Francisco Nadador berättar om sin erfarenhet av en kriminalteknisk värld

I dag Vi intervjuade Francisco Nadador exklusivt för LxA, specialiserad på datorforensik, passionerad för datorsäkerhet, hacking och penetrationstestning. Francisco tog examen från universitetet i Alcalá de Henares och regisserar nu komlumatisk, tillägnad undervisning i säkerhetsfrågor och erbjuder tjänster relaterade till detta ämne för företag.

Han avslutade en magisterexamen (Open University of Catalonia) i datorsäkerhet med specialisering på två ämnen, forensisk analys och nätverkssäkerhet. Av denna anledning fick han en hedersexamen och blev senare medlem i National Association of Appraisers and Computer Judicial Experts. Och som han kommer att förklara för oss, han tilldelades korsmedaljen för undersökningsförtjänst med vit utmärkelse för sin professionella karriär och forskning. Det här priset vanns också av Chema Alonso, Angelucho, Josep Albors (VD för ESET Spain), etc.

Linux Adictos: Förklara gärna för våra läsare vad som är rättsmedicinsk analys.

Francis Swimmer: För mig är det en vetenskap som försöker ge svar på vad som hände efter en datasäkerhetsincident, det är ett digitalt scenario, svar av typen: Vad hände? När hände det? Hur hände det? Och vad eller vem orsakade det?

LxB: Utifrån din position och erfarenhet, förekommer sådana viktiga cyberbrott och med sådana
ofta i Spanien som i andra länder?

FN: Tja, enligt rapporter publicerade av EU och som är offentliga, ligger Spanien i botten av innovativa länder, tillsammans med resten av länderna i den södra zonen, de är studier som erbjuder jämförelser av forsknings- och innovationsprestanda av de länder som är med i EU. Detta gör förmodligen att antalet säkerhetsincidenter här är betydande och deras typologi varierande.
Företag löper risker dagligen, men i motsats till vad det kan tyckas, det vill säga att de kan komma från sin exponering mot nätet, är det risker som oftast orsakas av den svagaste länken i kedjan, användaren. Varje gång beroendet av enheterna såväl som antalet av dessa som hanteras blir större, vilket orsakar ett bra säkerhetsbrott, sa en studie som jag nyligen läste att mer än 50 % av säkerhetsincidenterna orsakades av människor, arbetare, ex. -arbetare, etc., som kostar företag många tusen euro, enligt min mening finns det bara en lösning på detta problem, utbildning och medvetenhet och större certifiering i ISO27001.
När det gäller cyberbrott, applikationer som WhatsApp, ransomware (som nyligen kallades cryptolocker), förstås, den virtuella valutan bitcoin, sårbarheter av olika slag utan att vara ordentligt korrigerade, bedräglig betalning på internet, den "okontrollerade" användningen av sociala nätverk osv. , är de som har ockuperat de första positionerna i rankingen av telematikbrott.
Svaret är "JA", i Spanien förekommer cyberbrott lika viktiga som i resten av EU:s medlemsländer, men oftare.

LxB: Du har fått en hedersexamen för ditt avslutande projekt av Master som du gjorde. Förutom,
du fick en utmärkelse... Berätta gärna hela historien.

NF: Tja, jag är inte särskilt förtjust i priser eller erkännanden, sanningen är att mitt motto är ansträngning, arbete, engagemang och envishet, att vara mycket ihärdig för att uppnå de mål som du sätter upp för dig själv.
Jag gjorde Mästaren för att det är ett ämne som jag brinner för, jag avslutade det framgångsrikt och från dess till nu har jag ägnat mig professionellt åt det. Jag älskar datorkriminalteknisk utredning, jag gillar att söka och hitta bevis och jag försöker göra det utifrån den mest överväldigande etiken. Priset, inget viktigt, bara någon tyckte att min magisteruppsats förtjänade det, det är det, jag ger det inte så stor betydelse. Idag är jag mycket mer stolt över en kurs som jag har utvecklat för online-komplettering om datorforensik och som redan är i sin andra upplaga.

LxB: Vilka GNU/Linux-distributioner använder du i din vardag? Jag skulle föreställa mig Kali Linux, DEFT,
Backtrack och Santoku? ParrotOS?

NF: Jo du har nämnt några ja. För Pentesting Kali och Backtrack, Santoku för Mobile Forensics och Deft eller Helix, för PC-forensics (bland andra), även om de är ramverk, har alla verktyg för att utföra andra uppgifter relaterade till pentesting och datorforensik, men det finns andra verktyg som Jag gillar och har en Linux-version som obduktion, volatilitet, verktyg som Foremost, testdisk, Photorec, i kommunikationsdelen, wireshark, för att samla in nessus-information, nmap, för att automatiskt utnyttja metasploit och Ubuntu live yourself cd, vilket gör att du kan starta en maskin och sedan till exempel söka efter skadlig programvara, återställa filer osv.

LxB: Vilka verktyg med öppen källkod är dina favoriter?

NF: Jo jag tror att jag kom före mig själv i svaret på den här frågan, men jag ska fördjupa mig lite längre. För att utveckla mitt arbete använder jag i princip verktyg med öppen källkod, de är användbara och låter dig göra samma saker som de som betalas med användningslicens, så enligt min mening kan arbetet utföras perfekt med dessa verktyg.
Här slår Linux-ramverken jackpotten, jag menar, de är underbara. Linux är den bästa plattformen för distribution av rättsmedicinska analysverktyg, det finns fler verktyg för det här operativsystemet än för något annat och alla av dem, ja snarare, de allra flesta är gratis, väl gratis och öppen källkod, vilket gör att de kan vara anpassas.
Å andra sidan kan andra operativsystem analyseras utan problem från Linux.Den enda nackdelen är kanske att det är lite mer komplext i sin användning och underhåll, och eftersom de inte är kommersiella så har de inte kontinuerligt stöd. Mina favoriter, jag sa dem förut, Deft, Autopsy, Volatility och lite mer.

LxB: Kan du berätta lite om The Sleuth Kit... Vad är det? Ansökningar?

NF: Tja, jag har redan talat på ett visst sätt om dessa verktyg i de föregående punkterna. Det är en miljö för att utföra datorkriminalteknisk analys, dess bild, "den lilla hunden", ja i den senaste versionen har den lilla hunden ansiktet av att ha ett sämre humör än sanningen .
Den viktigaste länken i denna grupp av verktyg, obduktion.
De är systemvolymverktyg som gör det möjligt att undersöka datorkriminaltekniska bilder av olika typer av plattformar på ett "ICKE-INTRUSIVT" sätt, och detta är det viktigaste med tanke på dess innebörd inom kriminalteknik.
Den har möjlighet att användas i kommandoradsläge, sedan exekveras varje verktyg i en separat terminalmiljö eller också, på ett mycket mer "vänligt" sätt, kan den grafiska miljön användas, vilket gör det möjligt att utföra en undersökning på ett enkelt sätt sätt.

LxB: Kan du göra samma sak med LiveCD-distro som heter HELIX?

NF:Tja, det är ett annat av ramverken för datorkriminalteknisk analys, även multimiljö, det vill säga det analyserar kriminaltekniska bilder av Linux-, Windows- och Mac-system, såväl som bilder av RAM och andra enheter.
Dess kanske mest kraftfulla verktyg är Adept för enhetskloning (främst diskar), Aff, ett verktyg för rättsmedicinsk analys relaterat till metadata, och naturligtvis obduktion. Utöver dessa har den många fler verktyg.
Nackdelen är att dess professionella version är betald, även om den också har en gratisversion.

LxB: TCT (The Coroner's Toolkit) är ett projekt som ersattes av The Sleuth Kit. Varför var
fortsätta använda då?

NF:TCT var den första av verktygslådan för kriminalteknisk analys, verktyg som gravrövare, lazarus eller findkey lyfte fram det och för analys av gamla system är det mer effektivt än sin föregångare, lite samma sak som händer med backtrack och kali, jag använder fortfarande båda, till exempel.

LxB: Guidance Software har skapat EnCase, betald och stängd. Det finns inte heller för andra icke-Windows-operativsystem. Väger den här typen av programvara verkligen upp för att ha gratis alternativ? Jag tror att praktiskt taget alla behov täcks med gratis och gratis projekt, eller har jag fel?

NF: Jag tror att jag redan har svarat på detta, enligt min blygsamma uppfattning NEJ, det kompenserar inte och JA, alla behov för att genomföra datorkriminaltekniska analyser täcks med gratis och gratis projekt.

LxB: Med hänvisning till frågan ovan ser jag att EnCase är för Windows och även andra
verktyg som FTK, Xways, för kriminalteknisk analys, men också många andra verktyg för penetration och säkerhet. Varför använda Windows för dessa problem?

NF: Jag skulle inte veta hur jag skulle svara på den frågan med säkerhet, i minst 75% av testerna jag genomför använder jag verktyg utvecklade för Linux-plattformar, även om jag inser att det finns fler och fler verktyg utvecklade för dessa ändamål på Windows-plattformar, och Jag känner också igen att jag sätter dem på prov och vid vissa tillfällen använder jag det också, ja, så länge det hör till projekt som är gratis att använda.

LxB: Den här frågan kan vara något exotisk, för att kalla den på något sätt. Men tror du att för att presentera bevis i rättegångar bör endast bevisen som tillhandahålls av programvara med öppen källkod vara giltiga och inte den stängda? Låt mig förklara, det kan vara mycket dåligt genomtänkt och komma att tro att de har kunnat skapa proprietär programvara som tillhandahåller felaktiga data i någon mening för att urskulda någon eller vissa grupper och det skulle inte finnas något sätt att granska källkoden för att se vad den gör eller inte gör den programvaran. Det är lite skruvat, men jag ber dig att ge din åsikt, lugna dig eller tvärtom ansluta dig till denna åsikt...

NF: Nej, jag är inte av den åsikten, jag använder mest gratis mjukvaruverktyg och i många fall öppen källkod, men jag tror inte att någon utvecklar verktyg som tillhandahåller felaktiga uppgifter för att ursäkta någon, även om det är sant att vissa program på sistone har visade sig att de på ett överlagt sätt erbjöd felaktiga uppgifter, det har varit i en annan sektor och jag tror att det är undantaget som bekräftar regeln, verkligen, jag tror inte det, utvecklingen, enligt min mening, görs professionellt och, åtminstone i det här fallet, De baseras uteslutande på vetenskap, bevis behandlade ur vetenskapens synvinkel, helt enkelt, det är min åsikt och min tro.

LxB: För några dagar sedan hävdade Linus Torvalds att total säkerhet inte är möjlig och att utvecklare inte ska bli besatta av detta och prioritera andra funktioner (tillförlitlighet, prestanda,...). Washington Post samlade dessa ord och larmade att Linus Torvalds "är mannen som har internets framtid i sina händer", på grund av antalet servrar och nätverkstjänster som fungerar tack vare kärnan han skapade. Vilken åsikt förtjänar du?

NF: Jag håller absolut med honom, total säkerhet finns inte, om du verkligen vill ha total säkerhet på en server, stäng av den eller koppla bort den från nätverket, begrav den, men naturligtvis, då är det inte längre en server, hot kommer finns alltid, Det vi måste täcka är sårbarheterna, som kan undvikas, men naturligtvis måste de hittas först och ibland tar det tid att utföra denna sökning eller andra gör det i mörka syften.
Jag tror dock att vi tekniskt sett befinner oss på en väldigt hög nivå av systemsäkerhet, saker har förbättrats mycket, nu är det dags för användarmedvetenhet, som jag sa i tidigare svar, och det är fortfarande grönt.

LxB: Jag föreställer mig att cyberkriminella gör det svårare och svårare (TOR, I2P, Freenet, steganografi, kryptering, Emergency Self-Destruction of LUKS, proxy, metadatarensning, etc). Hur agerar du i dessa fall för att bevisa i en rättegång? Finns det fall där du inte kan?

NF: Tja, om det är sant att saker och ting blir mer komplicerade och även att det finns fall där jag inte har kunnat agera, utan att gå vidare med den berömda kryptografen, har kunder ringt mig och bett om hjälp och vi har inte kunnat att göra mycket åt det, Som bekant är det en ransomware som genom att dra nytta av social ingenjörskonst, återigen är användaren den svagaste länken, krypterar innehållet på hårddiskarna och tar med alla datasäkerhetsexperter, vetenskapliga enheter inom säkerhetsstyrkor, tillverkare av säkerhetssviter och kriminaltekniska analytiker, att vi inte kan ta itu med problemet ännu.
Till den första frågan, hur agerar vi för att ställa dessa frågor inför rätta, ja, hur gör vi det med alla bevis, jag menar, med professionell etik, även sofistikerade verktyg, kunskap om vetenskap och att försöka hitta svaren på frågor som jag i den första frågan, värda den redundans jag förklarade, inte kan hitta någon skillnad, det som händer är att ibland inte hittas dessa svar.

LxB: Skulle du rekommendera företag att byta till Linux? Därför att?

NF: Jag skulle inte säga så mycket, jag menar, jag tror att om jag har något fri från en licens som ger mig samma tjänster som något som kostar pengar, varför spendera det? En annan fråga är att det inte ger mig samma tjänster, men det är det om det gör det. Linux är ett operativsystem som föddes ur nätverkstjänstens perspektiv och erbjuder liknande funktioner som resten av plattformarna på marknaden, det är anledningen till att många har valt det med sin plattform för att till exempel erbjuda en webbtjänst , ftp, etc., självklart använder jag det och inte bara för att använda rättsmedicinska distros utan även som server i mitt träningscenter, jag har Windows på min bärbara dator eftersom licensen medföljer enheten, även om jag använder mycket virtualiseringar från linux.
Som svar på frågan kostar Linux inte, det finns ett ökande antal applikationer som körs på denna plattform och fler och fler utvecklingsföretag gör produkter för Linux. Å andra sidan, även om den inte är fri från skadlig kod, är antalet infektioner lägre.Detta, tillsammans med den flexibilitet som plattformen ger dig att anpassa som handen i handsken efter dina behov, ger den, enligt min mening, tillräckligt med styrka för att gör det till det första valet för alla företag och viktigast av allt, alla kan granska vad programvaran gör, för att inte tala om att säkerhet är en av dess styrkor.

LxB: För närvarande pågår ett slags informationskrigföring där även regeringar deltar. Vi har sett skadlig programvara som Stuxnet, Stars, Duqu, etc., skapad av myndigheter för specifika ändamål, såväl som infekterad firmware (till exempel Arduino-kort med deras modifierade firmware), "spion" laserskrivare, etc. Men inte ens hårdvaran undgår detta, det har också dykt upp modifierade chips som förutom de uppgifter som de tydligen är designade för även innehåller andra dolda funktioner osv. Vi har till och med sett något galna projekt som AirHopper (en sorts radiovågskeylogger), BitWhisper (värmeattacker för att samla information från offret), skadlig programvara som kan spridas med ljud,... Överdriver jag om jag säger att de inte längre är det kassaskåp eller datorer bortkopplade från något nätverk?

NF: Som jag redan har kommenterat är det säkraste systemet det som är avstängt och vissa säger att det är inlåst i en bunker, man om det är frånkopplat tror jag att det är ganska säkert också, men det är inte problemet, jag menar, i Min uppfattning är att frågan inte är antalet befintliga hot, det finns fler och fler enheter som är sammankopplade, vilket innebär ett större antal sårbarheter och datorattacker av olika slag, med användning av, som du väl har uttryckt i frågan, olika sprickor och attackvektorer, men jag tror inte att vi måste fokusera frågan på frånkoppling för att vara säkra, vi måste fokusera på värdepapperisering av alla tjänster, enheter, kommunikationer, etc., som jag redan har nämnt, även om det är sant att antalet hot är stort, är det inte mindre sant att antalet värdepapperiseringstekniker inte är mindre stort, vi saknar den mänskliga faktorn, säkerhetsmedvetenhet och utbildning, inget mer och våra problem, även kopplade, kommer att bli färre.

LxB: Vi avslutar med den personliga åsikten och som säkerhetsexpert som dessa system förtjänar kan du också förse oss med uppgifter som är svårare att säkra och du hittar fler säkerhetshål:

När det gäller frågan om miljoner dollar, vilket system som är säkrast, så gavs svaret tidigare, ingen är 100% säker när den är ansluten till nätverket.
Källkoden för Windows är inte känd, så ingen vet exakt vad den gör eller hur den gör det, förutom utvecklare förstås. Från Linux är källkoden känd och som sagt säkerhet är en av dess starka sidor, mot den är att den är mindre vänlig och det finns många distros. Från Mac OS, dess starka sida, dess minimalism som är omvänd i produktivitet, Det är ett idealiskt system för nybörjare. Av alla dessa skäl är enligt min mening det svåraste att säkra Windows, trots att de senaste studierna visar att det är den med minst sårbarheter, ja, förutom sin webbläsare. Enligt min mening är det inte meningsfullt att bekräfta att det ena eller det andra operativsystemet är mer eller mindre sårbart, alla faktorer som det påverkas av måste beaktas, sårbarheter, installerade applikationer, användare av detsamma, etc. När allt ovanstående har tagits i beaktande, anser jag att system bör förstärkas med alla typer av säkerhetsåtgärder, generellt och tillämpliga på alla system, dess förstärkning kan sammanfattas i dessa grundläggande punkter:

• Uppdatering: Håll alltid denna punkt i systemet och alla applikationer som använder nätverket uppdaterade.
• Lösenord måste vara tillräckliga, menar jag, med minst 8 tecken och en stor ordbok.
• Perimetersäkerhet: En bra brandvägg och en IDS skulle inte skada.
• Att inte ha öppna portar som inte erbjuder en aktiv och uppdaterad tjänst.
• Gör säkerhetskopior efter behoven i varje fall och förvara dem på säkra platser.
• Om du arbetar med känsliga uppgifter, kryptera dem.
• Även kryptering av kommunikation.
• Användarutbildning och medvetenhet.

Jag hoppas att du gillade den här intervjun, vi kommer att fortsätta göra mer. Vi uppskattar att du lämnar din åsikter och kommentarer.