Fransisko Nadadors stāsta par savu pieredzi kriminālistikas analīzes pasaulē

Šodien mēs intervējam tikai LxA Francisco Nadador, specializējas datoru kriminālistikā, aizrauj datoru drošību, uzlaušanu un iespiešanās testus. Fransisko ir absolvējis Alcalá de Henares universitāti un tagad vada Komplektējoši, kas veltīts mācību stundām par drošības tēmām, un uzņēmumiem piedāvā pakalpojumus, kas saistīti ar šo tēmu.

Viņš pabeidza maģistra grādu (Katalonijas Atvērtā universitāte) par datoru drošību, specializējoties divās tēmās - tiesu ekspertīze un tīkla drošība. Šī iemesla dēļ viņš saņēma goda grādu un vēlāk kļuva par Nacionālās tiesnešu vērtētāju un ekspertu nacionālās asociācijas biedru. Un kā viņš mums paskaidros, Viņi viņam piešķīra Krusta medaļu par izmeklēšanas nopelniem ar baltu emblēmu par profesionālo karjeru un pētniecību. Balvu ieguva arī Chema Alonso, Angelucho, Josep Albors (ESET Spain izpilddirektors) utt.

Linux Adictos: Lūdzu, paskaidrojiet mūsu lasītājiem, kas ir tiesu ekspertīze.

Fransisko Nadadors: Man tā ir zinātne, kas mēģina sniegt atbildes uz to, kas notika pēc tam, kad datoru drošības incidents ir digitāls scenārijs, atbildes uz to, kas ir noticis? Kad tas notika? Kā tas notika? Un kas vai kas to izraisīja?

LxW: Pēc jūsu nostājas un pieredzes, vai tik svarīgi kibernoziegumi notiek ar tik daudz
biežums Spānijā tāpat kā citās valstīs?

FN: Nu, saskaņā ar ES publicētajiem ziņojumiem, kas ir publiski pieejami, Spānija ir novatorisku valstu apakšā, tāpat kā pārējās dienvidu reģiona valstis, tie ir pētījumi, kas piedāvā salīdzinošus pētījumus un jauninājumu sniegumu valstīm, kas ir ES daļa. Tas, iespējams, izraisa drošības incidentu skaitu šeit ievērojamu un to tipoloģiju daudzveidību.
Uzņēmumi ikdienā riskē, taču pretēji tam, kā var šķist, tas ir, ka tie var rasties no saskares ar tīklu, tie ir riski, kurus parasti izraisa ķēdes vājākais posms - lietotājs. Katru reizi, kad ierīču atkarība, kā arī apstrādāto ierīču skaits ir lielāks, kas rada labu drošības pārkāpumu, nesen lasītā pētījumā teikts, ka vairāk nekā 50% drošības incidentu izraisīja cilvēki, darbinieki, bijušie strādājošie utt., kas uzņēmumiem izmaksā daudzus tūkstošus eiro, manuprāt, šai problēmai ir tikai viens risinājums, apmācība un informētība, kā arī augstāka sertifikācija ISO27001.
Kas attiecas uz kibernoziegumiem, tad tādas lietojumprogrammas kā WhatsApp, ramsonware (pēdējā laikā to dēvē par cryptolocker), protams, virtuālā valūta bitcoin, dažāda veida ievainojamības bez ērti lāpīšanas, krāpnieciska samaksa internetā, sociālo tīklu "nekontrolēta" izmantošana utt. ir tie, kas ir ieņēmuši pirmās pozīcijas telemātisko noziegumu reitingā.
Atbilde ir "JĀ", Spānijā kibernoziegumi ir tikpat svarīgi kā pārējās ES dalībvalstīs, taču biežāk.

LxW: Jūs esat saņēmis Goda rakstu par savu meistara galīgo projektu, kuru veicāt. Kas vēl,
jūs saņēmāt balvu ... Lūdzu, pastāstiet mums visu stāstu.

FN: Nu, es ne pārāk mīlu apbalvojumus vai atzinības, patiesība ir tāda, ka mans moto ir pūles, darbs, centība un uzstājība, esiet ļoti neatlaidīgs, lai sasniegtu sev izvirzītos mērķus.
Es darīju Skolotāju, jo tas ir priekšmets, par kuru esmu aizrāvies, to veiksmīgi pabeidzu un kopš tā laika līdz šim esmu tam veltījis sevi profesionāli. Man patīk datora kriminālistikas izmeklēšana, man patīk meklēt un atrast pierādījumus, un es cenšos to izdarīt no visnopietnākās ētikas. Balva, nekas svarīgs, vienkārši kāds domāja, ka mans Galīgā maģistra darbs to ir pelnījis, tas tā, es nepiešķiru tai lielāku nozīmi. Šodien es daudz vairāk lepojos ar kursu, kuru esmu izstrādājis tā pabeigšanai tiešsaistē datora kriminālistikā un kurš tagad ir otrais izdevums.

LxW: Kādus GNU / Linux izplatījumus jūs izmantojat ikdienā? Es iedomājos Kali Linux, DEFT,
Backtrack un Santoku? Papagailis OS?

FN: Nu, jūs nosaucāt dažus jā. Kali un Backtrack Pentesting, Santoku kriminālistikas analīzei mobilajās ierīcēs un Deft vai Helix, kriminālistikas analīzei personālajā datorā (cita starpā), lai arī tie ir ietvari, un visiem tiem ir rīki citu uzdevumu veikšanai, kas saistīti ar pentestēšanu un datoru kriminālistikas analīzi, Bet ir arī citi rīki, kas man patīk un kuriem ir Linux versija, piemēram, autopsija, nepastāvība, tādi rīki kā Foremost, testdisk, Photorec, sakaru daļā, wireshark, informācijas vākšanai, nmap, metasploit automatizētai izmantošanai un Ubuntu dzīvo pats cd, kas ļauj iedarbināt mašīnu un pēc tam, piemēram, meklēt ļaunprātīgu programmatūru, atkopt failus utt.

LxW: Kādi atvērtā koda rīki ir jūsu iecienītākie?

FN: Es domāju, ka, atbildot uz šo jautājumu, es sevi apsteidzu, bet es iedziļināšos kaut ko citu. Lai attīstītu savu darbu, es galvenokārt izmantoju atvērtā koda rīkus, tie ir noderīgi un ļauj jums veikt tādas pašas darbības kā tās, par kurām tiek maksāts par lietošanas licenci, tad, manuprāt, darbu var lieliski veikt ar šiem rīkiem.
Šeit Linux ietvari ņem džekpotu, es domāju, ka tie ir brīnišķīgi. Linux ir labākā platforma kriminālistikas analīzes rīku izvietošanai, šai operētājsistēmai ir vairāk rīku nekā jebkurai citai, un visi no tiem, drīzāk, lielākā daļa ir bezmaksas, labi bezmaksas un atvērtā koda, kas ļauj tos izmantot pielāgots.
No otras puses, citas operētājsistēmas var bez problēmām analizēt no Linux. Varbūt vienīgais trūkums ir tas, ka tā lietošana un uzturēšana ir nedaudz sarežģītāka, un, tā kā tās nav komerciālas, tām nav nepārtraukts atbalsts. Mani favorīti, es tos teicu iepriekš, veikli, autopsija, nepastāvība un vēl daži.

LxW: Vai jūs varētu mums pastāstīt nedaudz par The Sleuth Kit ... Kas tas ir? Pieteikumi?

FN: Nu, es jau iepriekš runāju par šiem rīkiem. Tā ir vide, lai veiktu kriminālistikas datoranalīzi, tā attēls, "suns suns", un jaunākajā versijā suns saskaras ar sliktāku ģēniju, patiesību face.
Vissvarīgākā saite šajā instrumentu grupā, autopsija.
Tie ir sistēmu apjoma rīki, kas ļauj pārbaudīt datora kriminālistikas attēlus no dažādām platformām "NETIEKAMĪBĀ", un tas ir vissvarīgākais, ņemot vērā tā nozīmi kriminālistikā.
To var izmantot komandrindas režīmā, pēc tam katrs rīks tiek izpildīts atsevišķā termināla vidē vai arī daudz “draudzīgākā” veidā var izmantot grafisko vidi, kas ļauj veikt izmeklēšanu vienkāršs veids.

LxW: Vai jūs varat darīt to pašu ar LiveCD izplatītāju ar nosaukumu HELIX?

FN:Nu, tas ir vēl viens no kriminālistikas datoru analīzes ietvariem, arī multivides, tas ir, tas analizē tiesu ekspertīzes attēlus no Linux, Windows un Mac sistēmām, kā arī RAM un citu ierīču attēlus.
Varbūt visspēcīgākie rīki ir Adept for device cloning (galvenokārt diski), Aff, rīks kriminālistikas analīzei, kas saistīta ar metadatiem, un, protams, autopsija. Bez tiem tam ir daudz vairāk rīku.
Negatīvie, tā profesionālā versija ir apmaksāta, lai gan tai ir arī bezmaksas versija.

LxW: TCT (The Coroner's Toolkit) ir projekts, kuru aizstāja The Sleuth Kit.
vai tad turpināt lietot?

FN:TCT bija pirmais no kriminālistikas analīzes rīku komplektiem, tādi rīki kā kapu laupītājs, lazarus vai findkey to izcēla, un veco sistēmu analīzei tas ir efektīvāks nekā tā priekšgājējs, mazliet tāds pats kā tas notiek ar backtrack un kali, Es joprojām izmantoju abus, piemēram.

LxW: Vadības programmatūra ir izveidojusi EnCase, apmaksātu un slēgtu. Nav atrasts arī citām operētājsistēmām, kas nav Windows operētājsistēmas. Vai tas noteikti kompensē šāda veida programmatūru, izmantojot bezmaksas alternatīvas? Es domāju, ka praktiski visas vajadzības tiek segtas ar bezmaksas un bezmaksas projektiem, vai arī es kļūdos?

FN: Es domāju, ka es jau esmu uz to atbildējis, manā pieticīgajā viedoklī NĒ, tas nekompensē un JĀ, visas vajadzības veikt datora kriminālistikas analīzi tiek segtas ar bezmaksas un bezmaksas projektiem.

LxW: Atsaucoties uz iepriekš minēto jautājumu, es redzu, ka EnCase ir paredzēts Windows un arī citiem
rīki, piemēram, FTK, Xways, kriminālistikas analīzei, kā arī daudzi citi instrumenti iekļūšanai un drošībai. Kāpēc šīm tēmām izmantot sistēmu Windows?

FN: Es nezinātu, kā uz šo jautājumu atbildēt droši, es izmantoju vismaz 75% testu, kurus veicu Linux platformām izstrādātus rīkus, lai gan es atzīstu, ka Windows platformās ir arvien vairāk šiem mērķiem izstrādātu rīku, un Es arī apzinos, ka es tos pārbaudīju un dažreiz arī izmantoju, jā, ja vien tas pieder brīvi izmantojamiem projektiem.

LxW: Šis jautājums var būt kaut kas eksotisks, lai to kaut kā sauktu. Bet vai jūs domājat, ka, lai pierādījumus sniegtu izmēģinājumos, derīgi būtu tikai pierādījumi, ko nodrošina atvērtā pirmkoda programmatūra, nevis slēgtā? Ļaujiet man paskaidrot, tas varētu būt ļoti slikti domāts un noticētu, ka viņi ir spējuši izveidot patentētu programmatūru, kas kādā ziņā sniedz kļūdainus datus, lai atbrīvotu kādu vai noteiktas grupas, un nebūtu iespējas pārskatīt pirmkodu, lai redzētu, kas tā dara vai nedara šo programmatūru. Tas ir nedaudz savīti, bet es jums to iesaku, lai jūs varētu izteikt savu viedokli, nomierināt sevi vai, gluži pretēji, pievienoties šim viedoklim ...

FN: Nē, es neuzskatu šo viedokli, es galvenokārt izmantoju bezmaksas programmatūras rīkus un daudzos gadījumos esmu atvērts, bet es neuzskatu, ka kāds izstrādā rīkus, kas sniedz kļūdainus datus, lai kādu atbrīvotu, lai gan ir taisnība, ka nesen ir parādījušās dažas programmas ka viņi apzināti piedāvāja nepareizus datus, tas bija citā nozarē, un es domāju, ka izņēmums apstiprina likumu, tiešām, es nedomāju, ka attīstība, manuprāt, tiek veikta profesionāli un, vismaz šajā gadījumā, tie ir balstīti tikai uz zinātni, pierādījumiem, kas apstrādāti no zinātnes viedokļa, vienkārši tas ir mans viedoklis un mana pārliecība.

LxW: Pirms dažām dienām Linuss Torvalds apgalvoja, ka pilnīga drošība nav iespējama un ka izstrādātājiem šajā sakarā nevajadzētu apsēsties un par prioritāti piešķirt citas funkcijas (uzticamība, veiktspēja utt.). Washintong Post uztvēra šos vārdus, un tie bija satraucoši, jo Linuss Torvalds "ir cilvēks, kura rokās ir interneta nākotne" serveru un tīkla pakalpojumu daudzuma dēļ, kas darbojas pateicoties viņa izveidotajam kodolam. Kādu viedokli tu esi pelnījis?

FN: Es pilnīgi piekrītu viņam, pilnīga drošība nepastāv, ja jūs patiešām vēlaties servera pilnīgu drošību, izslēdziet to vai atvienojiet to no tīkla, apglabājiet, bet, protams, tad tas vairs nav serveris, draudi būs vienmēr pastāv, mums ir jāaptver neaizsargātības, no kurām var izvairīties, bet, protams, tās vispirms ir jāatrod, un dažreiz tas prasa laiku, lai veiktu šo meklēšanu, vai citi to dara neskaidriem mērķiem.
Tomēr es uzskatu, ka tehnoloģiski mēs esam ļoti augstā sistēmas drošības punktā, lietas ir daudz uzlabojušās, tagad tā ir lietotāja informētība, kā jau teicu iepriekšējās atbildēs, un tas joprojām ir zaļš.

LxW: Es iedomājos, ka kibernoziedznieki katru reizi to apgrūtina (TOR, I2P, Freenet, steganogrāfija, šifrēšana, LUKS ārkārtas pašiznīcināšanās, starpniekservera, metadatu tīrīšana utt.). Kā jūs rīkojaties šajos gadījumos, lai sniegtu pierādījumus tiesā? Vai ir gadījumi, kad nevar?

FN: Nu, ja tā ir taisnība, ka lietas kļūst sarežģītākas, un ir arī gadījumi, kad es neesmu varējis rīkoties, nedodoties tālāk ar slaveno kriptolockeri, klienti man ir piezvanījuši, lūdzot manu palīdzību, un mēs neesam spējuši dari daudz par to, kā zināms, tā ir izpirkuma programmatūra, kas, izmantojot sociālās inženierijas priekšrocības, atkal lietotājs ir vājākais posms, šifrē cieto disku saturu un vada visus datora drošības profesionāļus, likuma zinātniskās vienības izpildes, drošības komplektu ražotāji un tiesu medicīnas analītiķis, mēs vēl nespējam risināt problēmu.
Uz pirmo jautājumu, kā mēs rīkojamies, lai šos jautājumus nogādātu tiesā, kā arī kā mēs rīkojamies ar visiem pierādījumiem, es domāju, ar profesionālo ētiku, arī sarežģītiem rīkiem, zinātnes zināšanām un mēģinājumiem atrast atbildes uz jautājumiem, kas Pirmajā jautājumā, kura atlaišanas vērtībā es norādīju, es neatrodu atšķirību, notiek tas, ka dažreiz šīs atbildes netiek atrastas.

LxW: Vai jūs ieteiktu uzņēmumiem pāriet uz Linux? Kāpēc?

FN: Es neteiktu tik daudz, es domāju, es domāju, ka, ja man ir kaut kas bez licences, kas man nodrošina tādus pašus pakalpojumus kā tas, kas maksā naudu, kāpēc to tērēt? Cits jautājums ir tāds, ka tas man nenodrošina to pašu pakalpojumus, bet vai tas tā notiek. Linux ir operētājsistēma, kas ir dzimusi no tīkla pakalpojuma viedokļa un piedāvā līdzīgas funkcijas kā pārējām tirgū esošajām platformām, tāpēc daudzi to ir izvēlējušies ar savu platformu, lai, piemēram, piedāvātu tīmekļa pakalpojumu , ftp utt., es noteikti to izmantoju un ne tikai, lai izmantotu kriminālistikas distros, bet arī kā serveri savā mācību centrā, man klēpjdatorā ir Windows, jo licence ir pievienota ierīcei, pat tāpēc es izmetu daudz virtualizāciju Linux.
Atbildot uz jautājumu, Linux neizmaksā, šajā platformā darbojas arvien vairāk lietojumprogrammu, un arvien vairāk attīstības uzņēmumu ražo produktus Linux. No otras puses, kaut arī tajā nav ļaunprātīgas programmatūras, infekciju skaits ir mazāks, tas kopā ar elastību, ko platforma dod jums kā cimdu pielāgoties vajadzībām, dod tai, manuprāt, pietiekami daudz spēka, lai būtu Pirmā jebkura uzņēmuma izvēle un vissvarīgākais - ikviens var pārbaudīt programmatūras darbību, nemaz nerunājot par to, ka drošība ir viena no tās stiprākajām pusēm.

LxW: Pašlaik notiek sava veida datoru karš, kurā piedalās arī valdības. Mēs esam redzējuši tādas ļaunprogrammatūras kā Stuxnet, Stars, Duqu utt., Ko valdības izveidojušas īpašiem mērķiem, kā arī inficētu programmaparatūru (piemēram, Arduino dēļi ar to modificēto programmaparatūru), "spiegu" lāzerprinterus utt. Bet no tā neizbēg pat aparatūra, ir parādījušās arī modificētas mikroshēmas, kas papildus uzdevumiem, kuriem tās acīmredzami bija paredzētas, ietver arī citas slēptās funkcijas utt. Mēs pat esam redzējuši nedaudz trakus projektus, piemēram, AirHopper (sava ​​veida radioviļņu tastatūra), BitWhisper (karstuma uzbrukumi, lai savāktu informāciju no upura), ļaunprātīgu programmatūru, kas spēj izplatīties pēc skaņas ... Vai es pārspīlēju, ja saku, ka tie vairs nav seifs vai datori atvienoti no jebkura tīkla?

FN: Kā jau esmu komentējis, visdrošākā ir izslēgtā sistēma, un daži saka, ka tā ir bloķēta bunkurā. Cilvēks, ja tas ir atvienots, es domāju, ka arī tā ir diezgan droša, bet tas nav jautājums, es domāju, manuprāt, jautājums nav par esošo draudu apjomu, arvien vairāk ir savstarpēji savienotu ierīču, kas nozīmē lielāku ievainojamību un dažāda veida datoru uzbrukumus, izmantojot, kā jūs jautājumā esat labi izteicies, dažādas plaisas un uzbrukumu pārnēsātājiem, bet es domāju, ka nē. Mums ir jākoncentrējas uz atvienošanu, lai būtu drošība, mums ir jākoncentrējas uz visu pakalpojumu, ierīču, sakaru utt. Drošību, kā jau minēju, lai gan ir taisnība, ka draudu skaits ir liels, ne mazāk taisnība, ka drošības metožu skaits ir ne mazāk liels, mums trūkst cilvēciskā faktora, izpratnes un drošības apmācības, nekas vairāk un mūsu problēmas, pat saistītas, būs mazākas.

LxW: Mēs beidzam ar personīgo viedokli, un kā drošības eksperts, ko šīs sistēmas ir pelnījušas, jūs varētu arī sniegt mums datus, kurus ir grūtāk nodrošināt, un atrast vairāk drošības trūkumu:

Attiecībā uz jautājumu par miljonu dolāru, kura sistēma ir visdrošākā, atbilde tika sniegta iepriekš, neviena nav 100% droša savienota ar tīklu.
Windows nezina savu pirmkodu, tāpēc neviens precīzi nezina, ko un kā dara, protams, izņemot izstrādātājus. No Linux ir zināms pirmkods, un, kā jau teicu, drošība ir viena no tās stiprākajām pusēm, pret to, ka tā ir mazāk draudzīga un ir daudz distros. No Mac OS tā stiprā puse, minimālisms, kas atgriežas produktivitātē, ir ideāla sistēma iesācējiem. Visu šo iemeslu dēļ, manuprāt, visgrūtāk nodrošināt ir Windows, neskatoties uz to, ka jaunākie pētījumi atklāj, ka tieši tajā ir vismazāk ievainojamību, izņemot jūsu pārlūkprogrammu. Manuprāt, nav jēgas teikt, ka šī vai šī operētājsistēma ir vairāk vai mazāk neaizsargāta, ir jāņem vērā visi faktori, kurus tā ietekmē, ievainojamības, instalētās lietojumprogrammas, to lietotāji utt. Kad viss iepriekš minētais ir ņemts vērā, es uzskatu, ka sistēmas būtu jāpastiprina ar visu veidu drošības pasākumiem, kopumā un jāpiemēro jebkurai sistēmai, to stiprināšanu varētu apkopot šajos pamatpunktos:

• Atjaunināt: vienmēr atjauniniet šo punktu sistēmā un visās lietojumprogrammās, kas izmanto tīklu.
• Parolēm jābūt atbilstošām, es domāju, ar vismaz 8 rakstzīmēm un lielu vārdnīcu.
• Perimetra drošība: labs ugunsmūris un IDS nekaitētu.
• Nav atvērtu portu, kas nepiedāvā aktīvu un atjauninātu pakalpojumu.
• Veiciet rezerves kopijas atbilstoši katra gadījuma vajadzībām un glabājiet tās drošās vietās.
• Ja strādājat ar slepeniem datiem, to pašu šifrēšana.
• Arī sakaru šifrēšana.
• Lietotāju apmācība un informētība.

Es ceru, ka šī intervija jums patika, mēs turpināsim darīt vairāk. Mēs novērtējam, ka jūs pametāt savu viedokļi un komentāri...