Francisco Nadador forteller oss om sin erfaring i en rettsmedisinsk verden

I dag vi intervjuer eksklusivt for LxA Francisco Nadador, spesialisert i datamaskinmedisin, lidenskapelig om datasikkerhet, hacking og penetrasjonstesting. Francisco ble uteksaminert fra universitetet i Alcalá de Henares og leder nå Komplimatisk, dedikert til undervisningstimer om sikkerhetstemaer og tilbyr tjenester relatert til dette emnet for bedrifter.

Han fullførte en Master (Open University of Catalonia) om datasikkerhet som spesialiserte seg i to emner, Rettsmedisinsk analyse og nettverkssikkerhet. Av denne grunn mottok han en æresgrad og ble senere medlem av National Association of Computer Judicial Appraisers and Experts. Og som han vil forklare oss, De ga ham Cross Medal for Investigative Merit with a White Badge for sin profesjonelle karriere og forskning. Prisen ble også vunnet av Chema Alonso, Angelucho, Josep Albors (administrerende direktør i ESET Spain), etc.

Linux Adictos: Forklar våre lesere hva rettsmedisinsk analyse er.

Francis svømmer: For meg er det en vitenskap som prøver å gi svar på hva som skjedde etter at en datasikkerhetshendelse er et digitalt scenario, svar av typen Hva har skjedd? Når skjedde det? Hvordan skjedde det? Og hva eller hvem forårsaket det?

LxB: Fra din posisjon og erfaring produseres så viktige nettbrudd med så mye
hyppighet i Spania som i andre land?

FN: I følge rapporter publisert av EU og som er i det offentlige rom, er Spania halen for innovative land, sammen med resten av landene i det sørlige området, de er studier som tilbyr sammenlignende forskning og innovasjonsytelse for land som er en del av EU. Dette fører sannsynligvis til at antall sikkerhetshendelser her blir betydelige og deres typologi mangfoldig.
Bedrifter løper risiko hver dag, men i motsetning til hva det kan se ut, det vil si at de kan komme fra eksponeringen mot nettverket, er de risikoer som vanligvis skyldes det svakeste leddet i kjeden, brukeren. Hver gang avhengigheten av enhetene, samt antallet av disse som håndteres, er større, noe som forårsaker et godt sikkerhetsbrudd, sa en studie som jeg nylig leste at mer enn 50% av sikkerhetshendelsene var forårsaket av mennesker, arbeidere, eks -arbeidere osv., som koster selskaper tusenvis av euro, etter min mening er det bare en løsning for dette problemet, opplæring og bevissthet og større sertifisering i ISO27001.
Når det gjelder nettkriminalitet, applikasjoner som WhatsApp, ramsonware (nylig kalt cryptolocker), selvfølgelig, den virtuelle valutaen bitcoin, sårbarheter av forskjellige slag uten praktisk lapping, falske betalinger på Internett, den "ukontrollerte" bruken av sosiale nettverk, etc., er de som har okkupert de første posisjonene på rangering av telematiske forbrytelser.
Svaret er "JA", i Spania forekommer nettbrudd like viktig som i resten av EU-landene, men oftere.

LxB: Du har mottatt en æresgrad for det endelige prosjektet ditt av mesteren du gjorde. Hva mer,
du har en pris ... Fortell oss hele historien.

FN: Vel, jeg er ikke veldig glad i utmerkelser eller anerkjennelser, sannheten er at mitt motto er innsats, arbeid, dedikasjon og insistering, være veldig vedvarende for å nå målene du har satt deg selv.
Jeg gjorde mesteren fordi det er et emne jeg brenner for, jeg fullførte det med suksess, og fra da og til nå har jeg viet meg profesjonelt. Jeg elsker datamaskinmedisinsk etterforskning, jeg liker å søke og finne bevis, og jeg prøver å gjøre det fra det mest overveldende av etikk. Prisen, ikke noe viktig, bare noen trodde at Final Master-arbeidet mitt fortjente det, det er det, jeg gir det ikke mer betydning. I dag er jeg mye mer stolt av et kurs som jeg har utviklet for fullføring online på datamaskinmedisin og som nå er i sin andre utgave.

LxB: Hvilke GNU / Linux-distribusjoner bruker du i det daglige? Jeg forestiller meg Kali Linux, DEFT,
Backtrack og Santoku? Papegøye OS?

FN: Vel, du har nevnt noen få ja. For Pentesting Kali og Backtrack, Santoku for rettsmedisinsk analyse på Mobile og Deft eller Helix, for rettsmedisinsk analyse på PC (blant andre), selv om de er rammeverk, alle som har verktøy for å utføre andre oppgaver relatert til pentesting og datamaskinens rettsmedisinsk analyse, Men det er andre verktøy som jeg liker og har en Linux-versjon som obduksjon, volatilitet, verktøy som Forest, testdisk, Photorec, i kommunikasjonsdelen, wireshark, for å samle informasjonsnessus, nmap, for å utnytte metasploit på en automatisert måte og Ubuntu live selv cd, som lar deg starte en maskin og deretter for eksempel søke etter skadelig programvare, gjenopprette filer osv.

LxB: Hvilke åpen kildekodeverktøy er favorittene dine?

FN: Vel, jeg tror jeg var foran svaret på dette spørsmålet, men jeg vil fordype meg i noe annet. For å utvikle arbeidet mitt bruker jeg hovedsakelig åpen kildekodeverktøy, de er nyttige og lar deg gjøre de samme tingene som de som er betalt for brukslisens, så etter min mening kan arbeidet utføres perfekt med disse verktøyene.
Her tar Linux-rammene jackpotten, jeg mener, de er fantastiske. Linux er den beste plattformen for distribusjon av rettsmedisinske analyseverktøy, det er flere verktøy for dette operativsystemet enn for noen andre, og alle, vel heller, de aller fleste er gratis, gratis og åpen kildekode, som gjør at de kan være tilpasset.
På den annen side kan andre operativsystemer analyseres uten problemer fra Linux. Den eneste ulempen er kanskje at den er litt mer kompleks i bruk og vedlikehold, og siden de ikke er kommersielle, har de ikke kontinuerlig støtte. Mine favoritter, sa jeg dem før, Deft, obduksjon, Volatility, og noen flere.

LxB: Kan du fortelle oss litt om The Sleuth Kit ... Hva er det? Applikasjoner?

FN: Vel, jeg har allerede snakket på en måte om disse verktøyene i de forrige punktene. Det er et miljø å utføre rettsmedisinsk dataanalyse, bildet sitt, "hundhunden", vel i den siste versjonen har hunden ansiktet til å ha et verre geni, sannheten .
Den viktigste lenken i denne gruppen verktøy, obduksjon.
De er volumverktøy for systemer som tillater undersøkelse av datamaskinens rettsmedisinske bilder av forskjellige typer plattformer på en "IKKE-INTRUSIV" måte, og dette er det viktigste gitt sin betydning i rettsmedisin.
Den har muligheten til å bli brukt i kommandolinjemodus, så blir hvert verktøy utført i et eget terminalmiljø, eller på en mye mer “vennlig” måte kan det grafiske miljøet brukes, som gjør det mulig å utføre en undersøkelse i en enkel måte.

LxB: Kan du gjøre det samme med LiveCD distro som heter HELIX?

FN:Vel, det er en annen av rammene for rettsmedisinsk dataanalyse, også multimiljø, det vil si at den analyserer rettsmedisinske bilder av Linux-, Windows- og Mac-systemer, samt bilder av RAM og andre enheter.
Kanskje de kraftigste verktøyene er Adept for enhetskloning (hovedsakelig disker), Aff, et verktøy for rettsmedisinsk analyse relatert til metadata og selvfølgelig! Obduksjon. Foruten disse har den mange flere verktøy.
Ulempen, den profesjonelle versjonen er betalt, selv om den også har en gratis versjon.

LxB: TCT (The Coroner's Toolkit) er et prosjekt som ble erstattet av The Sleuth Kit.
fortsette å bruke da?

FN:TCT var den første av verktøysett for rettsmedisinsk analyse, verktøy som gravrøver, lazarus eller findkey markerte det, og for analyse av gamle systemer er det mer effektivt enn forgjengeren, litt det samme som det skjer med backtrack og kali, Jeg bruker fremdeles begge deler.

LxB: Guidance Software har opprettet EnCase, betalt og lukket. Finner heller ikke for andre operativsystemer som ikke er Windows. Gjør denne typen programvare absolutt opp for å ha gratis alternativer? Jeg tror at praktisk talt alle behov dekkes med gratis og gratis prosjekter, eller tar jeg feil?

FN: Jeg tror jeg allerede har svart på dette, etter min beskjedne mening NEI, det kompenserer ikke og JA, alle behov for å utføre datamaskinrettsmedisinsk analyse er dekket med gratis og gratis prosjekter.

LxB: Med henvisning til ovennevnte spørsmål ser jeg at EnCase er for Windows og andre
verktøy som FTK, Xways, for rettsmedisinsk analyse, men også mange andre verktøy for penetrering og sikkerhet. Hvorfor bruke Windows til disse emnene?

FN: Jeg ville ikke vite hvordan jeg skal svare på det spørsmålet med sikkerhet, jeg bruker i det minste 75% av testene som jeg utfører verktøy utviklet for Linux-plattformer, selv om jeg innser at det er flere og flere verktøy utviklet for disse formålene på Windows plattformer, og jeg anerkjenner også at jeg satte dem på prøve, og noen ganger bruker jeg den også, så lenge den tilhører gratis-å-bruke-prosjekter.

LxB: Dette spørsmålet kan være noe eksotisk, for å kalle det noe. Men tror du at kun bevisene fra åpen kildekode-programvare skal være gyldige og ikke den lukkede for å presentere bevis i forsøkene? La meg forklare, det kan være veldig dårlig tanke og komme til å tro at de har vært i stand til å lage proprietær programvare som gir feil data i noen forstand for å frita noen eller visse grupper, og det ville ikke være noen måte å se på kildekoden for å se hva den gjør eller gjør ikke den programvaren. Det er litt vridd, men jeg ber deg gi din mening, berolige deg selv, eller tvert imot, bli med i denne oppfatningen ...

FN: Nei, jeg er ikke av den oppfatningen, jeg bruker for det meste gratis programvareverktøy og i mange tilfeller åpne, men jeg tror ikke at noen utvikler verktøy som gir feil data for å frita noen, selv om det er sant at det nylig har dukket opp noen programmer at de bevisst tilbød gale data, det var i en annen sektor, og jeg tror det er unntaket som bekrefter regelen, egentlig, jeg tror ikke det, utviklingen, etter min mening, gjøres profesjonelt og i det minste i dette tilfellet, de er utelukkende basert på vitenskap, bevis behandlet fra vitenskapens synspunkt, rett og slett, det er min mening og min tro.

LxB: For noen dager siden hevdet Linus Torvalds at total sikkerhet ikke er mulig, og at utviklere ikke burde være besatt i denne forbindelse og prioritere andre funksjoner (pålitelighet, ytelse, ...). Washintong Post tok opp disse ordene og skremte fordi Linus Torvalds "er mannen som har internettets fremtid i hendene", på grunn av mengden servere og nettverkstjenester som fungerer takket være kjernen han opprettet. Hvilken mening fortjener du?

FN: Jeg er helt enig med ham, total sikkerhet eksisterer ikke, hvis du virkelig vil ha total sikkerhet på en server, slår den av eller kobler den fra nettverket, begraver den, men selvfølgelig er den ikke lenger en server, trusler vil alltid eksisterer, det vi må dekke er sårbarhetene som kan unngås, men selvfølgelig må de først bli funnet, og noen ganger tar det tid å utføre dette søket, ellers gjør andre det for uklare formål.
Imidlertid tror jeg at vi teknologisk sett er på et veldig høyt systemsikkerhetspunkt, ting har forbedret seg mye, nå er det brukerens bevissthet, som jeg sa i tidligere svar, og det er fortsatt grønt.

LxB: Jeg forestiller meg at nettkriminelle gjør det vanskeligere hver gang (TOR, I2P, Freenet, steganography, kryptering, Emergency Self-Destruction of LUKS, proxy, metadata cleaning, etc). Hvordan handler du i disse sakene for å fremlegge bevis i retten? Er det tilfeller der du ikke kan?

FN: Vel, hvis det er sant at ting blir mer komplekse, og det også er tilfeller der jeg ikke har vært i stand til å handle, uten å gå lenger med den berømte cryptolocker, har klienter ringt meg og ber om min hjelp, og vi har ikke klart å gjøre mye med det, som kjent, er det en løsepengeprogramvare som, ved å dra nytte av sosialteknikk, nok en gang brukeren er den svakeste lenken, krypterer innholdet på harddiskene og leder alle fagpersoner innen datasikkerhet, vitenskapelige enheter i rettshåndhevelse, produsenter av sikkerhetspakker og rettsmedisinsk analytiker, kan vi ikke takle problemet ennå.
På det første spørsmålet, hvordan handler vi for å bringe disse problemene for retten, vel hvordan gjør vi det med all bevis, mener jeg, med profesjonell etikk, også sofistikerte verktøy, kunnskap om vitenskap og prøver å finne svarene på spørsmålene som i det første spørsmålet, verdt redundansen som jeg uttalte, finner jeg ingen forskjell. Det som skjer er at noen ganger blir ikke disse svarene funnet.

LxB: Vil du anbefale selskaper å bytte til Linux? Hvorfor?

FN: Jeg vil ikke si så mye, jeg mener, jeg tror at hvis jeg har noe uten lisens som gir meg de samme tjenestene som noe som koster penger, hvorfor bruke det? Et annet spørsmål er at det ikke gir meg det samme tjenester, men er det hvis det gjør det. Linux er et operativsystem som er født fra nettverkstjenestens perspektiv og tilbyr lignende funksjoner som resten av plattformene på markedet, det er grunnen til at mange har valgt det med sin plattform for for eksempel å tilby en nettjeneste , ftp, etc., jeg bruker det absolutt og ikke bare for å bruke rettsmedisinske distroer, men som server i treningssenteret mitt har jeg Windows på den bærbare datamaskinen fordi lisensen er innlemmet i enheten, selv om jeg kaster mange virtualiseringer Linux .
Som svar på spørsmålet koster ikke Linux, det er et økende antall applikasjoner som kjører på denne plattformen, og stadig flere utviklingsbedrifter lager produkter for Linux. På den annen side, selv om den ikke er fri for skadelig programvare, er antallet infeksjoner lavere, dette sammen med fleksibiliteten som plattformen gir deg til å tilpasse deg som en hanske til behovene, gir den, etter min mening, nok styrke til å være Det første valget for ethvert selskap og viktigst av alt, alle kan revidere hva programvaren gjør, for ikke å nevne at sikkerhet er en av styrkene.

LxB: For tiden er det en slags datakrigføring der regjeringer også deltar. Vi har sett skadelig programvare som Stuxnet, Stars, Duqu, etc., opprettet av myndigheter for bestemte formål, samt infisert firmware (for eksempel Arduino-kort med deres modifiserte firmware), "spionere" laserskrivere osv. Men ikke engang maskinvaren rømmer fra dette, det har også dukket opp modifiserte chips som i tillegg til oppgavene de tilsynelatende ble designet for, også inkluderer andre skjulte funksjoner osv. Vi har til og med sett litt sprø prosjekter som AirHopper (en slags radiobølge-keylogger), BitWhisper (varmeangrep for å samle informasjon fra offeret), skadelig programvare som kan spre seg med lyd, ... Overdriver jeg hvis jeg sier at de er ikke lenger trygt eller datamaskiner koblet fra noe nettverk?

FN: Som jeg allerede har kommentert, er det sikreste systemet det som er slått av, og noen sier at det er låst i en bunker. Hvis det ikke er koblet fra, tror jeg det er ganske trygt også, men det er ikke spørsmålet, jeg mener, etter min mening er ikke spørsmålet mengden eksisterende trusler, det er flere og flere enheter som er sammenkoblet, noe som innebærer et større antall sårbarheter og datamaskinangrep av forskjellige slag, ved å bruke, som du har uttrykt i spørsmålet, forskjellige sprekker og angripe vektorer, men jeg tror ikke Vi må fokusere problemet på frakobling for å være trygt, vi må fokusere på å sikre alle tjenester, enheter, kommunikasjon, etc., som jeg allerede har nevnt, selv om det er sant at antall trusler er stort, er det ikke mindre sant at antall sikkerhetsteknikker ikke er mindre store, vi mangler den menneskelige faktoren, bevissthet og sikkerhetstrening, ikke noe mer, og våre problemer, til og med forbundet, vil være mindre.

LxB: Vi slutter med den personlige oppfatningen, og som en sikkerhetsekspert som disse systemene fortjener, kan du også gi oss data som det er vanskeligere å sikre og finne flere sikkerhetshull:

Når det gjelder million dollar-spørsmålet, hvilket system som er det tryggeste, ble svaret gitt før, ingen er 100% sikre koblet til nettverket.
Windows kjenner ikke kildekoden, derfor vet ingen nøyaktig hva den gjør eller hvordan den gjør det, bortsett fra utviklere selvfølgelig. Fra Linux er kildekoden kjent, og som sagt, sikkerhet er en av dens styrker, mot den er at den er mindre vennlig og det er mange distroer. Fra Mac OS, dens sterke side, dens minimalisme som går tilbake til produktivitet er et ideelt system for nybegynnere. Av alle disse grunnene er det etter min mening Windows som er vanskeligst å sikre, til tross for at de nyeste studiene avslører at det har minst sårbarheter, vel bortsett fra nettleseren din. Etter min mening gir det ingen mening å bekrefte at dette eller det andre operativsystemet er mer eller mindre sårbart, alle faktorene det påvirkes av må tas i betraktning, sårbarheter, installerte applikasjoner, brukere av det samme osv. Når alt det ovennevnte er tatt i betraktning, mener jeg at systemene bør forsterkes med alle slags sikkerhetstiltak, generelt og gjeldende for ethvert system, og befestningen av det samme kan oppsummeres er disse grunnleggende punktene:

• Oppdatering: Hold alltid dette punktet i systemet og alle applikasjonene som bruker nettverket oppdatert.
• Passord må være tilstrekkelig, mener jeg, med minst 8 tegn og en stor ordbok.
• Perimeter sikkerhet: En god brannmur og IDS ville ikke skade.
• Å ikke ha åpne porter som ikke tilbyr en aktiv og oppdatert tjeneste.
• Lag sikkerhetskopier i henhold til behovene i hvert tilfelle og oppbevar dem på trygge steder.
• Hvis du jobber med sensitive data, krypteres det samme.
• Kryptering av kommunikasjon også.
• Opplæring og bevissthet om brukere.

Jeg håper du likte dette intervjuet, vi vil fortsette å gjøre mer. Vi setter pris på at du forlater meninger og kommentarer...