Francisco Nadador nos conta sobre sua experiência no mundo da análise forense

Hoje entrevistamos exclusivamente para LxA Francisco Nadador, especializada em computação forense, apaixonada por segurança de computador, hacking e testes de penetração. Francisco se formou na Universidade de Alcalá de Henares e agora dirige Complumático, que se dedica a ministrar aulas sobre questões de segurança e oferece serviços relacionados a esse tema para empresas.

Ele completou um mestrado (Universidade Aberta da Catalunha) em segurança de computador com especialização em dois tópicos, Análise Forense e Segurança de Rede. Por esta razão, ele recebeu um diploma honorário e mais tarde tornou-se membro da National Association of Computer Judicial Appraisers and Experts. E como ele vai nos explicar, Eles deram a ele a Medalha Cruz de Mérito Investigativo com um Distintivo Branco por sua carreira profissional e pesquisa. Prêmio também ganho por Chema Alonso, Angelucho, Josep Albors (CEO da ESET Espanha), etc.

Linux Adictos: Explique aos nossos leitores o que é análise forense.

Francisco nadador: Para mim, é uma ciência que tenta dar respostas ao que aconteceu depois de um incidente de segurança de computador é um cenário digital, respostas do tipo O que aconteceu? Quando aconteceu? Como aconteceu? E o que ou quem causou isso?

LxW: De acordo com sua posição e experiência, tais crimes cibernéticos importantes ocorrem com tanto
frequência na Espanha como em outros países?

FN: Pois bem, de acordo com relatórios publicados pela UE e que são do domínio público, a Espanha está na cauda dos países inovadores, juntamente com o resto dos países da zona sul, são estudos que oferecem comparações da investigação e inovação desempenho dos países que fazem parte da UE. Isso provavelmente faz com que o número de incidentes de segurança seja significativo aqui e sua tipologia diversa.
As empresas correm riscos no dia a dia, mas ao contrário do que possa parecer, ou seja, que possam vir de sua exposição à rede, são riscos que geralmente são causados ​​pelo elo mais fraco da cadeia, o usuário. Cada vez que a dependência dos dispositivos, bem como do número destes que são manuseados é maior, o que provoca uma boa quebra de segurança, um estudo que li recentemente dizia que mais de 50% dos incidentes de segurança foram causados ​​por pessoas, trabalhadores, ex -trabalhadores, etc., a custar às empresas muitos milhares de euros, a meu ver só existe uma solução para este problema, formação e sensibilização e maior certificação na ISO27001.
Quanto aos cibercrimes, aplicativos como WhatsApp, ramsonware (ultimamente chamado de cryptolocker), claro, a moeda virtual bitcoin, vulnerabilidades de vários tipos sem remendar convenientemente, pagamento fraudulento na Internet, uso "descontrolado" de redes sociais, etc. são aqueles que ocuparam as primeiras posições no ranking de crimes telemáticos.
A resposta é "SIM". Na Espanha, os crimes cibernéticos são tão importantes quanto no resto dos Estados membros da UE, mas com mais frequência.

LxW: Você recebeu um Grau de Honra pelo seu projeto final do Mestrado que você fez. O que mais,
você ganhou um prêmio ... Conte-nos toda a história.

FN: Pois bem, não gosto muito de prémios ou reconhecimentos, a verdade é que o meu lema é o esforço, o trabalho, a dedicação e a insistência, seja muito persistente para atingir os objectivos que se propôs.
Fiz o Master porque é um assunto que me apaixona, terminei com sucesso e de lá para cá tenho me dedicado profissionalmente. Adoro investigação forense informática, gosto de pesquisar e encontrar provas e tento fazê-lo a partir da ética mais avassaladora. O prêmio, nada importante, só alguém achou que o trabalho do meu mestrado merecia, é isso, não dou mais importância. Hoje tenho muito mais orgulho de um curso que desenvolvi para conclusão on-line em computação forense e que já está em sua segunda edição.

LxW: Quais distribuições GNU / Linux você usa no seu dia a dia? Eu imagino Kali Linux, DEFT,
Voltar atrás e Santoku? Parrot OS?

FN: Bem, você nomeou alguns sim. Para Pentesting Kali and Backtrack, Santoku for Forensic analysis on Mobile and Deft ou Helix, para análise forense em PC (entre outros), embora sejam frameworks, todos eles com ferramentas para realizar outras tarefas relacionadas a pentesting e análise forense computacional, Mas existem outras ferramentas que eu gosto e tenho uma versão Linux como autópsia, volatilidade, ferramentas como Foremost, testdisk, Photorec, na parte de comunicações, Wirehark, para coletar informações nessus, nmap, para explorar metasploit de forma automatizada e Ubuntu live próprio cd, que permite iniciar uma máquina e depois, por exemplo, pesquisar malware, recuperar arquivos, etc.

LxW: Quais ferramentas de código aberto são suas favoritas?

FN: Bem, acho que me adiantei na resposta a essa pergunta, mas vou me aprofundar em outra coisa. Para desenvolver o meu trabalho utilizo principalmente ferramentas de código aberto, são úteis e permitem fazer as mesmas coisas que aquelas que são pagas por licença de uso, então, na minha opinião, o trabalho pode ser executado perfeitamente com essas ferramentas.
Aqui os frameworks Linux levam a melhor, quer dizer, eles são maravilhosos. O Linux é a melhor plataforma para a implantação de ferramentas de análise forense, existem mais ferramentas para este sistema operacional do que para qualquer outro e todas elas, enfim, a grande maioria são gratuitas, bem gratuitas e de código aberto, o que permite que sejam adaptado.
Por outro lado, outros sistemas operativos podem ser analisados ​​sem problemas a partir do Linux. A única desvantagem, talvez, é que é um pouco mais complexo na sua utilização e manutenção, e também, por não serem comerciais, não têm suporte contínuo. Meus favoritos, já os disse antes, Habilidade, Autópsia, Volatilidade e um pouco mais.

LxW: Você poderia nos contar um pouco sobre The Sleuth Kit… O que é? Formulários?

FN: Bem, eu já falei de certa forma sobre essas ferramentas nos pontos anteriores. É um ambiente para realizar análise forense de computador, sua imagem, "o cão de caça", bem na versão mais recente o cão tem a cara de ter um gênio pior, a verdade .
O link mais importante neste grupo de ferramentas, a autópsia.
São ferramentas de volume de sistemas que permitem o exame de imagens forenses de computador de várias plataformas de forma "NÃO INTRUSIVA", e esta é a mais importante dada sua importância na perícia.
Tem a possibilidade de ser utilizado em modo de linha de comando, então cada ferramenta é executada em um ambiente terminal separado ou também, de forma muito mais “amigável”, pode-se utilizar o ambiente gráfico, que permite realizar uma investigação em um maneira simples.

LxW: Você pode fazer o mesmo com a distro LiveCD chamada HELIX?

FN:Pois é, é mais um dos frameworks para análise forense computacional, também multiambiente, ou seja, analisa imagens forenses de sistemas Linux, Windows e Mac, bem como imagens de RAM e outros dispositivos.
Talvez suas ferramentas mais poderosas sejam Adept para clonagem de dispositivos (principalmente discos), Aff, uma ferramenta para análise forense relacionada a metadados e, claro, autópsia. Além disso, possui muito mais ferramentas.
A desvantagem é que sua versão profissional é paga, embora também tenha uma versão gratuita.

LxW: TCT (The Coroner's Toolkit) é um projeto que foi substituído pelo The Sleuth Kit.
continuar a usar então?

FN:O TCT foi o primeiro dos kits de ferramentas para análise forense, ferramentas como ladrão de túmulos, lazarus ou findkey o destacaram e para a análise de sistemas antigos é mais eficiente que seu antecessor, um pouco o mesmo que acontece com backtrack e kali, Ainda uso os dois, por exemplo.

LxW: A Guidance Software criou o EnCase, pagou e fechou. Também não encontrado para outros sistemas operacionais não Windows. Certamente compensa esse tipo de software por ter alternativas gratuitas? Acredito que praticamente todas as necessidades são atendidas com projetos gratuitos e gratuitos, ou estou errado?

FN: Acho que já respondi a isso, na minha modesta opinião NÃO, não compensa e SIM, todas as necessidades para realizar análise forense computacional são cobertas com projetos gratuitos e gratuitos.

LxW: Referindo-se à pergunta acima, vejo que o EnCase é para Windows e também outros
ferramentas como FTK, Xways, para análise forense, mas também muitas outras ferramentas para penetração e segurança. Por que usar o Windows para esses tópicos?

FN: Não saberia responder a essa pergunta com certeza, utilizo, pelo menos, em 75% dos testes que realizo ferramentas desenvolvidas para plataformas Linux, embora reconheça que existem cada vez mais ferramentas desenvolvidas para estes fins no Windows plataformas, e também reconheço que as coloquei à prova e às vezes também uso, sim, desde que pertença a projetos free-to-use.

LxW: Esta pergunta pode ser um tanto exótica, para chamá-la de alguma coisa. Mas você acha que para apresentar evidências em julgamentos, apenas as evidências fornecidas pelo software livre devem ser válidas e não a fechada? Deixe-me explicar, pode ser uma ideia muito ruim e passar a acreditar que eles foram capazes de criar software proprietário que fornece dados errôneos em algum sentido para exonerar alguém ou certos grupos e não haveria maneira de revisar o código-fonte para ver o que ele faz ou não faz esse software. É um pouco torcido, mas proponho-o para que possa dar a sua opinião, tranquilizar-se ou, pelo contrário, juntar-se a esta opinião ...

FN: Não, não sou dessa opinião, utilizo principalmente ferramentas de software livre e em muitos casos aberto, mas não creio que alguém desenvolva ferramentas que forneçam dados errados para isentar alguém, embora seja verdade que recentemente surgiram alguns programas que eles ofereceram deliberadamente dados errados, foi em outro setor e acho que é a exceção que confirma a regra, realmente, acho que não, os desenvolvimentos, na minha opinião, são feitos profissionalmente e, pelo menos neste caso, baseiam-se exclusivamente na ciência, evidência tratada do ponto de vista da ciência, simplesmente, essa é minha opinião e minha crença.

LxW: Há poucos dias, Linus Torvalds afirmou que a segurança total não é possível e que os desenvolvedores não devem ficar obcecados nesse aspecto e dar prioridade a outros recursos (confiabilidade, desempenho, ...). Washintong Post captou estas palavras e eram alarmantes, pois Linus Torvalds “é o homem que tem o futuro da Internet nas mãos”, devido à quantidade de servidores e serviços de rede que funcionam graças ao kernel que criou. Que opinião você merece?

FN: Eu concordo plenamente com ele, segurança total não existe, se você realmente quer segurança total em um servidor, desligue-o ou desconecte-o da rede, enterre-o, mas claro, então, não é mais um servidor, as ameaças vão sempre existem, o que devemos cobrir são as vulnerabilidades, que são evitáveis, mas é claro, elas devem primeiro ser encontradas e às vezes leva tempo para fazer essa busca ou outros o fazem para fins obscuros.
Porém, acho que tecnologicamente estamos em um ponto muito alto de segurança do sistema, as coisas melhoraram muito, agora é a conscientização do usuário, como disse nas respostas anteriores, e isso continua verde.

LxW: Imagino que os cibercriminosos estejam tornando tudo mais difícil a cada vez (TOR, I2P, Freenet, esteganografia, criptografia, autodestruição de emergência de LUKS, proxy, limpeza de metadados, etc.). Como você age nesses casos para fornecer evidências em um julgamento? Existem casos em que você não pode?

FN: Pois bem, se é verdade que as coisas estão cada vez mais complexas e também que há casos em que não consegui atuar, sem ir mais longe com o famoso criptolocker, clientes já me ligaram pedindo minha ajuda e não conseguimos a fazer muito sobre isso, Como se sabe, é um ransomware que, aproveitando a engenharia social, mais uma vez o usuário é o elo mais fraco, criptografa o conteúdo dos discos rígidos e está conduzindo todos os profissionais de segurança informática, unidades científicas do Policiais, fabricantes de suítes de segurança e analistas forenses, ainda não somos capazes de resolver o problema.
Para a primeira questão, como agimos para trazer essas questões a julgamento, bem como fazemos com todas as evidências, quer dizer, com ética profissional, também ferramentas sofisticadas, conhecimento da ciência e tentando encontrar as respostas para as questões que na primeira Questão, vale a redundância que afirmei, não encontro diferença, o que acontece é que às vezes essas respostas não são encontradas.

LxW: Você recomendaria que as empresas mudassem para o Linux? Por quê?

FN: Eu não diria tanto, quer dizer, acho que se eu tenho algo livre de uma licença que me fornece os mesmos serviços que algo que custa dinheiro, por que gastar? Outra questão é que não me forneceu o mesmo serviços, mas, é que se isso acontecer. O Linux é um sistema operativo que nasceu da perspectiva do serviço de rede e oferece funcionalidades semelhantes às restantes plataformas do mercado, por isso muitos o escolheram com a sua plataforma para, por exemplo, oferecer um serviço web , ftp, etc., com certeza uso e não só para usar distros forenses mas também como servidor no meu centro de treinamento, tenho Windows no meu laptop porque a licença vem incorporada com o dispositivo, mesmo assim jogo muitas virtualizações Linux.
Em resposta à pergunta, Linux não custa, há um número crescente de aplicativos que rodam nesta plataforma e mais e mais empresas de desenvolvimento estão fazendo produtos para Linux. Por outro lado, embora não esteja livre de malware, o número de infecções é menor, isso junto com a flexibilidade que a plataforma lhe dá para se adaptar como uma luva às necessidades, dá-lhe, na minha opinião, força suficiente para ser A primeira escolha de qualquer empresa e o mais importante de tudo, todos podem auditar o que o software faz, sem falar que a segurança é um de seus pontos fortes.

LxW: Atualmente, existe uma espécie de guerra de computadores da qual os governos também participam. Vimos malware como Stuxnet, Stars, Duqu, etc., criado por governos para fins específicos, bem como firmware infectado (por exemplo, placas Arduino com seu firmware modificado), impressoras a laser "espião", etc. Mas nem mesmo o hardware escapa disso, também surgiram chips modificados que, além das tarefas para as quais foram aparentemente concebidos, também incluem outras funcionalidades ocultas, etc. Já vimos projetos meio malucos como AirHopper (uma espécie de keylogger de ondas de rádio), BitWhisper (ataques de calor para coletar informações da vítima), malware capaz de se espalhar por som, ... Estou exagerando se digo que são não é mais seguro ou os computadores estão desconectados de qualquer rede?

FN: Como já comentei, o sistema mais seguro é aquele que está desligado e alguns falam que está trancado em um bunker, cara se estiver desconectado eu acho que é bastante seguro também, mas essa não é a questão, quer dizer, na minha opinião a questão não é a quantidade de ameaças existentes, há cada vez mais dispositivos que se interligam, o que implica um maior número de vulnerabilidades e ataques informáticos de vários tipos, utilizando, como bem referiu na pergunta, diferentes cracks e vetores de ataque, mas acho que não. Devemos focar a questão na desconexão para estarmos seguros, devemos nos concentrar em proteger todos os serviços, dispositivos, comunicações, etc., como já mencionei, embora seja verdade que o número de ameaças é grande, não é menos verdade que o número de técnicas de segurança não é menos grande, falta-nos o fator humano, a conscientização e o treinamento de segurança, nada mais e nossos problemas, mesmo conectados, serão menores.

LxW: Terminamos com a opinião pessoal e como especialista em segurança que esses sistemas merecem, você também pode nos fornecer dados sobre quais são mais difíceis de proteger e encontrar mais falhas de segurança:

Em relação à pergunta de um milhão de dólares, qual sistema é o mais seguro, a resposta foi dada antes, nenhum é 100% seguro conectado à rede.
O Windows não conhece seu código-fonte, então ninguém sabe exatamente o que faz ou como faz, exceto os desenvolvedores, é claro. Do Linux o código-fonte é conhecido e, como disse, a segurança é um dos seus pontos fortes, contra ela é que é menos amigável e há muitas distros. Do Mac OS, o seu ponto forte, o seu minimalismo que reverte para a produtividade, é um sistema ideal para iniciantes. Por todas estas razões, na minha opinião o mais difícil de proteger é o Windows, apesar de os últimos estudos revelarem que é o que tem menos vulnerabilidades, bem exceto o seu navegador. Na minha opinião não faz sentido dizer que este ou aquele sistema operacional é mais ou menos vulnerável, todos os fatores pelos quais ele é afetado devem ser levados em consideração, vulnerabilidades, aplicativos instalados, usuários do mesmo, etc. Uma vez levado em conta todo o exposto, acredito que os sistemas devem ser fortificados com todos os tipos de medidas de segurança, em geral e aplicáveis ​​a qualquer sistema, a fortificação dos mesmos poderia ser resumida nestes pontos básicos:

• Atualizar: Sempre mantenha este ponto no sistema e todos os aplicativos que utilizam a rede atualizados.
• As senhas devem ser adequadas, ou seja, com no mínimo 8 caracteres e um amplo dicionário.
• Segurança de perímetro: Um bom firewall e IDS não faria mal.
• Não ter portas abertas que não ofereçam um serviço ativo e atualizado.
• Faça cópias de segurança de acordo com a necessidade de cada caso e guarde-as em locais seguros.
• Se você trabalha com dados sensíveis, criptografia dos mesmos.
• Criptografia de comunicações também.
• Treinamento e conscientização de usuários.

Espero que tenham gostado desta entrevista, vamos continuar fazendo mais. Agradecemos por você deixar seu opiniões e comentários...