 Linux 용 제품을 만들고 있습니다. 반면에 멀웨어가없는 것은 아니지만 감염 수는 더 적습니다. 이는 플랫폼이 필요에 따라 장갑처럼 적응할 수있는 유연성과 함께 제 생각에 충분한 힘을 제공합니다. 모든 회사의 첫 번째 선택이자 가장 중요한 것은 보안이 강점 중 하나라는 것은 말할 것도없고 모든 사람이 소프트웨어의 기능을 감사 할 수 있다는 것입니다.

LxA : 현재 정부도 참여하는 일종의 컴퓨터 전쟁이 있습니다. 특정 목적을 위해 정부에서 생성 한 Stuxnet, Stars, Duqu 등과 같은 악성 코드와 감염된 펌웨어 (예 : 수정 된 펌웨어가있는 Arduino 보드), "스파이"레이저 프린터 등을 확인했습니다. 그러나 하드웨어조차도 이것을 피하지 못하고 수정 된 칩도 나타났습니다. 이는 분명히 설계된 작업 외에도 다른 숨겨진 기능 등을 포함합니다. 우리는 AirHopper (일종의 전파 키로거), BitWhisper (피해자로부터 정보를 수집하기위한 열 공격), 소리로 퍼질 수있는 악성 코드와 같은 다소 미친 프로젝트를 본 적이 있습니다. 더 이상 안전하지 않거나 컴퓨터가 네트워크에서 분리 되었습니까?

FN : 이미 언급했듯이 가장 안전한 시스템은 꺼져있는 시스템이고 일부는 벙커에 갇혀 있다고 말합니다. 연결이 끊어지면 안전하다고 생각하지만 그게 문제가 아닙니다. 제 생각에 문제는 기존 위협의 양이 아니라, 점점 더 많은 장치가 상호 연결되어 있다는 것입니다. 이는 질문에서 잘 표현한 것처럼 다양한 종류의 컴퓨터 공격과 취약성을 의미합니다. 안전을 위해 단절 문제에 초점을 맞춰야하고, 이미 언급했듯이 모든 서비스, 장치, 통신 등을 보호하는 데 초점을 맞춰야합니다. 위협의 수가 많은 것은 사실이지만 보안 기술의 수가 그다지 많지 않고 인적 요소, 인식 및 보안 교육이 부족하고 더 이상 아무것도 없으며 연결된 문제도 줄어들 것입니다.

LxA : 우리는 개인적인 의견으로 끝을 맺고 이러한 시스템에 적합한 보안 전문가로서 보안이 더 어려운 데이터를 제공하고 더 많은 보안 허점을 찾을 수도 있습니다.

어떤 시스템이 가장 안전한지 백만 달러짜리 질문에 관해서는 이전에 답변을 받았지만 네트워크에 연결된 100 % 안전한 것은 없습니다.
Windows는 소스 코드를 모르기 때문에 개발자를 제외하고는 그것이 무엇을하는지, 어떻게하는지 정확히 알지 못합니다. Linux의 소스 코드는 알려져 있으며, 제가 말했듯이 보안은 그 강점 중 하나입니다. 그에 반하는 것은 덜 친숙하고 배포판이 많다는 것입니다. Mac OS의 강점, 생산성으로 돌아가는 미니멀리즘, 초보자에게 이상적인 시스템입니다. 이러한 모든 이유로, 제 생각에 가장 보안하기 어려운 것은 Windows입니다. 최근 연구에서 브라우저를 제외하고는 취약점이 가장 적은 것으로 밝혀 졌음에도 불구하고 Windows입니다. 제 생각에는이 운영 체제가 어느 정도 취약하다고 말하는 것은 말이되지 않습니다. 영향을받는 모든 요소, 취약성, 설치된 애플리케이션, 사용자 등을 고려해야합니다. 위의 모든 사항을 고려한 후에는 시스템이 모든 종류의 보안 조치로 강화되어야한다고 생각합니다. 일반적으로 모든 시스템에 적용 할 수 있습니다. 동일한 강화는 다음 기본 사항에 요약 될 수 있습니다.

• 업데이트 : 시스템 및 네트워크를 사용하는 모든 응용 프로그램에서이 지점을 항상 최신 상태로 유지하십시오.
• 암호는 최소한 8 자 이상이고 큰 사전으로 충분해야합니다.
• 경계 보안 : 좋은 방화벽과 IDS는 해가되지 않습니다.
• 활성 및 업데이트 된 서비스를 제공하지 않는 열린 포트가 없습니다.
• 각 케이스의 필요에 따라 백업 사본을 만들어 안전한 장소에 보관하십시오.
• 민감한 데이터로 작업하는 경우 동일한 암호화.
• 통신 암호화도 마찬가지입니다.
• 사용자 교육 및 인식.

이 인터뷰가 좋았기를 바랍니다. 우리는 더 많이 할 것입니다. 떠나 주셔서 감사합니다 의견 및 의견...