Francisco Nadador opowiada nam o swoich doświadczeniach w świecie analiz kryminalistycznych

Dzisiaj przeprowadzamy wywiad wyłącznie dla LxA Francisco Nadador, specjalizujący się w informatyce śledczej, pasjonat bezpieczeństwa komputerowego, hakowania i testów penetracyjnych. Francisco jest absolwentem Uniwersytetu Alcalá de Henares i obecnie reżyseruje Complumatic, poświęcony prowadzeniu zajęć z tematyki bezpieczeństwa i oferuje usługi związane z tą tematyką dla firm.

Ukończył studia magisterskie (Open University of Catalonia) w dziedzinie bezpieczeństwa komputerowego, specjalizując się w dwóch tematach, analizie kryminalistycznej i bezpieczeństwie sieci. Z tego powodu otrzymał tytuł honorowy, a później został członkiem Krajowego Stowarzyszenia Rzeczoznawców i Ekspertów Komputerowych Rzeczoznawców Sądowych. I jak nam wyjaśni, Dali mu Krzyż Medal za Zasługi Śledcze z Białą Odznaką za swoją karierę zawodową i badania. Nagrodę zdobyli również Chema Alonso, Angelucho, Josep Albors (CEO ESET Hiszpania) itp.

Linux Adictos: Wyjaśnij naszym czytelnikom, czym jest analiza kryminalistyczna.

Francis Pływak: Dla mnie jest to nauka, która próbuje odpowiedzieć na to, co się stało po incydencie bezpieczeństwa komputerowego, jest scenariuszem cyfrowym, odpowiedziami typu Co się stało? Kiedy to się stało? Jak to się stało? A co lub kto to spowodował?

dł. x szer.: Z twojego stanowiska i doświadczenia wynika, że ​​tak ważne cyberprzestępstwa występują z tak dużą ilością
częstotliwość w Hiszpanii jak w innych krajach?

FN: Cóż, według raportów opublikowanych przez UE i znajdujących się w domenie publicznej, Hiszpania znajduje się na samym dole krajów innowacyjnych, podobnie jak reszta krajów na południu, są to badania, które oferują porównawcze wyniki badań i innowacji krajów należących do UE. To prawdopodobnie powoduje, że liczba incydentów związanych z bezpieczeństwem jest tutaj znaczna, a ich typologia jest zróżnicowana.
Firmy na co dzień narażone są na ryzyko, ale wbrew pozorom, to znaczy, że mogą wynikać z narażenia na kontakt z siecią, są to ryzyka, które są zwykle powodowane przez najsłabsze ogniwo w łańcuchu, czyli użytkownika. Za każdym razem, gdy zależność urządzeń, a także liczba obsługiwanych urządzeń jest większa, co powoduje dobre naruszenie bezpieczeństwa, w badaniu, które czytałem niedawno, stwierdzono, że ponad 50% incydentów związanych z bezpieczeństwem było spowodowanych przez ludzi, pracowników, np. -pracownicy itp., kosztujący firmy wiele tysięcy euro, moim zdaniem jest tylko jedno rozwiązanie tego problemu, szkolenie i świadomość oraz większa certyfikacja w ISO27001.
Jeśli chodzi o cyberprzestępczość, aplikacje takie jak WhatsApp, ramsonware (ostatnio zwane cryptolocker), oczywiście wirtualna waluta bitcoin, różnego rodzaju luki bez wygodnego łatania, fałszywe płatności w Internecie, „niekontrolowane” korzystanie z sieci społecznościowych itp., to te, które zajęły pierwsze miejsca w rankingach przestępstw telematycznych.
Odpowiedź brzmi „TAK”, w Hiszpanii cyberprzestępstwa są równie ważne jak w pozostałych państwach członkowskich UE, ale częściej.

dł. x szer.: Otrzymałeś Matriculation of Honor za swój ostatni projekt Mistrza, który zrobiłeś. Co więcej,
dostałeś nagrodę… Opowiedz nam całą historię.

FN: Cóż, nie przepadam za nagrodami ani wyróżnieniami, prawda jest taka, że ​​moim mottem jest wysiłek, praca, poświęcenie i upór, bądź bardzo wytrwały w osiąganiu celów, które sobie wyznaczyłeś.
Zrobiłem Master, ponieważ jest to temat, który mnie pasjonuje, ukończyłem go z sukcesem i od tamtej pory do dziś zawodowo się temu poświęcam. Uwielbiam komputerowe śledztwo kryminalistyczne, lubię szukać i znajdować dowody i staram się to robić z najbardziej przytłaczającej etyki. Nagroda, nic ważnego, po prostu ktoś pomyślał, że praca mojego mistrza na to zasłużyła, to wszystko, nie przywiązuję do tego większej wagi. Dziś jestem znacznie bardziej dumny z kursu, który opracowałem w celu ukończenia go online z informatyki śledczej i który jest teraz w drugiej edycji.

dł. x szer.: Jakich dystrybucji GNU / Linuksa używasz na co dzień? Wyobrażam sobie Kali Linux, DEFT,
Backtrack i Santoku? Parrot OS?

FN: Cóż, kilka z nich wymieniłeś tak. Dla Pentesting Kali i Backtrack, Santoku for Forensic analysis on Mobile i Deft lub Helix, do analizy kryminalistycznej na PC (między innymi), chociaż są to frameworki, wszystkie z narzędziami do wykonywania innych zadań związanych z pentestingiem i komputerową analizą kryminalistyczną, Ale są inne narzędzia, które lubię i mam wersję Linuksa, takie jak autopsja, zmienność, narzędzia takie jak Foremost, testdisk, Photorec, w części komunikacyjnej, wireshark, do zbierania informacji nessus, nmap, do wykorzystywania metasploit w sposób zautomatyzowany i Ubuntu live sobie cd, który pozwala na uruchomienie maszyny, a następnie np. wyszukanie złośliwego oprogramowania, odzyskanie plików itp.

dł. x szer.: Jakie narzędzia open source są Twoimi ulubionymi?

FN: Cóż, myślę, że wyprzedziłem odpowiedź na to pytanie, ale zagłębię się w coś innego. Do rozwijania swojej pracy używam głównie narzędzi open source, są one przydatne i pozwalają robić to samo, co te, które są płatne za licencję użytkowania, wtedy moim zdaniem pracę można doskonale wykonać tymi narzędziami.
Tutaj frameworki Linuksa biorą górę, mam na myśli, są cudowne. Linux jest najlepszą platformą do wdrażania narzędzi do analizy kryminalistycznej, jest więcej narzędzi dla tego systemu operacyjnego niż dla jakiegokolwiek innego i wszystkie, cóż, zdecydowana większość jest bezpłatna, dobrze wolna i Open Source, co pozwala im być przystosowany.
Z drugiej strony inne systemy operacyjne można bez problemu analizować z poziomu Linuksa.Jedyną wadą może być to, że jest nieco bardziej skomplikowany w użytkowaniu i utrzymaniu, a także, ponieważ nie są komercyjne, nie mają nieprzerwane wsparcie. Moi faworyci, powiedziałem je wcześniej, Zręczność, Autopsja, Zmienność i kilka innych.

dł. x szer.: Czy mógłbyś nam trochę opowiedzieć o zestawie The Sleuth… Co to jest? Aplikacje?

FN: Cóż, mówiłem już w pewnym sensie o tych narzędziach w poprzednich punktach. Jest to środowisko do przeprowadzania komputerowej analizy kryminalistycznej, jego obrazu „pies gończy”, no cóż, w najnowszej wersji pies ma twarz gorszego geniusza prawda 
Najważniejsze ogniwo w tej grupie narzędzi, autopsja.
Są to narzędzia objętościowe, które umożliwiają badanie komputerowych obrazów kryminalistycznych z różnych platform w sposób „NIEINTRUZYWNY”, a to jest najważniejsze, biorąc pod uwagę jego znaczenie w kryminalistyce.
Posiada możliwość pracy w trybie wiersza poleceń, wówczas każde narzędzie jest uruchamiane w osobnym środowisku terminalowym lub też w dużo bardziej „przyjazny” sposób można wykorzystać środowisko graficzne, co pozwala na przeprowadzenie badania w prosty sposób.

dł. x szer.: Czy możesz zrobić to samo z dystrybucją LiveCD o nazwie HELIX?

FN:Cóż, to kolejny framework do komputerowej analizy kryminalistycznej, także wielośrodowiskowej, czyli analizuje kryminalistyczne obrazy systemów Linux, Windows i Mac, a także obrazy pamięci RAM i innych urządzeń.
Być może jego najpotężniejszymi narzędziami są Adept do klonowania urządzeń (głównie dysków), Aff, narzędzie do analizy kryminalistycznej związanej z metadanymi i oczywiście! Autopsja. Oprócz tego ma o wiele więcej narzędzi.
Minusem jest to, że jego wersja profesjonalna jest płatna, chociaż ma również wersję darmową.

dł. x szer.: TCT (The Coroner's Toolkit) to projekt, który został zastąpiony przez The Sleuth Kit.
dalej używać?

FN:TCT był pierwszym z zestawów narzędzi do analizy kryminalistycznej, podkreślały go narzędzia takie jak grave-rabber, lazarus czy findkey, a do analizy starych systemów jest bardziej wydajny niż jego poprzednik, trochę tak samo jak w przypadku backtrack i kali, Na przykład nadal używam obu.

dł. x szer.: Guidance Software stworzyło EnCase, płatne i zamknięte. Nie znaleziono również w innych systemach operacyjnych innych niż Windows. Czy z pewnością nadrabia tego typu oprogramowanie, mając darmowe alternatywy? Uważam, że praktycznie wszystkie potrzeby pokrywają darmowe i darmowe projekty, czy się mylę?

FN: Myślę, że już na to odpowiedziałem, moim skromnym zdaniem NIE, to nie rekompensuje i TAK, wszystkie potrzeby do wykonania komputerowej analizy kryminalistycznej są objęte darmowymi i darmowymi projektami.

dł. x szer.: Odnosząc się do powyższego pytania, widzę, że EnCase jest dla Windowsa i nie tylko
narzędzia takie jak FTK, Xways do analizy kryminalistycznej, ale także wiele innych narzędzi do penetracji i bezpieczeństwa. Dlaczego warto korzystać z systemu Windows w przypadku tych tematów?

FN: Nie wiedziałbym, jak z całą pewnością odpowiedzieć na to pytanie, korzystam przynajmniej z 75% testów, które wykonuję na narzędziach stworzonych na platformy Linux, choć zdaję sobie sprawę, że na Windows powstaje coraz więcej narzędzi do tego celu platformy i zdaję sobie sprawę, że wystawiam je na próbę i czasami też z nich korzystam, o ile należy do projektów bezpłatnych.

dł. x szer.: To pytanie może być czymś egzotycznym, nazwijmy to czymś. Ale czy uważasz, że aby przedstawić dowody w próbach, tylko dowody dostarczone przez oprogramowanie open source powinny być ważne, a nie zamknięte? Pozwólcie, że wyjaśnię, może to być bardzo zła myśl i dojść do wniosku, że udało im się stworzyć zastrzeżone oprogramowanie, które dostarcza błędnych danych w pewnym sensie, aby uniewinnić kogoś lub określone grupy i nie byłoby sposobu, aby przejrzeć kod źródłowy, aby zobaczyć, co robi lub nie robi tego oprogramowania. To trochę pokręcone, ale proponuję Wam to, abyście mogli wyrazić swoją opinię, uspokoić się lub wręcz przeciwnie, przyłączyć się do tej opinii ...

FN: Nie, nie jestem tego zdania, korzystam głównie z narzędzi wolnego oprogramowania iw wielu przypadkach otwartych, ale nie sądzę, aby ktoś opracował narzędzia, które podają błędne dane, aby kogoś uniewinnić, chociaż prawdą jest, że ostatnio pojawiły się programy że celowo podawali błędne dane, to było w innym sektorze i myślę, że jest to wyjątek, który potwierdza regułę, naprawdę, nie sądzę, zmiany, moim zdaniem, są wykonane profesjonalnie i przynajmniej w tym przypadku, opierają się one wyłącznie na nauce, dowodach traktowanych z punktu widzenia nauki, po prostu taka jest moja opinia i moja wiara.

dł. x szer.: Kilka dni temu Linus Torvalds twierdził, że całkowite bezpieczeństwo nie jest możliwe i że programiści nie powinni mieć obsesji w tym względzie i dawać pierwszeństwo innym funkcjom (niezawodność, wydajność, ...). Washintong Post wychwycił te słowa i były one niepokojące, ponieważ Linus Torvalds „jest człowiekiem, który ma w swoich rękach przyszłość Internetu”, ze względu na liczbę serwerów i usług sieciowych, które działają dzięki stworzonemu przez niego jądru. Na jaką opinię zasługujesz?

FN: Absolutnie się z nim zgadzam, totalne bezpieczeństwo nie istnieje, jeśli naprawdę chcesz całkowitego bezpieczeństwa na serwerze, wyłącz go lub odłącz od sieci, zakop go, ale oczywiście wtedy nie jest to już serwer, zagrożenia będą zawsze istnieją, musimy uwzględnić luki w zabezpieczeniach, których można uniknąć, ale oczywiście należy je najpierw znaleźć, a czasami wyszukiwanie zajmuje trochę czasu lub inni robią to w niejasnych celach.
Myślę jednak, że pod względem technologicznym jesteśmy na bardzo wysokim poziomie bezpieczeństwa systemów, sytuacja bardzo się poprawiła, teraz jest to świadomość użytkownika, jak powiedziałem w poprzednich odpowiedziach, i nadal jest zielona.

dł. x szer.: Wyobrażam sobie, że cyberprzestępcy za każdym razem utrudniają to zadanie (TOR, I2P, Freenet, steganografia, szyfrowanie, awaryjne samozniszczenie LUKS, proxy, czyszczenie metadanych itp.). Jak postępujesz w takich przypadkach, aby przedstawić dowody w sądzie? Czy są przypadki, w których nie możesz?

FN: Cóż, jeśli to prawda, że ​​sprawy się komplikują i zdarzają się również przypadki, w których nie mogłem działać, nie posuwając się dalej ze słynnym cryptolockerem, klienci dzwonili do mnie z prośbą o pomoc i nie byliśmy w stanie wiele z tym zrobić, jak wiadomo, jest to ransomware, które wykorzystując socjotechnikę, po raz kolejny jest najsłabszym ogniwem użytkownika, szyfruje zawartość dysków twardych i prowadzi wszystkich specjalistów od bezpieczeństwa komputerowego, jednostek naukowych prawa organów ścigania, producentów pakietów bezpieczeństwa i analityków kryminalistycznych, nie jesteśmy jeszcze w stanie rozwiązać tego problemu.
Na pierwsze pytanie, jak postępujemy, aby postawić te kwestie na próbę, no cóż, jak sobie radzimy ze wszystkimi dowodami, to znaczy z etyką zawodową, także z wyrafinowanymi narzędziami, wiedzą naukową i próbą znalezienia odpowiedzi na pytania, które w pierwszym pytaniu wartym redundancji podałem, nie znajduję różnicy, co się dzieje, że czasami tych odpowiedzi nie ma.

dł. x szer.: Czy poleciłbyś firmom przejście na Linuksa? Dlaczego?

FN: Nie powiedziałbym tak dużo, to znaczy myślę, że jeśli mam coś wolnego od licencji, co świadczy mi te same usługi, co coś, co kosztuje, to po co to wydawać? Inną kwestią jest to, że nie zapewnia mi tego samego usług, ale czy tak jest. Linux to system operacyjny, który narodził się z perspektywy usługi w sieci i oferuje podobne funkcje do reszty platform na rynku, dlatego wielu wybrało go ze swoją platformą, aby np. serwis internetowy, ftp itp., na pewno z niego korzystam i nie tylko do korzystania z dystrybucji kryminalistycznych ale także jako serwer w moim centrum szkoleniowym, na laptopie mam Windowsa bo licencja jest wbudowana w urządzenie, mimo to dużo rzucam wirtualizacji Linux.
Odpowiadając na pytanie, Linux nie kosztuje, rośnie liczba aplikacji działających na tej platformie i coraz więcej firm programistycznych tworzy produkty dla Linuksa. Z drugiej strony, choć nie jest wolny od złośliwego oprogramowania, liczba infekcji jest mniejsza, to wraz z elastycznością, jaką daje platforma w dostosowywaniu się jak rękawiczka do potrzeb, daje jej, moim zdaniem, wystarczającą siłę, by być Pierwszy wybór każdej firmy i co najważniejsze, każdy może przeprowadzić audyt tego, co robi oprogramowanie, nie wspominając o tym, że bezpieczeństwo jest jedną z jego mocnych stron.

dł. x szer.: Obecnie istnieje rodzaj wojny komputerowej, w której uczestniczą również rządy. Widzieliśmy złośliwe oprogramowanie, takie jak Stuxnet, Stars, Duqu itp., Tworzone przez rządy do określonych celów, a także zainfekowane oprogramowanie układowe (na przykład płyty Arduino ze zmodyfikowanym oprogramowaniem), „szpiegowskie” drukarki laserowe itp. Ale nawet sprzęt przed tym nie ucieka, pojawiły się też zmodyfikowane chipy, które oprócz zadań, do których najwyraźniej zostały zaprojektowane, zawierają również inne ukryte funkcjonalności itp. Widzieliśmy nawet nieco szalone projekty, takie jak AirHopper (rodzaj keyloggera fal radiowych), BitWhisper (ataki cieplne w celu zebrania informacji od ofiary), złośliwe oprogramowanie zdolne do rozprzestrzeniania się za pomocą dźwięku ... Czy przesadzam, jeśli powiem, że są nie jest już bezpieczny lub komputery są odłączone od jakiejkolwiek sieci?

FN: Jak już wspomniałem, najbezpieczniejszym systemem jest ten, który jest wyłączony i niektórzy mówią, że jest zamknięty w bunkrze, człowieku jak jest odłączony myślę, że to też jest całkiem bezpieczny, ale nie o to chodzi, to znaczy, moim zdaniem nie chodzi o ilość istniejących zagrożeń, jest coraz więcej urządzeń, które są ze sobą połączone, co implikuje większą liczbę podatności i różnego rodzaju ataków komputerowych, wykorzystujących, jak dobrze Pan wyraził w pytaniu, różne pęknięcia i wektory ataków, ale myślę, że nie. Aby zapewnić bezpieczeństwo, musimy skupić się na rozłączaniu, musimy skupić się na zabezpieczeniu wszystkich usług, urządzeń, komunikacji itp., jak już wspomniałem, chociaż prawdą jest, że liczba zagrożeń jest duże, nie mniej prawdą jest, że liczba technik bezpieczeństwa jest nie mniej wielka, brakuje nam czynnika ludzkiego, szkolenia świadomości i bezpieczeństwa, niczego więcej, a naszych problemów, nawet powiązanych, będzie mniej.

dł. x szer.: Kończymy osobistą opinią i jako ekspert ds. Bezpieczeństwa, na który zasługują te systemy, możesz również przekazać nam dane, na których trudniej jest zabezpieczyć i znaleźć więcej luk w zabezpieczeniach:

Jeśli chodzi o pytanie za milion dolarów, który system jest najbezpieczniejszy, odpowiedź została udzielona wcześniej, żaden nie jest w 100% bezpieczny podłączony do sieci.
Windows nie zna swojego kodu źródłowego, dlatego nikt nie wie dokładnie, co robi ani jak to robi, z wyjątkiem oczywiście programistów. Kod źródłowy Linuksa jest znany i, jak powiedziałem, bezpieczeństwo jest jedną z jego mocnych stron, przeciwko niemu jest to, że jest mniej przyjazny i istnieje wiele dystrybucji. Mac OS, jego mocna strona, minimalizm, który powraca do produktywności, jest to idealny system dla początkujących. Z tych wszystkich powodów moim zdaniem najtrudniejszy do zabezpieczenia jest Windows, mimo że najnowsze badania pokazują, że jest to ten, który ma najmniej luk w zabezpieczeniach, no no, poza przeglądarką. Moim zdaniem nie ma sensu mówienie, że ten lub inny system operacyjny jest mniej lub bardziej podatny na ataki, należy wziąć pod uwagę wszystkie czynniki, na które ma wpływ, podatności, zainstalowane aplikacje, jego użytkownicy itp. Gdy weźmiemy pod uwagę wszystkie powyższe, uważam, że systemy powinny być wzmocnione wszelkimi rodzajami środków bezpieczeństwa, ogólnie i mających zastosowanie do każdego systemu, ufortyfikowanie tego samego można podsumować w następujących podstawowych punktach:

• Aktualizacja: Zawsze aktualizuj ten punkt w systemie i wszystkich aplikacjach korzystających z sieci.
• Hasła muszą być adekwatne, mam na myśli co najmniej 8 znaków i duży słownik.
• Bezpieczeństwo obwodowe: dobra zapora i system wykrywania włamań nie zaszkodzą.
• Brak otwartych portów, które nie oferują aktywnej i zaktualizowanej usługi.
• Wykonuj kopie zapasowe zgodnie z potrzebami każdej sprawy i przechowuj je w bezpiecznych miejscach.
• Jeśli pracujesz z poufnymi danymi, szyfrowanie tego samego.
• Szyfrowanie również komunikacji.
• Szkolenie i świadomość użytkowników.

Mam nadzieję, że spodobał Ci się ten wywiad, będziemy robić więcej. Doceniamy, że zostawiłeś swój opinie i komentarze...