Francisco Nadador na tregon për përvojën e tij në botën e analizave kriminalistike

Sot ne intervistojmë ekskluzivisht për LxA Francisco Nadador, i specializuar në forenzikën kompjuterike, i apasionuar pas sigurisë së kompjuterit, piraterisë dhe testimit të depërtimit. Francisco u diplomua në Universitetin e Alcalá de Henares dhe tani drejton Komplumatike, kushtuar orëve të mësimdhënies mbi temat e sigurisë dhe ofron shërbime që lidhen me këtë temë për kompanitë.

Ai përfundoi një Master (Universiteti i Hapur i Katalonjës) mbi sigurinë e kompjuterit i specializuar në dy tema, Analiza Ligjore dhe Siguria e Rrjetit. Për këtë arsye, ai mori një Diplomë Nderi dhe më vonë u bë anëtar i Shoqatës Kombëtare të Vlerësuesve dhe Ekspertëve Gjyqësorë Kompjuterik. Dhe siç do të na shpjegojë ai, Ata i dhanë atij Medaljen Kryq për Merita Hetuese me një Shenjë të Bardhë për karrierën dhe kërkimet e tij profesionale. Çmimi i fituar gjithashtu nga Chema Alonso, Angelucho, Josep Albors (CEO i ESET Spain), etj.

Linux Adictos: Ju lutemi shpjegoni për lexuesit tanë se çfarë është analiza mjeko-ligjore.

Francis Swimmer: Për mua është një shkencë që përpiqet të japë përgjigje për atë që ka ndodhur pasi një incident i sigurisë kompjuterike është një skenar dixhital, përgjigje të llojit Çfarë ka ndodhur? Kur ka ndodhur? Si ka ndodhur? Dhe çfarë ose kush e shkaktoi atë?

LxW: Nga pozicioni dhe përvoja juaj, a ndodhin kaq shumë krime të rëndësishme kibernetike
frekuenca në Spanjë si në vendet e tjera?

FN: Sipas raporteve të botuara nga BE dhe që janë në domenin publik, Spanja është në pjesën e poshtme të vendeve inovative, së bashku me vendet e tjera në zonën jugore, ato janë studime që ofrojnë kërkime krahasuese dhe performancë inovative të vendet që janë pjesë e BE-së. Kjo ndoshta bën që numri i incidenteve të sigurisë këtu të jetë i rëndësishëm dhe tipologjia e tyre e larmishme.
Kompanitë rrezikojnë çdo ditë, por në kundërshtim me atë që mund të duket, domethënë që ato mund të vijnë nga ekspozimi i tyre në rrjet, ato janë rreziqe që zakonisht shkaktohen nga hallka më e dobët e zinxhirit, përdoruesi. Sa herë që varësia e pajisjeve, si dhe numri i këtyre që trajtohen është më i madh, gjë që shkakton një shkelje të mirë të sigurisë, një studim që lexova së fundmi tha se më shumë se 50% e incidenteve të sigurisë ishin shkaktuar nga njerëz, punëtorë, ish punëtorë, etj., duke i kushtuar kompanive shumë mijëra euro, për mendimin tim ekziston vetëm një zgjidhje për këtë problem, trajnimi dhe ndërgjegjësimi dhe çertifikimi më i lartë në ISO27001.
Sa i përket Krimeve Kibernetike, aplikacione të tilla si WhatsApp, ramsonware (i quajtur kohët e fundit cryptolocker), natyrisht, monedha virtuale bitcoin, dobësi të llojeve të ndryshme pa rregullim të përshtatshëm, pagesa mashtruese në internet, përdorimi "i pakontrolluar" i rrjeteve sociale, etj, janë ata që kanë zënë pozicionet e para në renditjen e krimeve telematike.
Përgjigja është "PO", në Spanjë krimet kibernetike janë po aq të rëndësishme sa në vendet e tjera anëtare të BE, por më shpesh.

LxW: Ju keni marrë një Matricë Nderi për projektin tuaj përfundimtar të Masterit që keni bërë. Cfare ka me shume,
keni marrë një çmim… Ju lutemi na tregoni të gjithë historinë.

FN: Epo, nuk jam shumë i dhënë pas çmimeve ose mirënjohjeve, e vërteta është, motoja ime është përpjekja, puna, përkushtimi dhe këmbëngulja, jini shumë këmbëngulës për të arritur objektivat që i keni vendosur vetes.
Unë e bëra Master-in sepse është një lëndë për të cilën jam i apasionuar, e përfundova me sukses dhe që nga ajo kohë deri më tani i jam përkushtuar profesionalisht. Unë e dua hetimin mjeko-ligjor kompjuterik, më pëlqen të kërkoj dhe të gjej prova dhe përpiqem ta bëj atë nga etika më e madhe. Çmimi, asgjë e rëndësishme, vetëm dikush mendoi se puna e Masterit tim Final e meritonte atë, kaq, nuk i jap më shumë rëndësi. Sot jam shumë më krenar për një kurs që kam zhvilluar për përfundimin e tij në internet në forenzikën kompjuterike dhe i cili tani është në edicionin e tij të dytë.

LxW: Çfarë shpërndarjesh GNU / Linux përdorni në ditën tuaj në ditë? Unë imagjinoj Kali Linux, DEFT,
Backtrack dhe Santoku? OS papagall?

FN: Epo ju keni përmendur disa po. Për Pentesting Kali dhe Backtrack, Santoku për analiza Forenzike në Mobile dhe Deft ose Helix, për analiza kriminalistike në PC (ndër të tjera), megjithëse ato janë kornizë, të gjithë ata që kanë mjete për të kryer detyra të tjera në lidhje me pentesting dhe analiza mjeko-ligjore kompjuterike, Por ka mjete të tjera që më pëlqejnë dhe kanë një version Linux si autopsia, paqëndrueshmëria, mjete si Foremost, testdisk, Photorec, në pjesën e komunikimit, wireshark, për të mbledhur informacione nessus, nmap, për të shfrytëzuar metasploit në një mënyrë të automatizuar dhe Ubuntu jetojnë vetë cd, e cila ju lejon të filloni një makinë dhe pastaj, për shembull, të kërkoni për malware, të rigjeni skedarët, etj.

LxW: Cilat mjete me burim të hapur janë të preferuarat tuaja?

FN: Epo mendoj se isha përpara përgjigjes për këtë pyetje, por do të thellohem në diçka tjetër. Për të zhvilluar punën time unë kryesisht përdor mjete me burim të hapur, ato janë të dobishme dhe ju lejojnë të bëni të njëjtat gjëra si ato që paguhen për licencë përdorimi, atëherë, për mendimin tim, puna mund të kryhet në mënyrë të përsosur me këto mjete.
Këtu kornizat Linux marrin çmimin e parë, dua të them, ato janë të mrekullueshme. Linux është platforma më e mirë për vendosjen e mjeteve të analizës kriminalistike, ka më shumë mjete për këtë sistem operativ sesa për ndonjë tjetër dhe të gjitha, përkundrazi, shumica dërrmuese janë falas, falas dhe me burim të hapur, gjë që i lejon ata të jenë përshtatur.
Nga ana tjetër, sistemet e tjera operative mund të analizohen pa ndonjë problem nga Linux. E vetmja pengesë, ndoshta, është se është pak më komplekse në përdorimin dhe mirëmbajtjen e tij, dhe gjithashtu, meqenëse nuk janë komerciale, ato nuk kanë mbështetje e vazhdueshme. Preferimet e mia, i thashë më parë, Deft, Autopsia, Paqëndrueshmëria dhe ca më shumë.

LxW: A mund të na flisni pak për Paketën e Sleuth… Çfarë është ajo? Aplikime?

FN: Epo, unë tashmë kam folur në një farë mënyre për këto mjete në pikat e mëparshme. Isshtë një mjedis për të kryer analiza kompjuterike mjeko-ligjore, imazhin e tij, "qeni qen", dhe në versionin e fundit qeni ka fytyrën e një gjeniu më të keq, të vërtetës the.
Lidhja më e rëndësishme në këtë grup mjetesh, autopsia.
Ato janë mjete vëllimi të sistemeve që lejojnë ekzaminimin e imazheve mjeko-ligjore kompjuterike të llojeve të ndryshme të platformave në një mënyrë "JO INTRUSIVE", dhe kjo është më e rëndësishmja duke pasur parasysh rëndësinë e saj në forenzikë.
Ka mundësinë e përdorimit në mënyrën e rreshtit të komandës, atëherë secili mjet ekzekutohet në një mjedis të veçantë terminali ose gjithashtu, në një mënyrë shumë më "miqësore", mund të përdoret mjedisi grafik, i cili lejon të kryejë një hetim në një mënyrë e thjeshtë.

LxW: A mund të bëni të njëjtën gjë me distro LiveCD të quajtur HELIX?

FN:Epo, është një tjetër nga kornizat për analizën e kompjuterit mjeko-ligjor, gjithashtu me shumë ambiente, domethënë, analizon imazhe kriminalistike të sistemeve Linux, Windows dhe Mac, si dhe imazhe të RAM dhe pajisjeve të tjera.
Ndoshta mjetet e tij më të fuqishme janë Adept për klonimin e pajisjes (kryesisht disqet), Aff, një mjet për analizën kriminalistike në lidhje me metadata dhe natyrisht! Autopsia. Përveç këtyre, ajo ka shumë më tepër mjete.
E keqja, versioni i tij profesional paguhet, megjithëse gjithashtu ka një version falas.

LxW: TCT (Manuali i Koronerit) është një projekt që u zëvendësua nga The Sleuth Kit.
vazhdoni të përdorni atëherë?

FN:TCT ishte i pari nga mjetet për analizën kriminalistike, mjete të tilla si grabitës varresh, lazarus ose findkey e theksuan atë dhe për analizën e sistemeve të vjetra është më efikase se paraardhësi i tij, paksa e njëjtë siç ndodh me backtrack dhe kali, Unë ende i përdor të dyja, për shembull.

LxW: Softueri Udhëzues ka krijuar EnCase, të paguar dhe të mbyllur. Gjithashtu nuk është gjetur për sistemet e tjera operative jo-Windows. A e kompenson sigurisht këtë lloj programi duke pasur alternativa falas? Unë mendoj se praktikisht të gjitha nevojat janë të mbuluara me projekte falas dhe falas, apo gaboj?

FN: Unë mendoj se unë tashmë i jam përgjigjur kësaj, sipas mendimit tim modest JO, nuk kompenson dhe PO, të gjitha nevojat për të kryer analiza mjeko-ligjore kompjuterike janë të mbuluara me projekte falas dhe falas.

LxW: Duke iu referuar pyetjes së mësipërme, unë shoh se EnCase është për Windows dhe gjithashtu tjetër
mjete si FTK, Xways, për analiza kriminalistike, por edhe shumë mjete të tjera për depërtim dhe siguri. Pse të përdorni Windows për këto tema?

FN: Unë nuk do të dija t’i përgjigjesha kësaj pyetje me siguri, unë përdor të paktën 75% të testeve që kryej mjete të zhvilluara për platformat Linux, megjithëse e njoh që ka gjithnjë e më shumë mjete të zhvilluara për këto qëllime në platformat e Windows, dhe Unë gjithashtu e njoh që i vë në provë dhe ndonjëherë e përdor edhe atë, po, për sa kohë që i përket projekteve pa përdorim.

LxW: Kjo pyetje mund të jetë diçka ekzotike, për ta quajtur atë diçka. Por a mendoni se për të paraqitur prova në gjykime, vetëm provat nga softueri me burim të hapur duhet të jenë të vlefshme dhe jo nga të mbyllurat? Më lejoni të shpjegoj, mund të jetë mendim shumë i keq dhe të besoj se ata kanë qenë në gjendje të krijojnë softuer të pronarit që ofron të dhëna të gabuara në një farë kuptimi për të shfajësuar dikë ose grupe të caktuara dhe nuk do të kishte asnjë mënyrë për të rishikuar kodin burimor për të parë se çfarë e bën ose nuk e bën atë softuer. Isshtë pak i përdredhur, por unë jua propozoj që të jepni mendimin tuaj, të siguroni veten ose, përkundrazi, të bashkoheni me këtë mendim ...

FN: Jo, nuk jam i atij mendimi, unë përdor kryesisht mjete softuerësh falas dhe në shumë raste të hapura, por nuk mendoj se dikush zhvillon mjete që ofrojnë të dhëna të gabuara në mënyrë që të shfajësojë dikë, megjithëse është e vërtetë që kohët e fundit disa programe janë shfaqur që ata ofruan qëllimisht të dhëna të gabuara, ishte në një sektor tjetër dhe mendoj se është përjashtimi që konfirmon rregullin, me të vërtetë, nuk mendoj kështu, zhvillimet, për mendimin tim, bëhen në mënyrë profesionale dhe, të paktën në këtë rast, ato bazohen ekskluzivisht në shkencë, dëshmi të trajtuara nga këndvështrimi i shkencës, thjesht, ky është mendimi im dhe besimi im.

LxW: Disa ditë më parë, Linus Torvalds pohoi se siguria totale nuk është e mundur dhe se zhvilluesit nuk duhet të fiksohen në këtë drejtim dhe t'u japin përparësi veçorive të tjera (besueshmëria, performanca, ...). Washintong Post mori këto fjalë dhe ato ishin alarmante sepse Linus Torvalds "është njeriu që ka të ardhmen e Internetit në duart e tij", për shkak të sasisë së serverave dhe shërbimeve të rrjetit që funksionojnë falë kernelit që ai krijoi. Çfarë mendimi meritoni?

FN: Unë absolutisht pajtohem me të, siguria totale nuk ekziston, nëse vërtet dëshironi siguri totale në një server, fikeni ose shkëputeni nga rrjeti, varroseni, por sigurisht, atëherë, nuk është më një server, kërcënimet do të gjithmonë ekzistojnë, ato që duhet të mbulojmë janë dobësitë, të cilat janë të shmangshme, por natyrisht, së pari duhet të gjenden dhe nganjëherë duhet kohë për të kryer këtë kërkim ose të tjerët e bëjnë atë për qëllime të paqarta.
Sidoqoftë, unë besoj se teknologjikisht jemi në një pikë shumë të lartë të sigurisë së sistemit, gjërat janë përmirësuar shumë, tani është vetëdija e përdoruesit, siç thashë në përgjigjet e mëparshme, dhe kjo është akoma e gjelbër.

LxW: Imagjinoj që kriminelët kibernetikë po e bëjnë më të vështirë çdo herë (TOR, I2P, Freenet, steganografi, kriptim, Vetë-Shkatërrim Emergjent i LUKS, proxy, pastrim i meta të dhënave, etj). Si veproni në këto raste për të siguruar prova në gjykatë? A ka raste kur nuk mundeni?

FN: Epo, nëse është e vërtetë që gjërat po bëhen më komplekse dhe ka edhe raste në të cilat unë nuk kam qenë në gjendje të veproj, pa shkuar më tej me kriptolokrin e famshëm, klientët më kanë thirrur duke kërkuar ndihmën time dhe ne nuk kemi qenë në gjendje të bëni shumë për të, siç dihet, është një ransomware që, duke përfituar nga inxhinieri sociale, përsëri përdoruesi është lidhja më e dobët, kripton përmbajtjen e disqeve të forta dhe po udhëheq të gjithë profesionistët e sigurisë së kompjuterit, njësitë shkencore të ligjit zbatimi, prodhuesit e kompleteve të sigurisë dhe analisti mjeko-ligjor, ne ende nuk jemi në gjendje ta trajtojmë problemin.
Për pyetjen e parë, si veprojmë për t'i sjellë këto çështje në gjyq, mirë si mund të bëjmë me të gjitha provat, dua të them, me etikën profesionale, gjithashtu mjete të sofistikuara, njohuri të shkencës dhe duke u përpjekur për të gjetur përgjigjet e pyetjeve që në Pyetjen e parë, me vlerë të tepërt që thashë, nuk gjej ndryshim, ajo që ndodh është që ndonjëherë këto përgjigje nuk gjenden.

LxW: A i rekomandoni kompanitë të kalojnë në Linux? Pse

FN: Nuk do të thosha aq shumë, dua të them, mendoj se nëse kam diçka pa licencë që më ofron të njëjtat shërbime si diçka që kushton para, pse t'i shpenzoj? Një pyetje tjetër është se nuk më siguroi të njëjtat shërbime , por, është se nëse po. Linux është një sistem operativ që ka lindur nga perspektiva e shërbimit të rrjetit dhe ofron karakteristika të ngjashme me pjesën tjetër të platformave në treg, kjo është arsyeja që shumë e kanë zgjedhur atë me platformën e tyre për të, për shembull, të ofrojnë një shërbim ueb , ftp, etj., Unë me siguri e përdor atë dhe jo vetëm për të përdorur distros mjeko-ligjore, por edhe si një server në qendrën time të trajnimit, unë kam Windows në laptop tim sepse licenca është e përfshirë me pajisjen, edhe kështu që unë hedh një shumë të virtualizations Linux
Në përgjigje të pyetjes, Linux nuk kushton, ka një numër në rritje të aplikacioneve që funksionojnë në këtë platformë dhe gjithnjë e më shumë kompani zhvillimi po bëjnë produkte për Linux. Nga ana tjetër, megjithëse nuk është i lirë nga malware, numri i infeksioneve është më i ulët, kjo së bashku me fleksibilitetin që ju jep platforma për tu përshtatur si dorezë nevojave, i jep asaj, për mendimin tim, forcë të mjaftueshme për të qenë Zgjedhja e parë e çdo kompanie dhe më e rëndësishmja nga të gjitha, të gjithë mund të kontrollojnë atë që bën softueri, për të mos përmendur që siguria është një nga pikat e saj të forta.

LxW: Aktualisht ekziston një lloj lufte kompjuterike ku marrin pjesë edhe qeveritë. Ne kemi parë malware si Stuxnet, Stars, Duqu, etj., Krijuar nga qeveritë për qëllime specifike, si dhe firmware të infektuar (për shembull, bordet Arduino me firmware e tyre të modifikuar), printera lazer "spiun", etj. Por as hardueri nuk shpëton nga kjo, gjithashtu janë shfaqur patate të skuqura të modifikuara që përveç detyrave për të cilat janë dizajnuar me sa duket, përfshijnë edhe funksionalitete të tjera të fshehura, etj. Ne kemi parë madje projekte disi të çmendura si AirHopper (një lloj keylogger i valëve të radios), BitWhisper (sulme të nxehtësisë për të mbledhur informacion nga viktima), malware i aftë të përhapet me zë, ... A po e ekzagjeroj nëse them se ato janë nuk jeni më të sigurt ose kompjuterat të shkëputur nga ndonjë rrjet?

FN: Siç kam komentuar tashmë, sistemi më i sigurt është ai që është i fikur dhe disa thonë se ai është i mbyllur në një bunker, njeriu nëse është shkyçur mendoj se është gjithashtu shumë i sigurt, por kjo nuk është çështja, dua të them, për mendimin tim pyetja nuk është sasia e kërcënimeve ekzistuese, ka gjithnjë e më shumë pajisje që janë të ndërlidhura, gjë që nënkupton një numër më të madh të dobësive dhe sulmeve kompjuterike të llojeve të ndryshme, duke përdorur, siç e keni shprehur mirë në pyetje, çarje të ndryshme dhe vektorët e sulmit, por unë mendoj se jo Ne duhet ta përqendrojmë çështjen në shkyçje për të qenë të sigurt, ne duhet të përqendrohemi në sigurimin e të gjitha shërbimeve, pajisjeve, komunikimeve, etj, siç e kam përmendur tashmë, megjithëse është e vërtetë që numri i kërcënimeve është i madh, nuk është më pak e vërtetë se numri i teknikave të sigurisë nuk është më pak i madh, ne kemi mungesë të faktorit njerëzor, vetëdijës dhe trajnimit të sigurisë, asgjë më shumë dhe problemet tona, madje edhe të lidhura, do të jenë më të pakta.

LxW: Ne përfundojmë me mendimin personal dhe si një ekspert sigurie që meritojnë këto sisteme, ju gjithashtu mund të na ofroni të dhëna për të cilat janë më të vështira për t'u siguruar dhe për të gjetur më shumë vrima sigurie:

Lidhur me pyetjen prej milion dollarësh, cili sistem është më i sigurti, përgjigja u dha më parë, asnjë nuk është 100% i sigurt i lidhur në rrjet.
Windows nuk e di kodin e saj burimor, prandaj askush nuk e di saktësisht se çfarë bën ose si e bën atë, përveç zhvilluesve natyrisht. Kodi burimor i Linux është i njohur dhe, siç thashë, siguria është një nga pikat e saj të forta, përkundër tij është se është më pak miqësore dhe ka shumë distro. Për Mac OS, pika e tij e fortë, minimalizmi i tij që kthehet në produktivitet, është një sistem ideal për fillestarët. Për të gjitha këto arsye, për mendimin tim, më e vështira për t'u siguruar janë Windows, përkundër faktit se studimet e fundit zbulojnë se është ai me më pak dobësi, përveç shfletuesit tuaj. Sipas mendimit tim nuk ka kuptim të thuash që ky apo ai sistem operativ është pak a shumë i prekshëm, duhet të merren parasysh të gjithë faktorët nga të cilët ndikohet, dobësitë, aplikacionet e instaluara, përdoruesit e tij, etj. Pasi të jenë marrë parasysh të gjitha sa më sipër, unë besoj se sistemet duhet të forcohen me të gjitha llojet e masave të sigurisë, në përgjithësi dhe të zbatueshme për çdo sistem, fortifikimi i të njëjtit mund të përmblidhet në këto pika themelore:

• Azhurnimi: Mbani gjithnjë të azhurnuar këtë pikë në sistem dhe të gjitha aplikacionet që përdorin rrjetin.
• Fjalëkalimet duhet të jenë adekuate, dua të them, me një minimum prej 8 karakteresh dhe një fjalor të madh.
• Siguria e perimetrit: Një mur i mirë mbrojtës dhe IDS nuk do të dëmtonin.
• Nuk ka porte të hapura që nuk ofrojnë një shërbim aktiv dhe të azhurnuar.
• Bëni kopje rezervë në përputhje me nevojat e secilit rast dhe mbajini ato në vende të sigurta.
• Nëse punoni me të dhëna të ndjeshme, kriptimi i të njëjtave.
• Enkriptimi i komunikimeve gjithashtu.
• Trajnimi dhe ndërgjegjësimi i përdoruesve.

Shpresoj që ju ka pëlqyer kjo intervistë, ne do të vazhdojmë të bëjmë më shumë. Ne e vlerësojmë që keni lënë tuajin mendimet dhe komentet...