Франсиско Нададор рассказывает нам о своем опыте в области судебно-медицинской экспертизы.

Hoy мы интервью эксклюзивно для LxA Франсиско Нададор, специализируется на компьютерной криминалистике, увлечен компьютерной безопасностью, взломом и тестированием на проникновение. Франсиско окончил Университет Алькала-де-Энарес и сейчас руководит Комплиматик, посвященный обучению классам по темам безопасности и предлагает услуги, связанные с этой темой, для компаний.

Он получил степень магистра (Открытый университет Каталонии) по компьютерной безопасности по двум темам: криминалистический анализ и сетевая безопасность. По этой причине он получил почетную степень, а затем стал членом Национальной ассоциации компьютерных судебных оценщиков и экспертов. И как он нам объяснит, Ему вручили крестовую медаль за заслуги в расследовании с белым значком. за его профессиональную карьеру и исследования. Премию также выиграли Чема Алонсо, Ангелухо, Хосеп Альборс (генеральный директор ESET в Испании) и др.

Linux Adictos: Объясните нашим читателям, что такое криминалистическая экспертиза.

Франсиско Нададор: Для меня это наука, которая пытается дать ответы на то, что произошло после инцидента с компьютерной безопасностью, представляет собой цифровой сценарий, ответы типа «Что произошло? Когда это произошло? Как это произошло?» И что или кто это вызвал?

LxА: Исходя из вашего положения и опыта, совершаются ли такие серьезные киберпреступления с таким большим количеством
частота в Испании как в других странах?

FN: Что ж, согласно отчетам, опубликованным ЕС и находящимся в открытом доступе, Испания находится в хвосте инновационных стран, наряду с остальными странами южного региона, это исследования, которые предлагают сравнительные исследования и инновационные показатели страны, входящие в состав ЕС. Это, вероятно, приводит к тому, что количество инцидентов безопасности здесь является значительным, а их типология разнообразна.
Компании ежедневно подвергаются рискам, но, вопреки тому, что может показаться, то есть, что они могут исходить из их воздействия на сеть, эти риски обычно вызваны самым слабым звеном в цепочке, пользователем. Каждый раз, когда зависимость устройств, а также их количество увеличивается, что вызывает серьезное нарушение безопасности, исследование, которое я недавно прочитал, показало, что более 50% инцидентов безопасности были вызваны людьми, рабочими, бывшими рабочих и т. д., что обходится компаниям в многие тысячи евро, на мой взгляд, есть только одно решение этой проблемы: обучение, повышение осведомленности и более высокая сертификация по ISO27001.
Что касается киберпреступлений, таких приложений, как WhatsApp, ramsonware (в последнее время называемого cryptolocker), конечно, биткойн виртуальной валюты, различных видов уязвимостей без удобного исправления, мошеннических платежей в Интернете, «бесконтрольного» использования социальных сетей и т. - это те, которые заняли первые позиции в рейтинге телематических преступлений.
Ответ - «ДА», в Испании киберпреступления происходят не меньше, чем в остальных странах-членах ЕС, но чаще.

LxА: Вы получили степень почета за свой последний проект Мастера, который вы выполнили. Более того,
вы получили награду ... Расскажите, пожалуйста, всю историю.

FN: Что ж, я не очень люблю награды или признания, правда в том, что мой девиз - усилия, труд, целеустремленность и настойчивость, будьте очень настойчивы в достижении целей, которые вы перед собой ставите.
Я сделал Мастер, потому что это предмет, которым я увлечен, я успешно закончил его, и с тех пор и до сих пор я посвятил себя этому профессионально. Я люблю компьютерную судебную экспертизу, мне нравится искать и находить доказательства, и я стараюсь делать это, руководствуясь самыми строгими принципами этики. Награда, ничего важного, просто кто-то подумал, что работа моего последнего магистра заслуживает этого, вот и все, я не придаю этому большего значения. Сегодня я гораздо больше горжусь курсом, который я разработал для онлайн-завершения по компьютерной криминалистике и который сейчас находится во втором издании.

LxА: Какие дистрибутивы GNU / Linux вы используете в повседневной жизни? Я представляю Kali Linux, DEFT,
Назад и Сантоку? ОС Parrot?

FN: Ну, вы назвали несколько да. Для Pentesting Kali и Backtrack, Santoku для судебного анализа на мобильных устройствах и Deft или Helix, для судебного анализа на ПК (среди прочего), хотя они являются фреймворками, у всех из них есть инструменты для выполнения других задач, связанных с пентестингом и компьютерным криминалистическим анализом, Но есть и другие инструменты, которые мне нравятся, и у них есть версия для Linux, такие как вскрытие, волатильность, такие инструменты, как Foremost, testdisk, Photorec, в части связи, wirehark, для сбора информации, nessus, nmap, для автоматического использования metasploit и Ubuntu live сам CD, который позволяет вам запустить машину, а затем, например, искать вредоносные программы, восстанавливать файлы и т. д.

LxА: Какие инструменты с открытым исходным кодом вам нравятся больше всего?

FN: Что ж, я думаю, что опередил ответ на этот вопрос, но я углублюсь в кое-что другое. Для развития своей работы я в основном использую инструменты с открытым исходным кодом, они полезны и позволяют делать те же вещи, что и те, которые оплачиваются за лицензию на использование, тогда, на мой взгляд, с этими инструментами работа может быть выполнена отлично.
Здесь джекпот берут фреймворки Linux, я имею в виду, они замечательные. Linux - лучшая платформа для развертывания инструментов криминалистического анализа, инструментов для этой операционной системы больше, чем для любой другой, и все они, скорее, подавляющее большинство являются бесплатными, хорошо бесплатными и с открытым исходным кодом, что позволяет им быть адаптирован.
С другой стороны, другие операционные системы могут быть проанализированы без каких-либо проблем из Linux. Единственным недостатком, возможно, является то, что он немного сложнее в использовании и обслуживании, а также, поскольку они не являются коммерческими, у них нет постоянная поддержка. Мои фавориты, как я уже говорил, Deft, Autopsy, Volatility и другие.

LxА: Не могли бы вы рассказать нам немного о The Sleuth Kit… Что это такое? Приложения?

FN: Что ж, я уже говорил об этих инструментах в предыдущих пунктах. Это среда для проведения судебно-компьютерного анализа, ее образ, «гончая собака», ну, в последней версии собака имеет лицо худшего гения, правда
Важнейшее звено в этой группе инструментов вскрытие.
Это системные объемные инструменты, которые позволяют исследовать компьютерные криминалистические изображения с различных платформ "НЕИНТРУЗИВНЫМ" способом, и это является наиболее важным, учитывая его значение для криминалистики.
Он имеет возможность использования в режиме командной строки, затем каждый инструмент выполняется в отдельной терминальной среде или также, гораздо более «дружественным» способом, может использоваться графическая среда, которая позволяет проводить исследования в простой способ.

LxА: Можете ли вы сделать то же самое с дистрибутивом LiveCD под названием HELIX?

FN:Что ж, это еще одна из фреймворков для судебно-компьютерного анализа, также мультисреда, то есть он анализирует криминалистические образы систем Linux, Windows и Mac, а также образы оперативной памяти и других устройств.
Пожалуй, самые мощные его инструменты - это Adept для клонирования устройств (в основном дисков), Aff, инструмент для криминалистического анализа метаданных и, конечно же,! Autopsy. Помимо этого в нем есть еще много инструментов.
Обратной стороной является то, что его профессиональная версия платная, хотя есть и бесплатная версия.

LxА: TCT (The Coroner's Toolkit) - это проект, который был заменен на The Sleuth Kit.
продолжать пользоваться тогда?

FN:TCT был первым из наборов инструментов для криминалистического анализа, такие инструменты, как grave-robber, lazarus или findkey, выделили его на первый план, а для анализа старых систем он более эффективен, чем его предшественник, немного так же, как это происходит с backtrack и kali, Я, например, до сих пор использую оба.

LxА: Компания Guidance Software создала EnCase, оплатила и закрыла. Также не найдено для других операционных систем, отличных от Windows. Действительно ли это компенсирует этот тип программного обеспечения бесплатными альтернативами? Я считаю, что практически все потребности покрываются бесплатными и бесплатными проектами, или я ошибаюсь?

FN: Думаю, я уже ответил на это, по моему скромному мнению, НЕТ, это не компенсирует и ДА, все потребности для проведения компьютерной криминалистической экспертизы покрываются бесплатными и бесплатными проектами.

LxА: Что касается вопроса выше, я вижу, что EnCase предназначен для Windows, а также для других
такие инструменты, как FTK, Xways, для криминалистического анализа, а также многие другие инструменты для проникновения и безопасности. Зачем использовать Windows для этих тем?

FN: Я бы не знал, как с уверенностью ответить на этот вопрос, я использую, по крайней мере, в 75% тестов, которые я выполняю, инструменты, разработанные для платформ Linux, хотя я признаю, что для этих целей в Windows разрабатывается все больше и больше инструментов. платформ, и я также признаю, что проверяю их, а иногда и использую, да, если это относится к бесплатным проектам.

LxА: Этот вопрос может быть чем-то экзотическим, если можно так выразиться. Но считаете ли вы, что для представления доказательств в судебных процессах действительными должны быть только доказательства, предоставленные программным обеспечением с открытым исходным кодом, а не закрытые? Позвольте мне объяснить, это могло быть очень плохой мыслью, и они пришли к выводу, что они смогли создать проприетарное программное обеспечение, которое в некотором смысле предоставляет ошибочные данные, чтобы оправдать кого-то или определенные группы, и не было бы возможности просмотреть исходный код, чтобы увидеть, что он делает или не делает это программное обеспечение. Немного закручено, но прошу высказать свое мнение, успокоить себя или, наоборот, присоединиться к этому мнению ...

FN: Нет, я не придерживаюсь этого мнения, я использую в основном инструменты свободного программного обеспечения и во многих случаях открытые, но я не думаю, что кто-то разрабатывает инструменты, которые предоставляют ошибочные данные, чтобы кого-то реабилитировать, хотя это правда, что недавно появились некоторые программы. что они намеренно предоставили неверные данные, это было в другом секторе, и я думаю, что это исключение, которое подтверждает правило, правда, я так не думаю, разработки, на мой взгляд, ведутся профессионально и, по крайней мере, в этом случае, они основаны исключительно на науке, свидетельствах, рассматриваемых с точки зрения науки, просто это мое мнение и моя вера.

LxА: Несколько дней назад Линус Торвальдс заявил, что полная безопасность невозможна и что разработчикам не следует зацикливаться на этом и отдавать приоритет другим функциям (надежности, производительности и т. Д.). Washintong Post подобрала эти слова, и они вызвали тревогу, поскольку Линус Торвальдс «является человеком, в руках которого будущее Интернета», из-за количества серверов и сетевых сервисов, которые работают благодаря ядру, которое он создал. Какого мнения ты заслуживаешь?

FN: Я полностью с ним согласен, тотальной безопасности не существует, если вы действительно хотите полной безопасности на сервере, выключите его или отключите от сети, похороните его, но, конечно, тогда это уже не сервер, угрозы исчезнут. всегда существуют, мы должны покрыть уязвимости, которых можно избежать, но, конечно, сначала их нужно найти, и иногда требуется время, чтобы провести этот поиск, или другие делают это в неясных целях.
Тем не менее, я думаю, что технологически мы находимся на очень высоком уровне безопасности системы, ситуация значительно улучшилась, теперь это осведомленность пользователя, как я сказал в предыдущих ответах, и она все еще зеленая.

LxА: Я полагаю, что киберпреступники каждый раз усложняют задачу (TOR, I2P, Freenet, стеганография, шифрование, экстренное самоуничтожение LUKS, прокси, очистка метаданных и т. Д.). Как вы поступаете в этих случаях, чтобы предоставить доказательства в суде? Бывают случаи, когда вы не можете?

FN: Что ж, если это правда, что все становится более сложным, и есть также случаи, в которых я не мог действовать, не продвигаясь дальше со знаменитым крипто-локером, клиенты звонили мне, прося моей помощи, и мы не могли Как известно, это программа-вымогатель, которая, пользуясь преимуществами социальной инженерии, снова является самым слабым звеном, шифрует содержимое жестких дисков и возглавляет всех специалистов по компьютерной безопасности, научных подразделений правоохранительных органов, производителей средств безопасности и судебных аналитиков, мы пока не можем решить эту проблему.
Отвечая на первый вопрос, как мы действуем, чтобы довести эти проблемы до суда, ну, а как мы поступаем со всеми доказательствами, я имею в виду, с профессиональной этикой, а также с современными инструментами, знаниями науки и попытками найти ответы на вопросы, которые в первом вопросе, заслуживающем той избыточности, которую я указал, я не нахожу разницы, бывает так, что иногда эти ответы не находят.

LxА: Вы бы порекомендовали компаниям перейти на Linux? Почему?

FN: Я бы не сказал так много, я имею в виду, я думаю, что если у меня есть что-то без лицензии, которое предоставляет мне те же услуги, что и то, что стоит денег, зачем их тратить? Другой вопрос, что это не предоставило мне те же услуги , но, если это так. Linux - это операционная система, которая родилась с точки зрения сетевой службы и предлагает аналогичные функции с остальными платформами на рынке, поэтому многие выбрали ее вместе со своей платформой, например, для предложения веб-службы. , ftp и т. д., я, конечно, использую его, и не только для использования криминалистических дистрибутивов, но и в качестве сервера в моем учебном центре, у меня на ноутбуке Windows, потому что лицензия включена в устройство, даже если я бросаю много виртуализаций Linux .
Отвечая на вопрос, Linux не стоит дорого, на этой платформе работает все больше приложений, и все больше и больше компаний-разработчиков создают продукты для Linux. С другой стороны, хотя он и не свободен от вредоносных программ, количество заражений ниже, это вместе с гибкостью, которую платформа дает вам, чтобы вы могли адаптироваться как перчатка к потребностям, дает ей, на мой взгляд, достаточно сил, чтобы быть Первый выбор любой компании и, что наиболее важно, каждый может проводить аудит того, что делает программное обеспечение, не говоря уже о том, что безопасность - одна из его сильных сторон.

LxА: В настоящее время идет своего рода компьютерная война, в которой также участвуют правительства. Мы видели вредоносные программы, такие как Stuxnet, Stars, Duqu и т. Д., Созданные правительствами для определенных целей, а также зараженные прошивки (например, платы Arduino с их модифицированной прошивкой), «шпионские» лазерные принтеры и т. Д. Но от этого не ускользает даже аппаратное обеспечение, появились также модифицированные микросхемы, которые, помимо задач, для которых они, по-видимому, были разработаны, также включают в себя другие скрытые функции и т. Д. Мы даже видели несколько сумасшедшие проекты, такие как AirHopper (своего рода радиоволновый кейлоггер), BitWhisper (тепловые атаки для сбора информации от жертвы), вредоносные программы, способные распространяться через звук ... больше не в безопасности или компьютеры отключены от сети?

FN: Как я уже прокомментировал, самая безопасная система - это та, которая выключена, и некоторые говорят, что она заперта в бункере, чувак, если она отключена, я думаю, что это тоже вполне безопасно, но вопрос не в этом, я имею в виду, на мой взгляд, вопрос не в количестве существующих угроз, все больше и больше устройств соединяются между собой, что подразумевает большее количество уязвимостей и компьютерных атак разного рода с использованием, как вы хорошо выразились в вопросе, различных взломов и векторы атак, но я думаю, что нет. Мы должны сфокусировать проблему на отключении, чтобы быть в безопасности, мы должны сосредоточиться на защите всех служб, устройств, коммуникаций и т. д., как я уже упоминал, хотя это правда, что количество угроз действительно велико. большой, не менее верно и то, что количество методов безопасности не менее велико, нам не хватает человеческого фактора, осведомленности и обучения безопасности, ничего больше, и наших проблем, даже связанных, будет меньше.

LxА: Мы заканчиваем своим личным мнением, и как эксперт по безопасности, которого заслуживают эти системы, вы также можете предоставить нам данные, которые труднее защитить и которые обнаруживают больше дыр в безопасности:

Что касается вопроса на миллион долларов, какая система является самой безопасной, ответ был дан ранее, ни одна из них не является на 100% безопасным при подключении к сети.
Windows не знает своего исходного кода, поэтому никто точно не знает, что и как она делает, кроме разработчиков, конечно. Исходный код Linux известен, и, как я уже сказал, безопасность - одна из его сильных сторон, в отличие от нее, потому что она менее дружелюбна и существует множество дистрибутивов. Mac OS, ее сильная сторона, ее минимализм, который возвращается к производительности, это идеальная система для начинающих. По всем этим причинам, на мой взгляд, наиболее сложной для защиты является Windows, несмотря на то, что последние исследования показывают, что она имеет наименьшее количество уязвимостей, за исключением вашего браузера. На мой взгляд, нет смысла говорить о том, что та или иная операционная система более-менее уязвима, необходимо учитывать все факторы, которыми она подвержена, уязвимости, установленные приложения, пользователей и т. Д. После того, как все вышеперечисленное было принято во внимание, я считаю, что системы должны быть усилены всеми видами мер безопасности, в целом и применимыми к любой системе, усиление их можно резюмировать следующими основными моментами:

• Обновление: всегда обновляйте эту точку в системе и во всех приложениях, использующих сеть.
• Я имею в виду, что пароли должны быть адекватными, содержать минимум 8 символов и большой словарь.
• Безопасность периметра: хороший межсетевой экран и IDS не помешают.
• Отсутствие открытых портов, не предлагающих активных и обновленных услуг.
• Делайте резервные копии в соответствии с потребностями каждого случая и храните их в надежных местах.
• Если вы работаете с конфиденциальными данными, шифрование то же самое.
• А также шифрование сообщений.
• Обучение и осведомленность пользователей.

Надеюсь, вам понравилось это интервью, мы продолжим делать больше. Мы ценим, что вы оставили свой мнения и комментарии...