Францисцо Нададор нам говори о свом искуству у свету форензичке анализе

Данас интервјуишемо ексклузивно за ЛкА Францисцо Нададор, специјализована за рачунарску форензику, заљубљеница у рачунарску сигурност, хаковање и тестирање пенетрације. Францисцо је дипломирао на Универзитету Алцала де Хенарес и сада режира Цомплуматиц, посвећен предавању на безбедносним питањима и нуди услуге повезане са овом темом за компаније.

Завршио је мастер (Отворени универзитет у Каталонији) из области рачунарске безбедности, специјализован за две теме, Форензичку анализу и Безбедност мреже. Из тог разлога је стекао почасну диплому, а касније је постао члан Националног удружења рачунарских правосудних проценитеља и стручњака. И као што ће нам објаснити, Дали су му укрсну медаљу за истражне заслуге са белом значком за своју професионалну каријеру и истраживање. Награду су такође освојили Цхема Алонсо, Ангелуцхо, Јосеп Алборс (извршни директор ЕСЕТ Шпанија) итд.

Linux Adictos: Молимо објасните нашим читаоцима шта је форензичка анализа.

Францисцо Нададор: За мене је то наука која покушава дати одговоре на оно што се догодило након што је инцидент са рачунарском сигурношћу дигитални сценарио, одговори типа Шта се догодило? Када се догодило? Како се догодило? А шта или ко је то изазвало?

ЛкА: Из вашег положаја и искуства, догађају ли се тако важни сајбер криминали са толико много случајева
учесталост у Шпанији као и у другим земљама?

ФН: Па, према извештајима које је објавила ЕУ и који су у јавном домену, Шпанија је на дну иновативних земаља, заједно са осталим земљама на југу, то су студије које нуде упоредна истраживања и иновационе перформансе земље које су део ЕУ. Ово вероватно доводи до тога да је број безбедносних инцидената овде значајан, а њихова типологија разнолика.
Компаније свакодневно ризикују, али супротно ономе што се може чинити, односно да могу настати излагањем мрежи, то су ризици које обично узрокује најслабија карика у ланцу, корисник. Сваки пут када је зависност уређаја као и број уређаја којима се рукује већа, што узрокује добро нарушавање безбедности, студија коју сам недавно прочитао каже да су више од 50% безбедносних инцидената проузроковали људи, радници, бивши -радници итд., који компаније коштају хиљаде евра, по мом мишљењу постоји само једно решење за овај проблем, обука и свест и већа сертификација у ИСО27001.
Што се тиче сајбер-криминала, апликација попут ВхатсАпп-а, рамсонваре-а (у последње време званог цриптолоцкер), наравно, биткоина виртуелне валуте, рањивости разних врста без погодног крпања, лажног плаћања на Интернету, „неконтролисане“ употребе друштвених мрежа итд. су они који су заузели прве позиције на ранг листи телематских злочина.
Одговор је „ДА“, у Шпанији су кибернетички злочини подједнако важни као и у осталим земљама чланицама ЕУ, али чешће.

ЛкА: Добили сте почасну зрелост за свој завршни пројекат Учитеља који сте урадили. Поврх тога,
добили сте награду ... Реците нам целу причу.

ФН: Па, нису ми драге награде или признања, истина је, мој мото је труд, рад, преданост и инсистирање, будите врло упорни у постизању циљева које сте себи поставили.
Урадио сам Мастер, јер је то тема којом сам страствен, успешно сам га завршио и од тада до сада сам му се посветио професионално. Волим рачунарску форензичку истрагу, волим да тражим и проналазим доказе и трудим се да то радим из највеће етике. Награда, ништа важно, само је неко помислио да је мој завршни мастер рад то заслужио, то је то, не придајем му већи значај. Данас сам много поноснији на курс који сам развио за његово завршавање на мрежи о рачунарској форензици и који је сада у другом издању.

ЛкА: Које ГНУ / Линук дистрибуције свакодневно користите? Претпостављам да је Кали Линук, ДЕФТ,
Бацктрацк и Сантоку? Паррот ОС?

ФН: Па, дали сте неколико да. За Пентестинг Кали и Бацктрацк, Сантоку за форензичку анализу на Мобиле анд Дефт или Хелик, за форензичку анализу на ПЦ-у (између осталих), иако су оквири, сви они који имају алате за обављање других задатака који се односе на пентест и рачунарску форензичку анализу, Али постоје и други алати који ми се свиђају и имам верзију Линука као што су обдукција, волатилност, алати попут Форемост, тестдиск, Пхоторец, у комуникацијском делу, виресхарк, за прикупљање информација нессус, нмап, за аутоматско коришћење метасплоита и Убунту живи сам ЦД, који вам омогућава да покренете машину, а затим, на пример, тражите злонамерни софтвер, опоравите датотеке итд.

ЛкА: Који су вам алати отвореног кода омиљени?

ФН: Па, мислим да сам био испред одговора на ово питање, али ћу се позабавити нечим другим. Да бих развио свој рад, углавном користим алате отвореног кода, они су корисни и омогућавају вам да радите исте ствари као и они који се плаћају по лиценци, тада, по мом мишљењу, посао може савршено да се изведе са овим алатима.
Овде Линук оквири узимају јацкпот, мислим, они су дивни. Линук је најбоља платформа за примену алата за форензичку анализу, за овај оперативни систем постоји више алата него за било који други и сви они, добро, велика већина је бесплатна, бесплатна и отвореног кода, што им омогућава да буду адаптиран.
С друге стране, други оперативни системи могу се без проблема анализирати из Линука, једини недостатак је можда тај што је мало сложенији у употреби и одржавању, а такође, пошто нису комерцијални, немају континуирана подршка. Моји омиљени, рекао сам им их и раније, Спретност, Обдукција, Волатилност и још неки.

ЛкА: Можете ли нам рећи нешто о Тхе Слеутх Кит ... Шта је то? Пријаве?

ФН: Па, већ сам на неки начин говорио о овим алатима у претходним тачкама. То је окружење за спровођење форензичке рачунарске анализе, његове слике, „пса гонича“, па у најновијој верзији пас има лице лошијег генија, истина .
Најважнија карика у овој групи алата, обдукција.
То су системски алати који омогућавају испитивање рачунарских форензичких слика са различитих платформи на „НЕИНТРУЗИВАН“ начин, а ово је најважније с обзиром на његов значај у форензици.
Има могућност коришћења у режиму командне линије, а затим се сваки алат извршава у одвојеном терминалном окружењу или такође, на много „пријатељскији“ начин, може се користити графичко окружење које омогућава спровођење истраге на једноставан начин начин.

ЛкА: Можете ли то учинити са ЛивеЦД дистро дистрибуцијом под називом ХЕЛИКС?

ФН:Па, то је још један од оквира за форензичку рачунарску анализу, такође мулти-окружење, односно анализира форензичке слике система Линук, Виндовс и Мац, као и слике РАМ-а и других уређаја.
Можда су његови најмоћнији алати Адепт за клонирање уређаја (углавном дискови), Афф, алат за форензичку анализу везан за метаподатке и наравно! Обдукција. Поред ових, има још много алата.
Лоша страна је његова професионална верзија која се плаћа, мада има и бесплатну верзију.

ЛкА: ТЦТ (Тхе Цоронер'с Тоолкит) је пројекат који је замењен Тхе Слеутх Кит.
наставити да користите тада?

ФН:ТЦТ је био први од алата за форензичку анализу, алати као што су пљачкаш гробова, Лазар или Финдкеи су га истакли, а за анализу старих система је ефикаснији од свог претходника, помало исто као што се дешава са бацктрацком и кали, И даље користим оба, на пример.

ЛкА: Софтвер за навођење креирао је ЕнЦасе, платио га и затворио. Такође се не може наћи за друге оперативне системе који нису Виндовс. Да ли сигурно надокнађује ову врсту софтвера бесплатним алтернативама? Верујем да су практично све потребе покривене бесплатним и бесплатним пројектима или грешим?

ФН: Мислим да сам на ово већ одговорио, по мом скромном мишљењу НЕ, то не надокнађује и ДА, све потребе за обављањем рачунарске форензичке анализе покривене су бесплатним и бесплатним пројектима.

ЛкА: Позивајући се на претходно питање, видим да је ЕнЦасе за Виндовс, а такође и за друге
алати попут ФТК, Ксваис, за форензичку анализу, али и многи други алати за продор и сигурност. Зашто користити Виндовс за ове теме?

ФН: Не бих знао како да одговорим са сигурношћу на то питање, користим барем 75% тестова које спроводим алате развијене за Линук платформе, иако препознајем да је све више алата развијених за те сврхе на Виндовсима платформе, а такође препознајем да сам их ставио на тест и понекад их такође користим, да, све док спада у бесплатне пројекте.

ЛкА: Ово питање је можда нешто егзотично, да га тако назовемо. Али да ли мислите да би за извођење доказа на суђењима требало да важе само докази које пружа софтвер отвореног кода, а не они затворени? Дозволите ми да објасним, то би могло бити врло лоше размишљање и веровање да су успели да створе заштићени софтвер који пружа погрешне податке у неком смислу за ослобађање некога или одређених група, а не би било начина да се прегледа изворни код и види тај софтвер ради или не ради. Помало је уврнуто, али предлажем вам га да бисте могли да дате своје мишљење, умирите се или, напротив, придружите овом мишљењу ...

ФН: Не, нисам тог мишљења, користим углавном бесплатне софтверске алате и у многим случајевима отвореним, али не верујем да неко развија алате који пружају погрешне податке како би некога ослободио, мада је тачно да су се недавно појавили неки програми да су намерно нудили погрешне податке, то је било у другом сектору и мислим да је то изузетак који потврђује правило, заиста, мислим да није, развој догађаја се, по мом мишљењу, врши професионално и, барем у овом случају, заснивају се искључиво на науци, доказима третираним са становишта науке, једноставно, то је моје мишљење и моје уверење.

ЛкА: Пре неколико дана, Линус Торвалдс је тврдио да потпуна сигурност није могућа и да програмери не би требало да буду опседнути у том погледу и да дају предност осталим карактеристикама (поузданост, перформансе, ...). Васхинтонг Пост је покупио ове речи и оне су биле алармантне с обзиром да је Линус Торвалдс „човек који у својим рукама има будућност Интернета“, због количине сервера и мрежних услуга које раде захваљујући кернелу који је створио. Какво мишљење заслужујеш?

ФН: Апсолутно се слажем с њим, укупна сигурност не постоји, ако заиста желите потпуну сигурност на серверу, искључите га или искључите из мреже, закопајте, али наравно, онда то више није сервер, претње ће увек постоје, оно што морамо покрити су рањивости, које је могуће избећи, али наравно, прво их је потребно пронаћи, а понекад је потребно време да се изврши ово претраживање или други то учине у нејасне сврхе.
Међутим, мислим да смо технолошки на врло високој тачки безбедности система, ствари су се много побољшале, сада је то свест корисника, као што сам рекао у претходним одговорима, и то је и даље зелено.

ЛкА: Претпостављам да цибер криминалци сваки пут то отежавају (ТОР, И2П, Фреенет, стеганографија, шифровање, хитно самоуништавање ЛУКС-а, прокси, чишћење метаподатака итд.). Како се понашате у овим случајевима да бисте пружили доказе на суду? Постоје ли случајеви у којима не можете?

ФН: Па, ако је тачно да ствари постају сложеније, а има и случајева у којима нисам успео да поступим, а да нисам отишао даље са познатим криптолокером, клијенти су ме звали тражећи помоћ, а нисмо могли учините много по том питању. Као што је познато, то је рансомваре који је, користећи предност социјалног инжењеринга, поново корисник најслабија карика, шифрира садржај чврстих дискова и води све стручњаке за рачунарску сигурност, научне јединице закона извршења, произвођача безбедносних пакета и форензичког аналитичара, још увек нисмо у стању да се позабавимо проблемом.
На прво питање, како поступити да се ова питања изведу на суђење, па како поступамо са свим доказима, мислим, са професионалном етиком, такође софистицираним алатима, знањем о науци и покушавајући да пронађемо одговоре на питања која у првом питању, вредно сувишности коју сам навео, не налазим разлику, оно што се дешава је да понекад ти одговори нису пронађени.

ЛкА: Да ли бисте препоручили компанијама да пређу на Линук? Зашто?

ФН: Не бих рекао толико, мислим, мислим да ако имам нешто без лиценце које ми пружа исте услуге као нешто што кошта, зашто то трошити? Друго је питање што ми не пружа исто услуге, али, да ли је то ако то учини. Линук је оперативни систем који је рођен из перспективе мрежне услуге и нуди сличне функције као и остале платформе на тржишту, то је разлог што су га многи одабрали са својом платформом да би, на пример, понудили веб услугу, фтп, итд., свакако је користим и не само да бих користио форензичке дистро дистриксеве већ и као сервер у свом центру за обуку, на лаптопу имам Виндовс јер је лиценца уграђена у уређај, чак и зато бацам много тога виртуелизације Линук.
Као одговор на питање, Линук не кошта, све је већи број апликација које раде на овој платформи и све више развојних компанија производи производе за Линук. С друге стране, иако није без малвера, број зараза је мањи, то заједно са флексибилношћу коју вам даје платформа да се попут рукавице прилагодите потребама, даје јој, по мом мишљењу, довољно снаге да буде Први избор сваке компаније и најважније од свега, свако може да провери шта софтвер ради, а да не помињемо да је сигурност једна од његових предности.

ЛкА: Тренутно постоји врста рачунарског рата у којем владе такође учествују. Видели смо малвер попут Стукнет, Старс, Дуку итд., Који су владе креирале за одређене сврхе, као и заражени фирмвер (на пример, плоче Ардуино са њиховим модификованим фирмвером), „шпијунске“ ласерске штампаче итд. Али чак ни хардвер не бежи од овога, појавили су се и модификовани чипови који, поред задатака за које су очигледно дизајнирани, укључују и друге скривене функционалности итд. Видели смо чак помало луде пројекте као што су АирХоппер (врста радио таласног кеилоггера), БитВхиспер (топлотни напади ради прикупљања информација од жртве), малваре који се може ширити звуком, ... Да ли претјерујем ако кажем да јесу више није сигурно или рачунари искључени са било које мреже?

ФН: Као што сам већ коментарисао, најсигурнији систем је онај који је искључен, а неки кажу да је закључан у бункеру, човече ако је искључен мислим да је и сасвим сигуран, али то није питање, мислим, по мом мишљењу питање није количина постојећих претњи, све је више уређаја који су међусобно повезани, што подразумева већи број рањивости и рачунарских напада различитих врста, користећи, као што сте добро изразили у питању, различите пукотине и нападачи, али мислим да не. Морамо фокусирати проблем на прекид везе како бисмо били сигурни, морамо се усредсредити на осигурање свих услуга, уређаја, комуникација итд., као што сам већ споменуо, иако је тачно да је број претњи велико, није ништа мање тачно да број безбедносних техника није ништа мање велик, недостаје нам људски фактор, свест и безбедносна обука, ништа више и наши проблеми, чак и повезани, биће мање.

ЛкА: Завршавамо са личним мишљењем и као стручњак за безбедност који ови системи заслужују, могли бисте нам доставити и податке о којима је теже обезбедити и пронаћи више сигурносних рупа:

Што се тиче питања од милион долара, који је систем најсигурнији, одговор је дат и раније, ниједан није 100% сигуран у мрежу.
Виндовс не зна свој изворни код, тако да нико не зна тачно шта ради или како, осим наравно програмера. Из Линука је познат изворни код и, као што рекох, сигурност је једна од његових снага, против тога је што је мање пријатељски расположен и има много дистро-а. Од Мац ОС-а, његове јаче стране, минимализма који се враћа на продуктивност, је идеалан систем за почетнике. Из свих ових разлога, по мом мишљењу најтежи је осигурати Виндовс, упркос чињеници да недавне студије откривају да је он тај са најмање рањивости, осим вашег прегледача. По мом мишљењу, нема смисла потврђивати да је овај или онај оперативни систем мање или више рањив, морају се узети у обзир сви фактори на које то утиче, рањивости, инсталиране апликације, корисници итд. Једном када се све наведено узме у обзир, верујем да би системи требало да буду ојачани свим врстама безбедносних мера, уопште и применљивих на било који систем, утврђивање истих могло би се резимирати у следеће основне тачке:

• Ажурирање: Увек ажурирајте ову тачку у систему и свим апликацијама које користе мрежу.
• Лозинке морају бити одговарајуће, мислим, са најмање 8 знакова и великим речником.
• Сигурност на ободу: Добар заштитни зид и ИДС не би наштетили.
• Нема отворених портова који не нуде активну и ажурирану услугу.
• Направите резервне копије у складу са потребама сваког случаја и чувајте их на сигурним местима.
• Ако радите са осетљивим подацима, шифрирање истих.
• Шифровање комуникација такође.
• Обука и свест корисника.

Надам се да вам се свидео овај интервју, наставићемо да радимо више. Ценимо што сте оставили своје мишљења и коментари...