Francisco Nadador nam pripoveduje o svojih izkušnjah v svetu forenzične analize

Danes intervjuvamo ekskluzivno za LxA Francisco Nadador, specializiran za računalniško forenziko, navdušen nad računalniško varnostjo, testiranjem vdorov in penetracije. Francisco je diplomiral na univerzi Alcalá de Henares in zdaj režira Komplumatično, namenjen poučevanju varnostnih tem in nudi podjetjem storitve, povezane s to temo.

Končal je magisterij (Odprta univerza v Kataloniji) iz računalniške varnosti, specializiran za dve temi, Forenzična analiza in Omrežna varnost. Iz tega razloga je prejel častni naziv in kasneje postal član Nacionalnega združenja računalniških sodnih cenilcev in strokovnjakov. In kot nam bo razložil, Dali so mu križno medaljo za preiskovalne zasluge z belo značko za svojo poklicno kariero in raziskovanje. Nagrado so prejeli tudi Chema Alonso, Angelucho, Josep Albors (izvršni direktor ESET Španija) itd.

Linux Adictos: Prosimo, pojasnite našim bralcem, kaj je forenzična analiza.

Francis Swimmer: Zame je to znanost, ki poskuša odgovoriti na to, kaj se je zgodilo po tem, ko je računalniški varnostni incident digitalni scenarij, odgovori vrste Kaj se je zgodilo? Kdaj se je zgodilo? Kako se je zgodilo? In kaj ali kdo je povzročil?

LXA: Ali se iz vašega položaja in izkušenj tako pomembni kibernetski kriminal zgodi toliko
pogostnost v Španiji kot v drugih državah?

FN: No, glede na poročila, ki jih je objavila EU in so v javni domeni, je Španija na dnu inovativnih držav, skupaj z ostalimi državami na južnem območju pa so to študije, ki ponujajo primerjalne raziskovalne in inovacijske rezultate države, ki so del EU. Zaradi tega je število varnostnih incidentov tukaj veliko in njihova tipologija raznolika.
Podjetja vsakodnevno tvegajo, toda v nasprotju s tem, kar se zdi, torej da izhajajo iz izpostavljenosti omrežju, gre za tveganja, ki jih običajno povzroči najšibkejši člen v verigi, uporabnik. Študija, ki sem jo nedavno prebral, je pokazala, da je vedno večja odvisnost naprav kot tudi število naprav, s katerimi se ravna, kar povzroča dobro varnostno kršitev, da so več kot 50% varnostnih incidentov povzročili ljudje, delavci, nekdanji -delavci itd., ki stanejo podjetja več tisoč evrov, po mojem mnenju obstaja le ena rešitev za to težavo, usposabljanje in ozaveščenost ter večje certificiranje ISO27001.
Kar zadeva kibernetski kriminal, aplikacije, kot so WhatsApp, ramsonware (v zadnjem času imenovan cryptolocker), seveda virtualna valuta bitcoin, ranljivosti različnih vrst brez prikladnega zakrpanja, goljufivo plačevanje v internetu, "nenadzorovana" uporaba socialnih omrežij itd. so tiste, ki so zasedle prva mesta na lestvici telematskih zločinov.
Odgovor je "DA", v Španiji se kibernetski kriminal pojavlja enako pomemben kot v ostalih državah članicah EU, vendar pogosteje.

LXA: Prejeli ste častno zrelost za svoj zaključni projekt Mojstra, ki ste ga opravili. Kaj je več,
dobili ste nagrado ... Povejte nam celotno zgodbo.

FN: No, nisem preveč rad nagrad ali priznanj, resnica je, moj moto je trud, delo, predanost in vztrajanje, bodite zelo vztrajni pri doseganju ciljev, ki ste si jih zastavili.
Mojstra sem delal, ker je to tema, ki sem jo navdušen, uspešno sem jo zaključil in od takrat do danes se ji posvečam profesionalno. Obožujem računalniške forenzične preiskave, rad iščem in najdem dokaze in to poskušam izvesti iz najbolj etične narave. Nagrada, nič pomembnega, samo nekdo je mislil, da si jo je moje delo mojstra zaslužilo, to je to, ne pripisujem mu večjega pomena. Danes sem veliko bolj ponosen na tečaj, ki sem ga razvil za spletno dokončanje računalniške forenzike in je zdaj v drugi izdaji.

LXA: Katere distribucije GNU / Linux uporabljate vsak dan? Predstavljam si Kali Linux, DEFT,
Backtrack in Santoku? Parrot OS?

FN: No, nekaj ste navedli da. Za Pentesting Kali in Backtrack, Santoku za forenzično analizo na Mobile and Deft ali Helix, za forenzično analizo na osebnem računalniku (med drugim), čeprav gre za ogrodja, ki imajo vsa orodja za izvajanje drugih nalog, povezanih s pentestiranjem in računalniško forenzično analizo, Obstajajo pa tudi druga orodja, ki so mi všeč in imam različico Linuxa, kot so obdukcija, volatilnost, orodja, kot so Foremost, testdisk, Photorec, v komunikacijskem delu, wireshark, za zbiranje informacij nessus, nmap, za avtomatizirano izkoriščanje metasploita in Ubuntu CD sam, ki omogoča zagon računalnika in nato na primer iskanje zlonamerne programske opreme, obnovitev datotek itd.

LXA: Katera odprtokodna orodja so vam najljubša?

FN: No, mislim, da sem v odgovoru na to vprašanje prišel predse, vendar se bom poglobil v nekaj drugega. Za razvijanje svojega dela uporabljam predvsem odprtokodna orodja, ki so uporabna in vam omogočajo, da počnete enake stvari kot tiste, ki so plačane za uporabniško licenco, potem je po mojem mnenju delo mogoče popolnoma opraviti s temi orodji.
Tu Linuxovi okviri prevzamejo jackpot, mislim, čudoviti so. Linux je najboljša platforma za uvedbo orodij za forenzično analizo, za ta operacijski sistem je več orodij kot za katero koli drugo in pravzaprav je velika večina brezplačnih, brezplačnih in odprtokodnih, kar jim omogoča prilagojena.
Po drugi strani pa je mogoče druge operacijske sisteme brez težav analizirati iz Linuxa. Edina pomanjkljivost je morda ta, da je nekoliko bolj zapleten pri njihovi uporabi in vzdrževanju, pa tudi, ker niso komercialni, nimajo stalna podpora. Moji najljubši, rekel sem jih že prej, Deft, Autopsy, Volatility in še nekateri.

LXA: Bi nam lahko povedali nekaj o The Sleuth Kit ... Kaj je to? Vloge?

FN: No, o teh orodjih sem na nek način že govoril v prejšnjih točkah. To je okolje za izvedbo forenzične računalniške analize, njegove podobe, "pasjega psa", v zadnji različici pa je pes videti, da ima resničnega slabšega genija 
Najpomembnejša povezava v tej skupini orodij je obdukcija.
So sistemska orodja za obseg, ki omogočajo pregled računalniških forenzičnih slik z različnih platform na "NEINTRUSIVEN" način, kar je najpomembnejše glede na njegov pomen v forenziki.
Ima možnost uporabe v načinu ukazne vrstice, nato se vsako orodje izvede v ločenem terminalskem okolju ali pa se lahko na veliko bolj "prijazen" način uporabi grafično okolje, ki omogoča izvedbo preiskave v preprost način.

LXA: Ali lahko storite enako z distribucijo LiveCD, imenovano HELIX?

FN:No, gre za še enega od okvirov za forenzično računalniško analizo, tudi večokoljsko, torej analizira forenzične slike sistemov Linux, Windows in Mac, pa tudi slike RAM-a in drugih naprav.
Morda so njegova najmočnejša orodja Adept za kloniranje naprav (predvsem diski), Aff, orodje za forenzično analizo v zvezi z metapodatki in seveda! Obdukcija. Poleg teh ima veliko več orodij.
Slaba stran, njegova profesionalna različica je plačana, čeprav ima tudi brezplačno različico.

LXA: TCT (The Coroner's Toolkit) je projekt, ki ga je nadomestil The Sleuth Kit.
še naprej uporabljati?

FN:TCT je bil prvi izmed orodij za forenzično analizo, orodja, kot so grobnik, lazar ali findkey, so ga izpostavila, za analizo starih sistemov pa je učinkovitejši od predhodnika, kar je enako kot pri backtracku in kali, Še vedno na primer uporabljam oboje.

LXA: Guidance Software je ustvaril EnCase, plačan in zaprt. Prav tako ni mogoče najti za druge operacijske sisteme, ki niso Windows. Ali to vrsto programske opreme zagotovo nadomesti z brezplačnimi alternativami? Mislim, da so praktično vse potrebe pokrite z brezplačnimi in brezplačnimi projekti ali pa se motim?

FN: Mislim, da sem na to že odgovoril, po mojem skromnem mnenju NE, ne nadomešča in DA, vse potrebe po računalniški forenzični analizi so pokrite z brezplačnimi in brezplačnimi projekti.

LXA: Glede na zgornje vprašanje vidim, da je EnCase za Windows in tudi za druge
orodja, kot so FTK, Xways, za forenzično analizo, pa tudi številna druga orodja za prodor in varnost. Zakaj uporabljati Windows za te teme?

FN: Na to vprašanje ne bi mogel odgovoriti z gotovostjo, uporabljam vsaj 75% testov, ki jih izvajam orodja, razvita za platforme Linux, čeprav se zavedam, da je v sistemu Windows vedno več orodij, razvitih za te namene platforme in prav tako se zavedam, da sem jih preizkusil in jih včasih tudi uporabljam, da, če spada med brezplačne projekte.

LXA: To vprašanje je lahko nekaj eksotičnega, če temu rečemo. Toda ali menite, da bi morali biti za predložitev dokazov na sojenjih veljavni le dokazi, ki jih ponuja odprtokodna programska oprema, in ne zaprti? Naj pojasnim, da bi bilo lahko zelo slabo razmišljati in verjeti, da so lahko ustvarili lastniško programsko opremo, ki v nekem smislu zagotavlja napačne podatke, da bi nekoga ali določene skupine oprostila in ne bi bilo mogoče pregledati izvorne kode, da bi ugotovili, kaj to programsko opremo naredi ali ne. Nekoliko je zvito, vendar vas prosim, da podate svoje mnenje, se pomirite ali, nasprotno, pridružite se temu mnenju ...

FN: Ne, nisem tega mnenja, uporabljam večinoma brezplačna programska orodja in v mnogih primerih odprta, vendar mislim, da nihče ne razvija orodij, ki zagotavljajo napačne podatke, da bi koga oprostili, čeprav je res, da so se v zadnjem času pojavili nekateri programi da so namerno ponujali napačne podatke, to je bilo v drugem sektorju in mislim, da je to izjema, ki potrjuje pravilo, res, mislim, da ne, razvoj po mojem mnenju poteka profesionalno in vsaj v tem primeru temeljijo izključno na znanosti, dokazih, obdelanih z vidika znanosti, preprosto, to je moje mnenje in moje prepričanje.

LXA: Pred dnevi je Linus Torvalds trdil, da popolna varnost ni mogoča in da razvijalci v zvezi s tem ne bi smeli biti obsedeni ter dajati prednosti drugim funkcijam (zanesljivost, zmogljivost, ...). Washintong Post je pobral te besede in so bile zaskrbljujoče, saj je Linus Torvalds "človek, ki ima prihodnost interneta v rokah", zaradi velikosti strežnikov in omrežnih storitev, ki delujejo zahvaljujoč jedru, ki ga je ustvaril. Kakšno mnenje si zaslužite?

FN: Popolnoma se strinjam z njim, popolna varnost ne obstaja, če res želite popolno varnost strežnika, jo izklopite ali odklopite iz omrežja, jo pokopljete, toda seveda potem ni več strežnik, grožnje bodo vedno obstajajo, kar moramo zajeti, so ranljivosti, ki se jim je mogoče izogniti, seveda pa jih je treba najprej najti, včasih pa traja čas, da to iskanje ali drugi to storijo za nejasne namene.
Vendar mislim, da smo tehnološko na zelo visoki varnostni točki, stvari so se zelo izboljšale, zdaj je ozaveščenost uporabnika, kot sem že rekel v prejšnjih odgovorih, in to je še vedno zeleno.

LXA: Predstavljam si, da kibernetski kriminalci vsakič otežujejo (TOR, I2P, Freenet, steganografija, šifriranje, nujno samouničenje LUKS-a, proxy, čiščenje metapodatkov itd.). Kako ravnate v teh primerih, da zagotovite dokaze na sodišču? Ali obstajajo primeri, ko ne morete?

FN: No, če je res, da postajajo stvari bolj zapletene in obstajajo tudi primeri, v katerih nisem mogel ukrepati, ne da bi šel naprej s slavnim kriptolockerjem, so me stranke poklicale in prosile za pomoč in nismo mogli naredi veliko pri tem. Kot je znano, gre za izsiljevalsko programsko opremo, ki z izkoriščanjem socialnega inženiringa spet uporabnik najšibkejša povezava, šifrira vsebino trdih diskov in vodi vse strokovnjake za računalniško varnost, znanstvene enote zakona izvršbe, proizvajalci varnostnih paketov in forenzični analitik, težave še ne moremo rešiti.
Na prvo vprašanje, kako naj ukrepamo, da bomo ta vprašanja preizkusili, kako pa se obnašamo z vsemi dokazi, mislim s profesionalno etiko, tudi sofisticiranimi orodji, znanstvenim znanjem in poskusom najti odgovore na vprašanja v prvem vprašanju, vredno presežka, ki sem ga navedel, ne najdem razlike, zgodi pa se, da včasih teh odgovorov ni mogoče najti.

LXA: Bi priporočili podjetjem, da preklopijo na Linux? Zakaj?

FN: Ne bi rekel toliko, mislim, mislim, da če imam nekaj brez licence, ki mi zagotavlja enake storitve kot nekaj, kar stane denar, zakaj bi to porabil? Drugo vprašanje je, da mi ne zagotavlja enakega storitve, vendar je to, če se. Linux je operacijski sistem, ki se je rodil z vidika omrežne storitve in ponuja podobne funkcije kot ostale platforme na trgu, zato so ga mnogi izbrali s svojo platformo, da bi na primer ponujali spletno storitev , ftp itd., zagotovo ga uporabljam in ne samo za uporabo forenzičnih distro distrizov, ampak tudi kot strežnik v svojem centru za vadbo, na prenosnem računalniku imam Windows, ker je licenca vgrajena v napravo, tudi zato vržem veliko virtualizacij Linux.
Kot odgovor na vprašanje Linux ne stane, na tej platformi deluje vse več aplikacij in vedno več razvojnih podjetij izdeluje izdelke za Linux. Po drugi strani pa, čeprav ni brez zlonamerne programske opreme, je število okužb manjše, kar skupaj s prilagodljivostjo, ki vam jo daje platforma, da se kot rokavice prilagodite potrebam, po mojem mnenju daje dovolj moči, da lahko Prva izbira katerega koli podjetja in najpomembnejše od vsega je, da lahko vsakdo preveri, kaj počne programska oprema, da ne omenjam, da je varnost ena od njenih prednosti.

LXA: Trenutno obstaja nekakšna računalniška vojna, pri kateri sodelujejo tudi vlade. Videli smo zlonamerno programsko opremo, kot so Stuxnet, Stars, Duqu itd., Ki so jo vlade ustvarile za posebne namene, pa tudi okuženo programsko opremo (na primer plošče Arduino s spremenjeno vdelano programsko opremo), "vohunske" laserske tiskalnike itd. A niti strojna oprema temu ne uide, pojavili so se tudi spremenjeni čipi, ki poleg nalog, za katere so bili očitno zasnovani, vključujejo tudi druge skrite funkcionalnosti itd. Videli smo celo nekoliko nore projekte, kot so AirHopper (nekakšen radijski valovni keylogger), BitWhisper (vročinski napadi za zbiranje informacij od žrtve), zlonamerno programsko opremo, ki se lahko širi z zvokom, ... Ali pretiravam, če rečem, da so ni več varen ali računalniki odklopljeni iz katerega koli omrežja?

FN: Kot sem že komentiral, je najvarnejši sistem tisti, ki je izklopljen in nekateri pravijo, da je zaklenjen v bunkerju, človek, če je odklopljen, mislim, da je tudi povsem varen, vendar to ni vprašanje, mislim, po mojem mnenju vprašanje ni v količini obstoječih groženj, vedno več je medsebojno povezanih naprav, kar pomeni večje število ranljivosti in računalniških napadov različnih vrst, pri čemer se, kot ste dobro izrazili v vprašanju, uporabljajo različne razpoke in vektorje napadov, vendar mislim, da ne. Vprašanje moramo osredotočiti na odklop, da bomo varni, osredotočiti se moramo na zaščito vseh storitev, naprav, komunikacij itd., kot sem že omenil, čeprav je res, da je število groženj veliko, nič manj res ni, da število varnostnih tehnik ni nič manjše, primanjkuje nam človeškega dejavnika, zavedanja in usposabljanja za varnost, nič več in tudi naše težave, tudi povezane, bodo manjše.

LXA: Končamo z osebnim mnenjem in kot strokovnjak za varnost, ki si ga zaslužijo ti sistemi, nam lahko posredujete tudi podatke, ki jih je težje zavarovati, in najdemo več varnostnih lukenj:

Glede vprašanja za milijon dolarjev, kateri sistem je najvarnejši, je bil odgovor dan prej, nobeno ni 100% varno povezano z omrežjem.
Windows ne pozna svoje izvorne kode, zato nihče natančno ne ve, kaj počne ali kako, razen seveda razvijalci. Izvorna koda Linuxa je znana in, kot sem rekel, je varnost ena izmed njenih močnih točk, v nasprotju s tem pa je, da je manj prijazna in da obstaja veliko distro-jev. Od Mac OS-a, njegova močna točka, minimalizem, ki se vrne v produktivnost, je idealen sistem za začetnike. Zaradi vseh teh razlogov je po mojem mnenju najtežje zavarovati Windows, kljub temu da najnovejše študije razkrivajo, da je tisti z najmanj ranljivostmi, razen vašega brskalnika. Po mojem mnenju ni smiselno trditi, da je ta ali oni operacijski sistem bolj ali manj ranljiv, upoštevati je treba vse dejavnike, na katere vpliva, ranljivosti, nameščene aplikacije, njegove uporabnike itd. Ko je vse zgoraj upoštevano, menim, da je treba sisteme okrepiti z vsemi vrstami varnostnih ukrepov, ki so na splošno veljavni za kateri koli sistem.

• Posodobitev: to točko v sistemu in vseh aplikacijah, ki uporabljajo omrežje, vedno posodabljajte.
• Gesla morajo biti ustrezna, z najmanj 8 znaki in velikim slovarjem.
• Varnost oboda: dober požarni zid in IDS ne bi škodovali.
• Brez odprtih vrat, ki ne ponujajo aktivne in posodobljene storitve.
• Naredite varnostne kopije glede na potrebe posameznega primera in jih hranite na varnih mestih.
• Če delate z občutljivimi podatki, jih šifrirajte.
• Tudi šifriranje komunikacij.
• Usposabljanje in ozaveščanje uporabnikov.

Upam, da vam je bil ta intervju všeč, še naprej bomo delali. Zahvaljujemo se vam, da ste zapustili svoje mnenja in komentarji...