Vandaag we interviewen exclusief voor LxA Francisco Nadador, gespecialiseerd in forensisch computeronderzoek, gepassioneerd door computerbeveiliging, hacking en penetratietesten. Francisco is afgestudeerd aan de Universiteit van Alcalá de Henares en leidt nu Complumatisch, gewijd aan het geven van lessen over beveiligingsonderwerpen en biedt diensten aan met betrekking tot dit onderwerp voor bedrijven.
Hij voltooide een Master (Open Universiteit van Catalonië) in computerbeveiliging, gespecialiseerd in twee onderwerpen, Forensische Analyse en Netwerkbeveiliging. Om deze reden ontving hij een eredoctoraat en werd later lid van de National Association of Computer Judicial Appraisers and Experts. En zoals hij ons zal uitleggen, Ze gaven hem de Cross Medal for Investigative Merit met een White Badge voor zijn professionele carrière en onderzoek. Award ook gewonnen door Chema Alonso, Angelucho, Josep Albors (CEO van ESET Spanje), enz.
Linux Adictos: Leg aan onze lezers uit wat forensische analyse is.
Francis Zwemmer: Voor mij is het een wetenschap die antwoorden probeert te geven op wat er is gebeurd nadat een computerbeveiligingsincident een digitaal scenario is, antwoorden van het type Wat is er gebeurd? Wanneer is het gebeurd? Hoe is het gebeurd? En wat of wie heeft het veroorzaakt?
LxB: Vanuit uw positie en ervaring komen dergelijke belangrijke cybercriminaliteit bij zoveel voor
frequentie in Spanje zoals in andere landen?
FN: Welnu, volgens rapporten die door de EU zijn gepubliceerd en die in het publieke domein zijn, bevindt Spanje zich in de staart van innovatieve landen, samen met de rest van de landen in het zuidelijke gebied, het zijn studies die vergelijkende onderzoeks- en innovatieprestaties bieden van de landen die deel uitmaken van de EU. Dit heeft er waarschijnlijk toe geleid dat het aantal veiligheidsincidenten hier aanzienlijk is en dat hun typologie divers is.
Bedrijven lopen dagelijks risico's, maar in tegenstelling tot wat het misschien lijkt, dat wil zeggen dat ze afkomstig kunnen zijn van hun blootstelling aan het netwerk, zijn het risico's die meestal worden veroorzaakt door de zwakste schakel in de keten, de gebruiker. Elke keer is de afhankelijkheid van de apparaten en het aantal dat wordt afgehandeld groter, wat een goede inbreuk op de beveiliging veroorzaakt, een studie die ik onlangs las, zei dat meer dan 50% van de beveiligingsincidenten werd veroorzaakt door mensen, werknemers, ex. -werkers, enz., kosten bedrijven vele duizenden euro's, naar mijn mening is er maar één oplossing voor dit probleem, opleiding en bewustwording en hogere ISO27001-certificering.
Wat betreft cybercriminaliteit, applicaties zoals WhatsApp, ramsonware (de laatste tijd cryptolocker genoemd), natuurlijk de virtuele valuta bitcoin, verschillende soorten kwetsbaarheden zonder gemakkelijke patching, frauduleuze betaling op internet, het 'ongecontroleerde' gebruik van sociale netwerken, enz., zijn degenen die de eerste posities hebben ingenomen in de ranglijst van telematische misdrijven.
Het antwoord is "JA", in Spanje komen cybercriminaliteit even belangrijk voor als in de rest van de EU-lidstaten, maar vaker.
LxB: Je hebt een eredoctoraat ontvangen voor je afstudeerproject van de master die je hebt gedaan. Bovendien,
je hebt een onderscheiding ... Vertel ons alsjeblieft het hele verhaal.
FN: Nou, ik ben niet zo dol op prijzen of erkenningen, de waarheid is dat mijn motto is inspanning, werk, toewijding en volharding, wees zeer volhardend om de doelen te bereiken die je voor jezelf hebt gesteld.
Ik heb de Master gedaan omdat het een onderwerp is waar ik gepassioneerd over ben, ik heb het met succes afgerond en vanaf dat moment tot nu heb ik me er professioneel aan toegewijd. Ik hou van forensisch computeronderzoek, ik vind het leuk om te zoeken en bewijs te vinden en ik probeer het te doen vanuit de meest overweldigende ethiek. De prijs, niets belangrijks, alleen iemand dacht dat mijn afstudeerwerk het verdiende, dat is het, ik hecht er niet meer belang aan. Vandaag ben ik veel trotser op een cursus die ik heb ontwikkeld voor de voltooiing ervan online op computerforensisch onderzoek en die nu aan zijn tweede editie toe is.
LxB: Welke GNU / Linux-distributies gebruikt u dagelijks? Ik stel me Kali Linux, DEFT,
Backtrack en Santoku? Parrot OS?
FN: Nou, je hebt er een paar ja genoemd. Voor Pentesting Kali en Backtrack, Santoku voor forensische analyse op mobiel en Deft of Helix, voor forensische analyse op pc (onder andere), hoewel het frameworks zijn, allemaal met tools om andere taken uit te voeren die verband houden met pentesting en computer forensische analyse, Maar er zijn andere tools die ik leuk vind en die een Linux-versie hebben, zoals autopsie, vluchtigheid, tools zoals Foremost, testdisk, Photorec, in het communicatiegedeelte, dradenhark, om informatie te verzamelen nessus, nmap, om metasploit op een geautomatiseerde manier te exploiteren en Ubuntu live zelf cd, waarmee je een machine kunt starten en vervolgens bijvoorbeeld naar malware kunt zoeken, bestanden kunt herstellen, enz.
LxB: Welke open source-tools zijn jouw favorieten?
FN: Nou, ik denk dat ik mezelf voor was in het antwoord op deze vraag, maar ik zal me op iets anders verdiepen. Om mijn werk te ontwikkelen gebruik ik voornamelijk open source tools, ze zijn handig en stellen je in staat om dezelfde dingen te doen als die waarvoor een gebruikslicentie wordt betaald, dan kan naar mijn mening het werk perfect worden uitgevoerd met deze tools.
Hier nemen de Linux-frameworks de jackpot, ik bedoel, ze zijn geweldig. Linux is het beste platform voor de inzet van forensische analysetools, er zijn meer tools voor dit besturingssysteem dan voor enig ander en ze zijn allemaal, nou ja, de overgrote meerderheid is gratis, goed gratis en Open Source, waardoor ze kunnen worden gebruikt. aangepast.
Anderzijds kunnen andere besturingssystemen probleemloos vanuit Linux worden geanalyseerd. Het enige nadeel is misschien dat het wat complexer is in gebruik en onderhoud, en omdat ze niet commercieel zijn, hebben ze ook geen continue ondersteuning. Mijn favorieten, ik zei ze al eerder, Deft, Autopsy, Volatility en nog wat meer.
LxB: Kun je ons iets vertellen over The Sleuth Kit ... Wat is het? Toepassingen?
FN: Nou, ik heb het in de vorige punten al op een bepaalde manier over deze tools gehad. Het is een omgeving om forensische computeranalyse uit te voeren, zijn imago, "de jachthond", nou, in de nieuwste versie heeft de hond het gezicht van een erger genie, de waarheid .
De belangrijkste schakel in deze groep tools, autopsie.
Het zijn systeemvolumetools die het mogelijk maken forensische computerbeelden van verschillende platforms op een "NIET-INTRUSIEVE" manier te onderzoeken, en dit is de belangrijkste gezien de betekenis ervan in forensisch onderzoek.
Het heeft de mogelijkheid om in de opdrachtregelmodus te worden gebruikt, waarna elke tool wordt uitgevoerd in een afzonderlijke terminalomgeving of ook, op een veel 'vriendelijker' manier, de grafische omgeving kan worden gebruikt, waardoor een onderzoek kan worden uitgevoerd in een eenvoudige manier.
LxB: Kun je hetzelfde doen met de LiveCD-distro genaamd HELIX?
FN:Welnu, het is een ander raamwerk voor forensische computeranalyse, ook multi-omgeving, dat wil zeggen, het analyseert forensische afbeeldingen van Linux-, Windows- en Mac-systemen, evenals afbeeldingen van RAM en andere apparaten.
Misschien zijn de krachtigste tools Adept voor het klonen van apparaten (voornamelijk schijven), Aff, een tool voor forensische analyse met betrekking tot metadata en natuurlijk! Autopsie. Naast deze heeft het nog veel meer tools.
Het nadeel is dat de professionele versie wordt betaald, hoewel het ook een gratis versie heeft.
LxB: TCT (The Coroner's Toolkit) is een project dat werd vervangen door The Sleuth Kit.
blijven gebruiken dan?
FN:TCT was de eerste van de toolkits voor forensische analyse, tools zoals grafrover, Lazarus of Findkey benadrukten het en voor de analyse van oude systemen is het efficiënter dan zijn voorganger, een beetje hetzelfde als het gebeurt met backtrack en kali, Ik gebruik beide nog steeds, bijvoorbeeld.
LxB: Guidance Software heeft EnCase gemaakt, betaald en gesloten. Ook niet gevonden voor andere niet-Windows-besturingssystemen. Maakt dit soort software zeker het hebben van gratis alternatieven goed? Ik geloof dat praktisch alle behoeften worden gedekt met gratis en gratis projecten, of heb ik het mis?
FN: Ik denk dat ik dit al heb beantwoord, naar mijn bescheiden mening NEE, het compenseert niet en JA, alle behoeften om forensische computeranalyse uit te voeren worden gedekt met gratis en gratis projecten.
LxB: Verwijzend naar de bovenstaande vraag, zie ik dat EnCase voor Windows en ook voor andere is
tools zoals FTK, Xways, voor forensische analyse, maar ook vele andere tools voor penetratie en beveiliging. Waarom Windows gebruiken voor deze onderwerpen?
FN: Ik zou niet weten hoe ik die vraag met zekerheid zou moeten beantwoorden, ik gebruik minimaal 75% van de tests die ik uitvoer tools die zijn ontwikkeld voor Linux-platforms, hoewel ik erken dat er steeds meer tools worden ontwikkeld voor deze doeleinden op Windows-platforms, en Ik erken ook dat ik ze op de proef heb gesteld en soms gebruik ik het ook, ja, zolang het maar tot gratis te gebruiken projecten behoort.
LxB: Deze vraag kan iets exotisch zijn, om het zoiets te noemen. Maar denkt u dat om bewijs te presenteren in de onderzoeken, alleen het bewijs geleverd door open source software geldig moet zijn en niet het gesloten bewijs? Laat me het uitleggen, het kan een heel slechte gedachte zijn en gaan geloven dat ze in staat zijn geweest om propriëtaire software te maken die in zekere zin foutieve gegevens levert om iemand of bepaalde groepen vrij te pleiten en dat er geen manier zou zijn om de broncode te herzien om te zien wat het doet die software wel of niet. Het is een beetje verwrongen, maar ik stel het je voor zodat je je mening kunt geven, jezelf gerust kunt stellen of, integendeel, je bij deze mening kunt aansluiten ...
FN: Nee, die mening ben ik niet, ik gebruik voornamelijk gratis softwaretools en in veel gevallen open, maar ik geloof niet dat iemand tools ontwikkelt die foutieve gegevens leveren om iemand vrij te pleiten, hoewel het waar is dat er recentelijk enkele programma's zijn verschenen dat ze opzettelijk verkeerde gegevens aanboden, het was in een andere sector en ik denk dat het de uitzondering is die de regel bevestigt, echt, ik denk het niet, ontwikkelingen worden naar mijn mening professioneel gedaan en, althans in dit geval, ze zijn uitsluitend gebaseerd op wetenschap, bewijs behandeld vanuit het oogpunt van wetenschap, dat is simpelweg mijn mening en mijn overtuiging.
LxB: Een paar dagen geleden beweerde Linus Torvalds dat totale beveiliging niet mogelijk is en dat ontwikkelaars in dit opzicht niet geobsedeerd moeten zijn en prioriteit moeten geven aan andere functies (betrouwbaarheid, prestaties, ...). Washintong Post pikte deze woorden op en ze waren alarmerend omdat Linus Torvalds "de man is die de toekomst van het internet in handen heeft", vanwege het aantal servers en netwerkdiensten dat werkt dankzij de kernel die hij heeft gemaakt. Welke mening verdien je?
FN: Ik ben het absoluut met hem eens, totale beveiliging bestaat niet, als je echt totale beveiliging op een server wilt, zet hem dan uit of koppel hem los van het netwerk, begraaf hem, maar het is dan natuurlijk niet langer een server, bedreigingen zullen dat wel doen altijd bestaan, wat we moeten dekken zijn de kwetsbaarheden, die vermijdbaar zijn, maar ze moeten natuurlijk eerst worden gevonden en soms kost het tijd om deze zoektocht uit te voeren of doen anderen het voor obscure doeleinden.
Ik ben echter van mening dat we technologisch gezien op een zeer hoog punt van systeembeveiliging zitten, dingen zijn veel verbeterd, nu is het het bewustzijn van de gebruiker, zoals ik in eerdere antwoorden zei, en dat is nog steeds groen.
LxB: Ik stel me voor dat cybercriminelen het elke keer moeilijker maken (TOR, I2P, Freenet, steganografie, codering, Emergency Self-Destruction van LUKS, proxy, opschonen van metagegevens, enz.). Hoe handelt u in deze gevallen om voor de rechtbank bewijs te leveren? Zijn er gevallen waarin u dat niet kunt?
FN: Nou, als het waar is dat de dingen steeds complexer worden en er ook gevallen zijn waarin ik niet heb kunnen handelen, zonder verder te gaan met de beroemde cryptolocker, hebben klanten me gebeld om mijn hulp te vragen en zijn we niet geweest in staat om er veel aan te doen, zoals bekend is het een ransomware die, gebruikmakend van social engineering, nogmaals de gebruiker de zwakste schakel is, de inhoud van de harde schijven versleutelt en leidt alle computerbeveiligingsprofessionals, wetenschappelijke eenheden van de wetshandhaving, fabrikanten van beveiligingssuite en forensisch analist, we kunnen het probleem nog niet aanpakken.
Op de eerste vraag, hoe handelen we om deze kwesties voor de rechter te brengen, hoe doen we het met al het bewijs, ik bedoel, met professionele ethiek, ook geavanceerde hulpmiddelen, kennis van de wetenschap en proberen de antwoorden te vinden op de vragen die in de eerste vraag, de redundantie waard die ik heb uitgelegd, vind ik geen verschil, wat er gebeurt, is dat deze antwoorden soms niet worden gevonden.
LxB: Zou je bedrijven aanraden om over te stappen op Linux? Waarom?
FN: Ik zou niet zo veel zeggen, ik bedoel, ik denk dat als ik iets vrij van een licentie heb dat mij dezelfde diensten levert als iets dat geld kost, waarom het dan uitgeven? Een andere vraag is dat het mij niet dezelfde diensten leverde , maar is dat als dat zo is. Linux is een besturingssysteem dat is geboren vanuit het perspectief van de service op het netwerk en vergelijkbare functies biedt als de rest van de platforms op de markt, dat is de reden dat velen het met hun platform hebben gekozen om bijvoorbeeld een webservice, ftp, etc., ik gebruik het zeker en niet alleen om forensische distro's te gebruiken maar ook als server in mijn trainingscentrum, ik heb Windows op mijn laptop omdat de licentie bij het apparaat zit, toch gooi ik veel van virtualisaties Linux.
Als antwoord op de vraag: Linux kost niets, er zijn steeds meer applicaties die op dit platform draaien en steeds meer ontwikkelbedrijven maken producten voor Linux. Aan de andere kant, hoewel het niet vrij is van malware, is het aantal infecties lager, dit samen met de flexibiliteit die het platform je geeft om je als een handschoen aan te passen aan de behoeften, geeft het naar mijn mening voldoende kracht om te zijn De eerste keuze van elk bedrijf en het allerbelangrijkste: iedereen kan controleren wat de software doet, om nog maar te zwijgen van het feit dat beveiliging een van zijn sterke punten is.
LxB: Momenteel is er een soort computeroorlogvoering waar ook regeringen aan deelnemen. We hebben malware gezien zoals Stuxnet, Stars, Duqu, enz., Gemaakt door overheden voor specifieke doeleinden, evenals geïnfecteerde firmware (bijvoorbeeld Arduino-kaarten met hun aangepaste firmware), "spionage" laserprinters, enz. Maar zelfs de hardware ontsnapt hier niet aan, er zijn ook gemodificeerde chips verschenen die naast de taken waarvoor ze ogenschijnlijk zijn ontworpen, ook andere verborgen functionaliteiten etc. bevatten. We hebben zelfs ietwat gekke projecten gezien zoals AirHopper (een soort radiogolf-keylogger), BitWhisper (hitte-aanvallen om informatie van het slachtoffer te verzamelen), malware die zich kan verspreiden door geluid, ... overdrijf ik als ik zeg dat ze dat zijn niet langer veilig of computers zijn losgekoppeld van een netwerk?
FN: Zoals ik al heb opgemerkt, is het veiligste systeem het systeem dat is uitgeschakeld en sommigen zeggen dat het is opgesloten in een bunker, man als het is losgekoppeld, denk ik dat het ook vrij veilig is, maar dat is niet de vraag, ik bedoel, naar mijn mening is de vraag niet het aantal bestaande bedreigingen, er zijn steeds meer apparaten die met elkaar zijn verbonden, wat een groter aantal kwetsbaarheden en computeraanvallen van verschillende soorten impliceert, waarbij, zoals je in de vraag goed hebt uitgedrukt, verschillende scheuren worden gebruikt en aanvalsvectoren, maar ik denk van niet. We moeten het probleem concentreren op het verbreken van de verbinding om veilig te zijn, we moeten ons concentreren op het beveiligen van alle services, apparaten, communicatie, enz., zoals ik al heb gezegd, hoewel het waar is dat het aantal bedreigingen groot, het is niet minder waar dat het aantal beveiligingstechnieken niet minder groot is, we missen de menselijke factor, bewustwording en beveiligingstraining, niets meer en onze problemen, zelfs verbonden, zullen minder zijn.
LxB: We eindigen met de persoonlijke mening en als een expert in beveiliging die deze systemen verdienen, zou u ons ook gegevens kunnen verstrekken die moeilijker te beveiligen zijn en meer beveiligingslekken kunnen vinden:
Wat betreft de vraag van een miljoen dollar, welk systeem het veiligst is, het antwoord is eerder gegeven: geen enkele is 100% veilig verbonden met het netwerk.
Windows kent de broncode niet, dus niemand weet precies wat het doet of hoe het het doet, behalve natuurlijk de ontwikkelaars. Van Linux is de broncode bekend en, zoals ik al zei, beveiliging is een van zijn sterke punten, daartegenover is dat het minder vriendelijk is en er veel distro's zijn. Van Mac OS, zijn sterke punt, zijn minimalisme dat terugkeert naar productiviteit, het is een ideaal systeem voor beginners. Om al deze redenen is naar mijn mening Windows het moeilijkst te beveiligen, ondanks het feit dat uit de laatste onderzoeken blijkt dat dit het apparaat is met de minste kwetsbaarheden, behalve je browser. Naar mijn mening heeft het geen zin om te bevestigen dat dit of dat besturingssysteem min of meer kwetsbaar is, er moet rekening worden gehouden met alle factoren waardoor het wordt beïnvloed, kwetsbaarheden, geïnstalleerde applicaties, gebruikers ervan, enz. Zodra met al het bovenstaande rekening is gehouden, ben ik van mening dat de systemen moeten worden versterkt met allerlei beveiligingsmaatregelen, in het algemeen en van toepassing op elk systeem, kan de versterking ervan worden samengevat als deze basispunten:
- Update: houd dit punt in het systeem en alle applicaties die het netwerk gebruiken altijd up-to-date.
- Wachtwoorden moeten voldoende zijn, ik bedoel, met minimaal 8 tekens en een groot woordenboek.
- Perimeterbeveiliging: een goede firewall en IDS kunnen geen kwaad.
- Geen open poorten hebben die geen actieve en bijgewerkte service bieden.
- Maak reservekopieën volgens de behoeften van elk geval en bewaar ze op een veilige plaats.
- Als u met gevoelige gegevens werkt, codering van hetzelfde.
- Versleuteling van communicatie ook.
- Training en bewustwording van gebruikers.
Ik hoop dat je dit interview leuk vond, we zullen meer blijven doen We waarderen het dat je je meningen en opmerkingen...
Ik vond het interview leuk.
Nou, de belangrijkste factor. De gebruiker.
Het systeem is ook deterministisch. In het esoterische van Windows denk ik dat dat de sleutel is. In tegenstelling tot Linux, dat tijd kost. Dit is helemaal niet vertaald, maar het geeft Linux wel een bonus.
Interessant alles aan de orde gesteld. Ik zou graag wat meer willen weten over Helix en het nut ervan