Šiandien interviu tik LxA Francisco Nadador, specializuojasi kompiuterinės kriminalistikos srityje, aistringai domisi kompiuterių saugumu, įsilaužimais ir įsiskverbimo bandymais. Francisco baigė Alcalá de Henares universitetą ir dabar vadovauja Komplumatiškas, skirta pamokų vedimui saugumo temomis ir siūlo įmonėms su šia tema susijusias paslaugas.
Jis baigė kompiuterių saugumo magistro laipsnį (Katalonijos atvirasis universitetas), kurio specializacija - dvi kriminalistinės analizės ir tinklo saugumo temos. Dėl šios priežasties jis gavo garbės laipsnį, o vėliau tapo Nacionalinės teisminių kompiuterių ekspertų ir ekspertų nacionalinės asociacijos nariu. Ir kaip jis mums paaiškins, Jie jam įteikė kryžiaus medalį už tyrimo nuopelnus su baltu ženkliuku už profesinę karjerą ir tyrimus. Apdovanojimą taip pat pelnė Chema Alonso, Angelucho, Josepas Alborsas (ESET Ispanijos generalinis direktorius) ir kt.
Linux Adictos: Prašau paaiškinti mūsų skaitytojams, kas yra teismo ekspertizė.
Pranciškus plaukikas: Man tai mokslas, kuris bando atsakyti į tai, kas įvyko po to, kai kompiuterio saugumo incidentas yra skaitmeninis scenarijus, atsakymai, kurie įvyko? Kada tai atsitiko? Kaip tai atsitiko? O kas ar kas tai sukėlė?
PxW: Iš jūsų pozicijos ir patirties, ar tokie svarbūs kibernetiniai nusikaltimai yra sukurti tiek daug
dažnumas Ispanijoje, kaip ir kitose šalyse?
FN: Na, remiantis ES paskelbtomis ir viešai prieinamomis ataskaitomis, Ispanija yra prie novatoriškų šalių uodegos, kartu su kitomis pietinio regiono šalimis - tai tyrimai, kurie siūlo lyginamuosius mokslinius tyrimus ir inovacijų efektyvumą. šalių, kurios yra ES dalis. Tai tikriausiai lemia didelį saugumo incidentų skaičių čia ir jų tipologiją.
Įmonės rizikuoja kasdien, tačiau priešingai nei gali atrodyti, tai yra, kad jos gali atsirasti dėl jų veikimo tinkle, tai yra rizika, kurią paprastai sukelia silpniausia grandinės grandis - vartotojas. Kiekvieną kartą, kai prietaisų priklausomybė ir jų skaičius yra didesnis, o tai sukelia gerą saugumo pažeidimą, neseniai perskaitytame tyrime sakoma, kad daugiau nei 50% saugumo incidentų įvyko žmonės, darbuotojai, buvę žmonės -darbuotojams ir kt., kainuojančioms įmonėms daugybę tūkstančių eurų, mano nuomone, yra tik vienas šios problemos sprendimas, mokymai ir informuotumas bei aukštesnis sertifikavimas pagal ISO27001.
Kalbant apie kibernetinius nusikaltimus, tokios programos kaip „WhatsApp“, „ramsonware“ (pastaruoju metu vadinamos „cryptolocker“), be abejo, virtualios valiutos bitkoinas, įvairių rūšių pažeidžiamumai be patogaus pataisymo, apgaulingas mokėjimas internete, „nekontroliuojamas“ socialinių tinklų naudojimas ir kt. yra tie, kurie užėmė pirmąsias pozicijas telematinių nusikaltimų reitinge.
Atsakymas yra „TAIP“, Ispanijoje kibernetiniai nusikaltimai yra tokie pat svarbūs kaip ir kitose ES valstybėse narėse, tačiau dažniau.
PxW: Jūs gavote garbės imitaciją už savo baigtą magistro projektą, kurį atlikote. Kas daugiau,
gavote apdovanojimą ... Papasakok mums visą istoriją.
FN: Na, aš nelabai mėgstu apdovanojimų ar pripažinimų, tiesa ta, kad mano šūkis yra pastangos, darbas, atsidavimas ir atkaklumas, būkite labai atkaklūs, kad pasiektumėte sau iškeltus tikslus.
Aš padariau Mokytoją, nes tai yra tema, kurią aš aistringai žinau, sėkmingai ją baigiau ir nuo tada iki šiol aš jai atsidaviau profesionaliai. Man patinka kompiuterinis kriminalistinis tyrimas, man patinka ieškoti ir rasti įrodymų ir stengiuosi tai padaryti iš svarbiausios etikos. Apdovanojimas, nieko svarbaus, tiesiog kažkas manė, kad jo nusipelnė mano „Final Master“ darbas, štai, aš nesureikšminu jo. Šiandien aš didžiuojuosi kursu, kurį sukūriau, kad jį baigčiau internete kompiuterinėje kriminalistikoje ir kuris dabar yra antrasis leidimas.
PxW: Kokius GNU / Linux paskirstymus naudojate kasdien? Įsivaizduoju „Kali Linux“, DEFT,
„Backtrack“ ir „Santoku“? Papūga OS?
FN: Na, jūs įvardijote keletą taip. „Pentesting Kali“ ir „Backtrack“, „Santoku for Forensic analysis on Mobile and Deft or Helix“, teismo ekspertizei asmeniniame kompiuteryje (be kita ko), nors jie yra pagrindai, visi jie turi įrankius kitoms užduotims, susijusioms su pentesting ir kompiuterine teismo analize, atlikti, Tačiau yra kitų įrankių, kurie man patinka ir turiu „Linux“ versiją, tokių kaip autopsija, nepastovumas, tokie įrankiai kaip „Foremost“, „testdisk“, „Photorec“, komunikacijos dalyje, „wireshark“, norint rinkti informaciją apie „nessus“, „nmap“, automatizuotai naudoti metasploit ir „Ubuntu“. live live cd, kuris leidžia paleisti mašiną ir tada, pavyzdžiui, ieškoti kenkėjiškų programų, atkurti failus ir pan.
PxW: Kokie atvirojo kodo įrankiai yra jūsų mėgstamiausi?
FN: Na, manau, kad atsakydamas į šį klausimą aplenkiau save, bet įsigilinsiu į ką kita. Plėtodamas savo darbą aš daugiausia naudoju atvirojo kodo įrankius, jie yra naudingi ir leidžia atlikti tuos pačius veiksmus, kurie mokami už naudojimo licenciją, tada, mano nuomone, darbą galima puikiai atlikti naudojant šias priemones.
Čia turiu omenyje, kad „Linux“ sistemos turi pagrindinį prizą, turiu omenyje, kad jos yra nuostabios. „Linux“ yra geriausia teismo ekspertizės įrankių diegimo platforma, šiai operacinei sistemai yra daugiau įrankių nei bet kuriai kitai, ir visos jos, be to, didžioji dauguma yra nemokamos, gerai nemokamos ir atvirojo kodo, o tai leidžia jiems naudotis pritaikytas.
Kita vertus, kitas operacines sistemas galima analizuoti be jokių problemų iš „Linux“. Galbūt vienintelis trūkumas yra tas, kad jos naudojimas ir priežiūra yra šiek tiek sudėtingesnė, taip pat, kadangi jos nėra komercinės, jos neturi nuolatinė parama. Mano mėgstamiausi, sakiau juos anksčiau, „Deft“, autopsija, nepastovumas ir dar keletas kitų.
PxW: Ar galėtumėte mums šiek tiek papasakoti apie „Sleuth Kit“ ... Kas tai? Programos?
FN: Na, aš jau kalbėjau apie šias priemones ankstesniuose punktuose. Tai aplinka, kurioje atliekama teismo kompiuterinė analizė, jos atvaizdas, „skalikas šuo“, ir naujausia versija, kai šuo susiduria su blogesniu genijumi, tiesa face.
Svarbiausia šios įrankių grupės grandis - skrodimas.
Tai yra sistemos apimties įrankiai, leidžiantys tirti kompiuterinius teismo ekspertizės vaizdus iš įvairių platformų „NETRAUKIAMU“ būdu, ir tai yra svarbiausia, atsižvelgiant į jo reikšmę teismo ekspertizėje.
Turi galimybę jį naudoti komandinės eilutės režimu, tada kiekvienas įrankis vykdomas atskiroje terminalo aplinkoje, taip pat žymiai „draugiškesniu“ būdu gali būti naudojama grafinė aplinka, leidžianti atlikti tyrimą paprastas būdas.
PxW: Ar galite tą patį padaryti su „LiveCD“ distributoriumi, vadinamu HELIX?
FN:Na, tai yra dar viena kriminalistinės kompiuterinės analizės sistema, taip pat daugialypė aplinka, ty analizuojami „Linux“, „Windows“ ir „Mac“ sistemų kriminalistiniai vaizdai, taip pat RAM ir kitų įrenginių vaizdai.
Galbūt jos galingiausi įrankiai yra „Adept for device kloning (daugiausia diskai)“, „Aff“, teismo ekspertizės įrankis, susijęs su metaduomenimis ir, žinoma! Autopsija. Be šių, jis turi daug daugiau įrankių.
Neigiama pusė - profesionali jos versija yra mokama, nors ji turi ir nemokamą versiją.
PxW: TCT (The Coroner's Toolkit) yra projektas, kurį pakeitė „The Sleuth Kit“.
toliau naudoti?
FN:TCT buvo pirmasis iš kriminalistinės analizės įrankių rinkinių, tokie įrankiai kaip kapo plėšikas, lazarusas ar „findkey“ jį pabrėžė, o senų sistemų analizei jis yra efektyvesnis už savo pirmtaką, šiek tiek tas pats, kas atsitinka su „backtrack“ ir „kali“, Aš, pavyzdžiui, vis dar naudoju abu.
PxW: „Guidance Software“ sukūrė „EnCase“, mokamą ir uždarą. Taip pat nerasta kitoms ne „Windows“ operacinėms sistemoms. Ar tikrai kompensuoja tokio tipo programinę įrangą, turėdamas nemokamų alternatyvų? Manau, kad praktiškai visi poreikiai yra padengti nemokamais ir nemokamais projektais, ar aš klystu?
FN: Manau, kad į tai jau atsakiau, mano kuklia nuomone NE, tai nekompensuoja ir TAIP, visi poreikiai atlikti kompiuterinę teismo ekspertizę yra padengti nemokamais ir nemokamais projektais.
PxW: Remdamasis aukščiau pateiktu klausimu, matau, kad „EnCase“ skirta „Windows“ ir kitoms
įrankiai, tokie kaip FTK, „Xways“, teismo ekspertizei atlikti, taip pat daugybė kitų skverbimosi ir saugumo priemonių. Kodėl šioms temoms naudoti „Windows“?
FN: Aš nežinočiau, kaip į šį klausimą atsakyti užtikrintai, naudoju bent 75% testų, kuriuos atlieku „Linux“ platformoms sukurtus įrankius, nors pripažįstu, kad „Windows“ platformose yra vis daugiau šiems tikslams sukurtų įrankių, ir Taip pat pripažįstu, kad išbandau juos ir kartais naudoju taip, taip, jei tai priklauso nemokamiems projektams.
PxW: Šis klausimas gali būti kažkas egzotiško, kad jį būtų galima pavadinti. Bet ar manote, kad norint pateikti įrodymus bandymuose, gali būti tik atviro kodo programinės įrangos pateikti įrodymai, o ne uždari? Leiskite man paaiškinti, kad tai gali būti labai bloga mintis ir įsitikinęs, kad jie sugebėjo sukurti nuosavybės teise priklausančią programinę įrangą, kuri tam tikra prasme pateikia klaidingus duomenis tam, kad atlaisvintų ką nors ar tam tikras grupes, ir nebus jokio būdo peržiūrėti šaltinio kodą, kad pamatytume, kas ji tą programinę įrangą daro arba nedaro. Tai šiek tiek susukta, bet aš prašau jūsų pasakyti savo nuomonę, nuraminti save arba, priešingai, prisijungti prie šios nuomonės ...
FN: Ne, aš nesu tos nuomonės, aš daugiausia naudoju nemokamos programinės įrangos įrankius ir daugeliu atvejų atvirą, bet nemanau, kad kas nors sukuria įrankius, teikiančius klaidingus duomenis, norėdamas ką nors atleisti, nors tiesa, kad neseniai pasirodė kai kurios programos kad jie sąmoningai pasiūlė neteisingus duomenis, tai buvo kitame sektoriuje, ir aš manau, kad taisyklę patvirtina išimtis, iš tikrųjų, nemanau, kad pokyčiai, mano nuomone, atliekami profesionaliai ir, bent jau šiuo atveju, jie grindžiami išimtinai mokslu, įrodymais, vertinamais mokslo požiūriu, tiesiog tai yra mano nuomonė ir įsitikinimas.
PxW: Prieš keletą dienų Linusas Torvaldsas teigė, kad visiškas saugumas neįmanomas ir kad kūrėjai neturėtų būti apsėsti šiuo klausimu ir teikti pirmenybę kitoms funkcijoms (patikimumui, našumui ir kt.). „Washintong Post“ paėmė šiuos žodžius ir sunerimo, nes Linusas Torvaldsas „yra žmogus, kurio rankose yra interneto ateitis“ dėl serverių ir tinklo paslaugų, kurios veikia dėl jo sukurto branduolio, kiekio. Kokios nuomonės nusipelnei?
FN: Aš visiškai sutinku su juo, visiškas saugumas neegzistuoja. Jei tikrai norite, kad serveryje būtų užtikrintas visiškas saugumas, išjunkite jį arba atjunkite jį nuo tinklo, palaidokite, bet, žinoma, tada tai jau nėra serveris, grėsmės bus visada egzistuoja tai, ko turime apimti, yra pažeidžiamumai, kurių galima išvengti, tačiau, žinoma, pirmiausia juos reikia surasti, o kartais reikia laiko atlikti šią paiešką arba kiti tai daro neaiškiais tikslais.
Tačiau manau, kad technologiniu požiūriu esame labai aukštame sistemos saugumo taške, viskas labai pagerėjo, dabar tai yra vartotojo sąmoningumas, kaip sakiau ankstesniuose atsakymuose, ir tai vis dar žalia.
PxW: Įsivaizduoju, kad kibernetiniai nusikaltėliai kaskart darosi vis sunkesni (TOR, I2P, Freenet, steganografija, šifravimas, avarinis LUKS savęs naikinimas, tarpinis serveris, metaduomenų valymas ir kt.). Kaip elgiatės šiose bylose, kad pateiktumėte įrodymus teisme? Ar yra atvejų, kai negalite?
FN: Na, jei tiesa, kad reikalai tampa vis sudėtingesni ir yra atvejų, kai aš nesugebėjau elgtis, nesikreipdamas toliau į garsųjį kriptolockerį, klientai man paskambino prašydami mano pagalbos ir mes negalėjome padaryti daug dėl to, Kaip žinoma, tai yra išpirkos programa, kuri, pasinaudodama socialine inžinerija, vėlgi vartotojas yra silpniausia grandis, užšifruoja standžiųjų diskų turinį ir vadovauja visiems kompiuterių saugumo specialistams, mokslo įstatymų padaliniams vykdymo, saugos rinkinių gamintojų ir teismo ekspertų, mes dar negalime išspręsti problemos.
Į pirmąjį klausimą, kaip elgiamės, kad šios problemos būtų nagrinėjamos, ir kaip elgiamės su visais įrodymais, turiu omenyje, turėdami profesinę etiką, taip pat sudėtingas priemones, mokslo žinias ir bandydami rasti atsakymus į klausimus, kurie Pirmajame klausime, kurį verta paaiškinti, aš nerandu skirtumo, atsitinka taip, kad kartais šie atsakymai nerandami.
PxW: Ar rekomenduotumėte įmonėms pereiti prie „Linux“? Kodėl?
FN: Aš nesakyčiau tiek daug, turiu omenyje, manau, kad jei aš turiu ką nors be licencijos, suteikiančios man tas pačias paslaugas, kaip ir tai, kas kainuoja pinigus, kam juos išleisti? Kitas klausimas yra tai, kad man neteikia to paties paslaugas, bet ar taip yra. „Linux“ yra operacinė sistema, gimusi iš paslaugos tinklo perspektyvos ir siūlanti panašias funkcijas kaip ir visos kitos rinkoje esančios platformos, todėl daugelis pasirinko ją su savo platforma, kad, pavyzdžiui, pasiūlytų žiniatinklio paslauga, ftp ir kt., aš tikrai ja naudojuosi ir ne tik norėdamas naudotis teismo ekspertizės skyriais, bet ir kaip serveris savo mokymo centre, nešiojamajame kompiuteryje yra „Windows“, nes licencija yra integruota su įrenginiu, net todėl labai daug metu virtualizacijos Linux.
Atsakant į klausimą, „Linux“ nekainuoja, daugėja programų, kurios veikia šioje platformoje, ir vis daugiau kūrimo kompanijų gamina produktus „Linux“. Kita vertus, nors joje nėra kenkėjiškų programų, infekcijų yra mažiau, tai kartu su lankstumu, kurį platforma suteikia jums kaip pirštinę prisitaikyti prie poreikių, suteikia, mano nuomone, pakankamai jėgų būti Pirmasis bet kurios įmonės pasirinkimas ir svarbiausia - kiekvienas gali patikrinti, ką daro programinė įranga, jau nekalbant apie tai, kad saugumas yra viena iš jos stipriųjų pusių.
PxW: Šiuo metu vyksta savotiškas kompiuterinis karas, kuriame dalyvauja ir vyriausybės. Mes matėme tokias kenkėjiškas programas kaip „Stuxnet“, „Stars“, „Duqu“ ir kt., Kurias vyriausybės sukūrė tam tikrais tikslais, taip pat užkrėstą programinę-aparatinę programinę įrangą (pavyzdžiui, „Arduino“ plokštes su jų modifikuota programine įranga), „šnipinėjimo“ lazerinius spausdintuvus ir kt. Bet nuo to neišvengia net aparatinė įranga, pasirodė ir modifikuoti lustai, kurie be užduočių, kurioms, matyt, buvo sukurti, apima ir kitas paslėptas funkcijas ir t. Mes netgi matėme šiek tiek beprotiškus projektus, tokius kaip „AirHopper“ (tam tikras radijo bangų klaviatorius), „BitWhisper“ (karščio atakos siekiant surinkti informaciją iš aukos), kenkėjišką programą, galinčią plisti garsu. seifas ar kompiuteriai atjungti nuo bet kurio tinklo?
FN: Kaip jau komentavau, saugiausia yra išjungta sistema, o kai kurie sako, kad ji yra užrakinta bunkeryje. Žmogau, jei ji atjungta, manau, kad ji taip pat yra gana saugi, bet tai nėra klausimas, turiu omenyje, mano nuomone, klausimas nėra esamų grėsmių kiekis, yra vis daugiau ir daugiau sujungtų įrenginių, o tai reiškia didesnį pažeidžiamumą ir įvairaus tipo kompiuterines atakas, naudojant, kaip jūs gerai išsakėte klausime, skirtingus įtrūkimus ir atakų platintojus, bet aš manau, kad ne. Turime sutelkti dėmesį į atjungimą, kad būtume saugūs, turime sutelkti dėmesį į visų paslaugų, įrenginių, ryšių ir kt. Saugumą, kaip jau minėjau, nors tiesa, kad grėsmių skaičius yra didelis, ne mažiau tiesa, kad saugumo metodų skaičius yra ne mažiau didelis, mums trūksta žmogiškojo faktoriaus, sąmoningumo ir saugumo mokymų, nieko daugiau ir mūsų problemų, net ir susijusių, bus mažiau.
PxW: Baigiame asmenine nuomone ir kaip saugumo ekspertas, kurio nusipelno šios sistemos, taip pat galėtumėte pateikti mums duomenis, kuriuos sunkiau apsaugoti, ir rasti daugiau saugumo spragų:
Dėl milijono dolerių klausimo, kuri sistema yra saugiausia, atsakymas buvo pateiktas anksčiau, nė vienas nėra 100% saugus, prijungtas prie tinklo.
„Windows“ nežino savo šaltinio kodo, todėl niekas tiksliai nežino, ką ir kaip veikia, išskyrus kūrėjus. „Linux“ šaltinio kodas yra žinomas ir, kaip sakiau, saugumas yra viena iš stipriųjų jo pusių, priešingai, kad jis yra mažiau draugiškas ir yra daugybė distros. „Mac OS“ - stiprioji pusė, minimalizmas, grįžtantis prie produktyvumo, tai ideali sistema pradedantiesiems. Dėl visų šių priežasčių, mano nuomone, sunkiausia apsaugoti yra „Windows“, nepaisant to, kad naujausi tyrimai rodo, kad būtent ji turi mažiausiai pažeidžiamumų, išskyrus jūsų naršyklę. Mano nuomone, nėra prasmės tvirtinti, kad ta ar kita operacinė sistema yra daugiau ar mažiau pažeidžiama, reikia atsižvelgti į visus veiksnius, kuriuos ji veikia, pažeidžiamumus, įdiegtas programas, tų pačių naudotojus ir kt. Atsižvelgus į visa tai, kas išdėstyta pirmiau, manau, kad sistemos turėtų būti sustiprintos visomis apsaugos priemonėmis, kurios apskritai yra taikomos ir taikytinos bet kuriai sistemai, jų sutvirtinimą galima apibendrinti taip:
- Atnaujinti: visada atnaujinkite šį tašką sistemoje ir visose programose, kurios naudojasi tinklu.
- Turiu omenyje, kad slaptažodžiai yra pakankami, su mažiausiai 8 simboliais ir dideliu žodynu.
- Perimetro apsauga: gera ugniasienė ir IDS nepakenks.
- Neturi atvirų prievadų, kurie nesiūlo aktyvios ir atnaujintos paslaugos.
- Padarykite atsargines kopijas atsižvelgdami į kiekvieno atvejo poreikius ir laikykite jas saugiose vietose.
- Jei dirbate su neskelbtinais duomenimis, jų šifravimas.
- Ryšių šifravimas taip pat.
- Vartotojų mokymas ir informuotumas.
Tikiuosi, kad jums patiko šis interviu, mes darysime daugiau. Dėkojame, kad palikote savo nuomonės ir komentarai...
Interviu man patiko.
Na, pagrindinis veiksnys. Vartotojas.
Sistema taip pat yra deterministinė. Manau, kad „Windows“ ezoterikoje tai yra pagrindinis dalykas Skirtingai nuo „Linux“, kuriam reikia laiko. Tai nėra išversta, bet tai suteikia „Linux“ premiją.
Įdomu viskas iškelta. Norėčiau šiek tiek daugiau sužinoti apie Helix ir jo naudingumą