Sinabi sa amin ni Francisco Nadador ang tungkol sa kanyang karanasan sa mundo ng forensic analysis

Ngayon eksklusibo ang panayam namin para kay LxA Francisco Nadador, dalubhasa sa forensics ng computer, masigasig sa seguridad ng computer, pag-hack at pagsubok sa pagtagos. Nagtapos si Francisco sa Unibersidad ng Alcalá de Henares at nagdidirekta ngayon Kumpleto, na nakatuon sa mga klase sa pagtuturo sa mga paksa sa seguridad at nag-aalok ng mga serbisyong nauugnay sa paksang ito para sa mga kumpanya.

Nakumpleto niya ang isang Master (Open University of Catalonia) sa seguridad ng computer na nagdadalubhasa sa dalawang paksa, Forensic Analysis at Network Security. Para sa kadahilanang ito, nakatanggap siya ng isang Honorary Degree at kalaunan ay naging miyembro ng National Association of Computer Judicial Appraisers and Experts. At tulad ng ipaliwanag niya sa amin, Binigyan nila siya ng Cross Medal para sa Investigative Merit na may White Badge para sa kanyang propesyonal na karera at pagsasaliksik. Ang gantimpala din na napanalunan ni Chema Alonso, Angelucho, Josep Albours (CEO ng ESET Spain), atbp.

Linux Adictos: Mangyaring ipaliwanag sa aming mga mambabasa kung ano ang forensic analysis.

Francis Swimmer: Para sa akin ito ay isang agham na sumusubok na magbigay ng mga sagot sa kung ano ang nangyari pagkatapos ng isang insidente sa seguridad sa computer ay isang digital na sitwasyon, mga sagot ng uri Ano ang nangyari? Kailan ito nangyari? Paano ito nangyari? At ano o sino ang sanhi nito?

LxW: Mula sa iyong posisyon at karanasan, napakahalagang mga cybercrime na ginawa ng napakarami
dalas sa Espanya tulad ng ibang mga bansa?

FN: Kaya, ayon sa mga ulat na inilathala ng EU at nasa pampublikong domain, ang Espanya ay nasa buntot ng mga makabagong bansa, kasama ang natitirang mga bansa sa timog na lugar, sila ay mga pag-aaral na nag-aalok ng paghahambing sa pagsasaliksik at pagganap ng makabagong ideya ng mga bansa na bahagi ng EU. Marahil ay sanhi ito ng bilang ng mga insidente sa seguridad dito na maging makabuluhan at magkakaiba ang kanilang typology.
Ang mga kumpanya ay nagpapatakbo ng mga panganib sa araw-araw, ngunit salungat sa kung ano ang tila, iyon ay, na maaaring nagmula sa kanilang pagkakalantad sa network, sila ang mga peligro na karaniwang sanhi ng pinakamahina na link sa kadena, ang gumagamit. Sa tuwing ang pagpapakandili ng mga aparato pati na rin ang bilang ng mga ito na hinahawakan ay mas malaki, na nagiging sanhi ng isang mahusay na paglabag sa seguridad, isang pag-aaral na nabasa ko kamakailan ang nagsabi na higit sa 50% ng mga insidente sa seguridad ay sanhi ng mga tao, manggagawa, dating -Mga manggagawa, atbp., nagkakahalaga ng mga kumpanya ng libu-libong euro, sa palagay ko mayroon lamang isang solusyon para sa problemang ito, pagsasanay at kamalayan at mas mataas na sertipikasyon sa ISO27001.
Tulad ng para sa Cybercrimes, ang mga application tulad ng WhatsApp, ramsonware (kani-kanina lamang ay tinatawag na cryptolocker), syempre, ang virtual currency bitcoin, mga kahinaan ng iba't ibang uri nang hindi maginhawang i-patch, mapanlinlang na pagbabayad sa Internet, ang "hindi kontroladong" paggamit ng mga social network, atbp. ay ang mga sumakop sa mga unang posisyon sa pagraranggo ng mga telematic na krimen.
Ang sagot ay "YES", sa Espanya ang cybercrime ay kasinghalaga sa natitirang mga estado ng miyembro ng EU, ngunit mas madalas.

LxW: Nakatanggap ka ng isang Matriculation of Honor para sa iyong huling proyekto ng Master na iyong ginawa. Ano pa,
nakakuha ka ng isang gantimpala ... Mangyaring sabihin sa amin ang buong kuwento.

FN: Sa gayon, hindi ako masyadong mahilig sa mga parangal o pagkilala, ang totoo, ang aking motto ay pagsisikap, trabaho, dedikasyon at pagpipilit, maging napaka-paulit-ulit upang makamit ang mga layunin na itinakda mo para sa iyong sarili.
Ginawa ko ang Master sapagkat ito ay isang paksa na aking kinasasabikan, matagumpay kong natapos ito at mula noon hanggang ngayon ay inilaan ko ang aking sarili dito sa propesyonal. Gustung-gusto ko ang pagsisiyasat ng forensic ng computer, nais kong maghanap at makahanap ng katibayan at sinubukan kong gawin ito mula sa pinaka-napakalaki ng etika. Ang award, walang mahalaga, may isang tao lamang na naisip na ang gawa ng aking Final Master ay karapat-dapat dito, iyon lang, hindi ko ito binibigyan ng higit na kahalagahan. Ngayon ay mas ipinagmamalaki ko ang isang kurso na binuo ko para sa pagkumpleto nito sa online sa forensics ng computer at na nasa ikalawang edisyon na ngayon.

LxW: Anong mga pamamahagi ng GNU / Linux ang ginagamit mo sa iyong araw-araw? Akala ko Kali Linux, DEFT,
Backtrack at Santoku? Parrot OS?

FN: Sa gayon ay pinangalanan mo ang ilang oo. Para sa Pentesting Kali at Backtrack, Santoku para sa Forensic analysis sa Mobile at Deft o Helix, para sa forensic analysis sa PC (bukod sa iba pa), kahit na ang mga ito ay mga balangkas, na ang lahat ay may mga tool upang maisagawa ang iba pang mga gawain na nauugnay sa pentesting at computer forensic analysis Ngunit doon ay iba pang mga tool na gusto ko at mayroong isang bersyon ng Linux tulad ng autopsy, pagkasumpungin, mga tool tulad ng Foremost, testdisk, Photorec, sa bahagi ng komunikasyon, wireshark, upang mangolekta ng impormasyong nessus, nmap, upang pagsamantalahan ang metasploit sa isang awtomatikong paraan at mabuhay ang Ubuntu cd, na nagbibigay-daan sa iyo upang magsimula ng isang makina at pagkatapos, halimbawa, maghanap ng malware, mabawi ang mga file, atbp.

LxW: Anong mga tool sa open source ang iyong mga paborito?

FN: Sa palagay ko nakuha ko ang unahan ng sagot sa katanungang ito, ngunit susuriin ko ang iba pa. Upang paunlarin ang aking trabaho pangunahin kong ginagamit ang mga bukas na tool ng mapagkukunan, sila ay kapaki-pakinabang at pinapayagan kang gawin ang parehong mga bagay tulad ng mga binabayaran para sa lisensya sa paggamit, kung gayon, sa palagay ko, ang gawain ay maaaring maisagawa nang perpekto sa mga tool na ito.
Narito ang mga frameworks ng Linux na kumuha ng jackpot, ibig sabihin, sila ay kahanga-hanga. Ang Linux ay ang pinakamahusay na platform para sa pag-deploy ng mga tool ng forensic analysis, maraming mga tool para sa operating system na ito kaysa sa anumang iba pa at lahat ng mga ito, sa halip, ang karamihan ay libre, mahusay na malaya at Open Source, na pinapayagan silang maging inangkop
Sa kabilang banda, ang ibang mga operating system ay maaaring masuri nang walang anumang problema mula sa Linux. Ang tanging sagabal, marahil, ay medyo mas kumplikado sa paggamit at pagpapanatili nito, at gayundin, dahil hindi sila komersyal, wala silang tuloy-tuloy na suporta. Ang aking mga paborito, sinabi ko sa kanila dati, Deft, Autopsy, Volatility, at ilan pa.

LxW: Maaari mo bang sabihin sa amin nang kaunti tungkol sa The Sleuth Kit… Ano ito? Mga Aplikasyon?

FN: Sa gayon ay napag-usapan ko na sa isang paraan ang tungkol sa mga tool na ito sa mga nakaraang puntos. Ito ay isang kapaligiran upang isagawa ang forensic computer analysis, ang imahe nito, "the hound dog", na rin sa pinakabagong bersyon na ang aso ay may mukha ng pagkakaroon ng isang mas masahol na henyo, ang katotohanan .
Ang pinakamahalagang link sa pangkat ng mga tool na ito, autopsy.
Ang mga ito ay mga tool sa dami ng system na nagpapahintulot sa pagsusuri ng mga forensic na imahe ng computer mula sa iba`t ibang mga platform sa isang "HINDI INTRUSIBONG" paraan, at ito ang pinakamahalagang binigyan ng kahalagahan nito sa forensics.
Mayroon itong posibilidad na magamit sa mode ng command line, pagkatapos ang bawat tool ay naisasagawa sa isang hiwalay na kapaligiran ng terminal o din, sa isang mas "friendly" na paraan, maaaring magamit ang grapikong kapaligiran, na nagbibigay-daan upang magsagawa ng isang pagsisiyasat sa isang simpleng paraan.

LxW: Maaari mo bang gawin ang parehong sa LiveCD distro na tinatawag na HELIX?

FN:Sa gayon, ito ay isa pa sa mga balangkas para sa forensic computer analysis, din multi-environment, iyon ay, pinag-aaralan nito ang mga forensic na imahe ng mga Linux, Windows at Mac system, pati na rin ang mga imahe ng RAM at iba pang mga aparato.
Marahil ang pinaka-makapangyarihang mga tool nito ay Adept para sa pag-clone ng aparato (pangunahin ang mga disk), Aff, isang tool para sa forensic analysis na nauugnay sa metadata at syempre! Autopsy. Bukod sa mga ito marami pa itong mga tool.
Ang downside, ang propesyonal na bersyon ay binabayaran, kahit na mayroon din itong isang libreng bersyon.

LxW: Ang Points (The Coroner's Toolkit) ay isang proyekto na pinalitan ng The Sleuth Kit.
magpatuloy sa paggamit pagkatapos?

FN:Ang Points ay ang una sa mga toolkit para sa forensic analysis, ang mga tool tulad ng grave-steal, lazarus o findkey ay na-highlight ito at para sa pagtatasa ng mga lumang system mas mahusay ito kaysa sa hinalinhan nito, medyo pareho sa nangyayari sa backtrack at kali, Gumagamit pa rin ako pareho, halimbawa.

LxW: Ang Software ng Patnubay ay lumikha ng EnCase, bayad at sarado. Hindi rin natagpuan para sa iba pang mga operating system na hindi Windows. Tiyak na makakabawi ito para sa ganitong uri ng software sa pamamagitan ng pagkakaroon ng mga libreng kahalili? Sa palagay ko halos lahat ng mga pangangailangan ay sakop ng libre at libreng mga proyekto, o mali ako?

FN: Sa palagay ko nasagot ko na ito, sa aking katamtamang opinyon na HINDI, hindi ito nagbabayad at YES, ang lahat ng mga pangangailangan upang magsagawa ng pagtatasa ng forensic ng computer ay sakop ng libre at libreng mga proyekto.

LxW: Sumangguni sa tanong sa itaas, nakikita ko na ang EnCase ay para sa Windows at iba pa
mga tool tulad ng FTK, Xways, para sa forensic analysis, ngunit marami ring iba pang mga tool para sa pagtagos at seguridad. Bakit gagamitin ang Windows para sa mga paksang ito?

FN: Hindi ko malalaman kung paano sagutin ang katanungang iyon nang may katiyakan, ginagamit ko, kahit papaano, sa 75% ng mga pagsubok na isinasagawa ko ang mga tool na binuo para sa mga platform ng Linux, bagaman kinikilala ko na maraming mga tool na binuo para sa mga hangaring ito sa Windows mga platform, at kinikilala ko rin na inilagay ko ang mga ito sa pagsubok at kung minsan ay ginagamit ko rin ito, oo, hangga't ito ay kabilang sa mga libreng-gamitin na proyekto.

LxW: Ang katanungang ito ay maaaring isang bagay na kakaiba, upang tawagan itong isang bagay. Ngunit sa palagay mo ba upang magpakita ng katibayan sa mga pagsubok, ang katibayan lamang na ibinigay ng open source software ang dapat na wasto at hindi ang sarado? Hayaan mong ipaliwanag ko, maaaring napakasamang pag-iisip at maniwala na nakalikha sila ng pagmamay-ari na software na nagbibigay ng maling data sa ilang mga kahulugan upang mapatawad ang isang tao o ilang mga pangkat at walang paraan upang suriin ang source code upang makita kung ano ginagawa o hindi ang software na iyon. Medyo baluktot ito, ngunit hinihiling ko sa iyo na ibigay ang iyong opinyon, tiyakin ang iyong sarili o, sa kabaligtaran, sumali sa opinyon na ito ...

FN: Hindi, wala ako sa opinyon na iyon, gumagamit ako ng halos libreng mga tool ng software at sa maraming mga kaso ay bukas, ngunit sa palagay ko hindi sinuman ang bubuo ng mga tool na nagbibigay ng maling data upang mapatawad ang sinuman, bagaman totoo na kamakailan lamang ay lumitaw ang ilang mga programa na sadyang nag-alok sila ng maling data, ito ay nasa ibang sektor at sa palagay ko ito ang pagbubukod na nagpapatunay sa patakaran, talaga, sa palagay ko, ang mga pagpapaunlad, sa palagay ko, ay ginagawa nang propesyonal at, kahit papaano sa kasong ito, eksklusibo silang nakabatay sa agham, mga ebidensya na ginagamot mula sa pananaw ng agham, simple, iyon ang aking opinyon at aking paniniwala.

LxW: Ilang araw na ang nakakalipas, inangkin ni Linus Torvalds na ang kabuuang seguridad ay hindi posible at ang mga developer ay hindi dapat mahumaling sa bagay na ito at bigyan ng priyoridad ang iba pang mga tampok (pagiging maaasahan, pagganap, ...). Kinuha ng Washintong Post ang mga salitang ito at nakakaalarma sila dahil si Linus Torvalds "ay ang tao na mayroong hinaharap ng Internet sa kanyang mga kamay", dahil sa dami ng mga server at serbisyo sa network na gumagana salamat sa kernel na nilikha niya. Anong opinyon ang nararapat sa iyo?

FN: Ako ay ganap na sumasang-ayon sa kanya, ang kabuuang seguridad ay wala, kung talagang gusto mo ng kabuuang seguridad sa isang server, patayin o idiskonekta ito mula sa network, ilibing ito, ngunit syempre, kung gayon, hindi na ito isang server, magbabala palaging umiiral, kung ano ang dapat nating saklawin ay ang mga kahinaan, na maiiwasan, ngunit syempre, kailangan muna silang matagpuan at kung minsan ay tumatagal ng oras upang maisagawa ang paghahanap na ito o gawin ito ng iba para sa hindi nakakubli na mga layunin.
Gayunpaman, sa palagay ko na teknolohikal na nasa isang napakataas na punto ng seguridad ng system, napabuti ang mga bagay, ngayon ay may kamalayan ang gumagamit, tulad ng sinabi ko sa mga nakaraang sagot, at berde pa rin iyon.

LxW: Naiisip ko na ang mga cybercriminals ay ginagawang mas mahirap sa bawat oras (TOR, I2P, Freenet, steganography, encryption, Emergency Self-Destruction of LUKS, proxy, metadata cleaning, atbp). Paano ka kumilos sa mga kasong ito upang magbigay ng katibayan sa isang paglilitis? Mayroon bang mga kaso kung saan hindi mo magawa?

FN: Sa totoo lang, kung totoo na ang mga bagay ay mas marami at mas kumplikado at mayroon ding mga kaso kung saan hindi ako nakapag-arte, nang hindi lumalayo sa sikat na cryptolocker, tinawag ako ng mga kliyente na humihingi ng tulong sa akin at hindi pa kami naging magagawa ang tungkol dito, Tulad ng alam, ito ay isang ransomware na, samantalahin ang social engineering, sa sandaling ang gumagamit ay ang pinakamahina na link, naka-encrypt ang nilalaman ng mga hard drive at nangunguna sa lahat ng mga propesyonal sa seguridad ng computer, mga yunit ng pang-agham ng ang nagpapatupad ng batas, mga tagagawa ng security suite, at forensic analyst, hindi pa namin matutugunan ang problema.
Sa unang tanong, paano tayo kikilos upang dalhin ang mga isyung ito sa paglilitis, mabuti kung paano natin ginagawa ang lahat ng katibayan, ang ibig kong sabihin, sa propesyonal na etika, din sopistikadong mga tool, kaalaman sa agham at sinusubukang hanapin ang mga sagot sa mga tanong na sa unang Tanong, nagkakahalaga ng kalabisan na sinabi ko, hindi ako nakakahanap ng pagkakaiba, ang nangyayari kung minsan ang mga sagot na ito ay hindi matatagpuan.

LxW: Inirerekumenda mo ba ang mga kumpanya na lumipat sa Linux? Bakit?

FN: Hindi ko sasabihin nang labis, ibig sabihin, iniisip ko na kung mayroon akong isang bagay na walang lisensya na nagbibigay sa akin ng parehong mga serbisyo tulad ng isang bagay na nagkakahalaga ng pera, bakit ginugol ito? Ang isa pang tanong ay hindi ito binigyan ako ng parehong mga serbisyo , ngunit, ay kung gagawin ito. Ang Linux ay isang operating system na ipinanganak mula sa pananaw ng serbisyo sa network at nag-aalok ng mga katulad na tampok sa natitirang mga platform sa merkado, iyon ang dahilan na marami ang pumili dito sa kanilang platform, halimbawa, nag-aalok ng isang serbisyo sa web , ftp, atbp. Tiyak na ginagamit ko ito at hindi lamang upang magamit ang mga forensic distros ngunit bilang isang server sa aking sentro ng pagsasanay, mayroon akong Windows sa aking laptop dahil ang lisensya ay isinasama sa aparato, kahit na nagtatapon ako ng maraming virtualization Linux .
Bilang sagot sa tanong, ang Linux ay hindi gastos, mayroong isang pagtaas ng bilang ng mga application na tumatakbo sa platform na ito at higit pa at higit pang mga kumpanya ng pag-unlad ang gumagawa ng mga produkto para sa Linux. Sa kabilang banda, bagaman hindi ito libre ng malware, ang bilang ng mga impeksyon ay mas mababa, kasama ang kakayahang umangkop na binibigyan ka ng platform na umangkop tulad ng isang guwantes sa mga pangangailangan, binibigyan ito, sa palagay ko, sapat na lakas upang maging Ang unang pagpipilian ng anumang kumpanya at pinakamahalaga sa lahat, maaaring mai-audit ng bawat isa kung ano ang ginagawa ng software, hindi man sabihing ang seguridad ay isa sa mga kalakasan nito.

LxW: Sa kasalukuyan ay may isang uri ng pakikidigma sa computer kung saan nakikilahok din ang mga gobyerno. Nakita namin ang malware tulad ng Stuxnet, Stars, Duqu, atbp., Nilikha ng mga gobyerno para sa mga tiyak na layunin, pati na rin ang nahawaang firmware (halimbawa, ang mga board ng Arduino kasama ang kanilang firmware na binago), "spy" laser printer, atbp. Ngunit hindi rin nakatakas ang hardware mula dito, lumitaw din ang mga binagong chip na, bilang karagdagan sa mga gawain na kung saan sila ay tila dinisenyo, nagsasama rin ng iba pang mga nakatagong pag-andar, atbp. Nakita pa namin ang medyo nakatutuwang mga proyekto tulad ng AirHopper (isang uri ng keylogger ng radio wave), BitWhisper (pag-atake ng init upang mangolekta ng impormasyon mula sa biktima), malware na may kakayahang kumalat sa pamamagitan ng tunog, ... Nagpapalaki ba ako kung sasabihin kong sila ay hindi na ligtas o nakakonekta ang mga computer mula sa anumang network?

FN: Tulad ng naitala ko na, ang pinakaligtas na system ay ang isa na naka-off at ang ilan ay nagsasabi na naka-lock ito sa isang bunker, tao kung ito ay ididiskonekta sa palagay ko ay ligtas din ito, ngunit hindi iyon ang tanong, ibig kong sabihin, sa palagay ko ang tanong ay hindi ang dami ng mga mayroon nang mga banta, maraming mga aparato na magkakaugnay, na nagpapahiwatig ng isang mas malaking bilang ng mga kahinaan at pag-atake ng computer ng iba't ibang mga uri, gamit, tulad ng naipahayag mo nang maayos sa tanong, iba't ibang mga bitak at pag-atake ng mga vector, ngunit sa palagay ko hindi dapat Dapat nating ituon ang isyu sa pag-disconnect upang maging ligtas, dapat tayong tumuon sa pag-secure ng lahat ng mga serbisyo, aparato, komunikasyon, atbp., tulad ng nabanggit ko na, bagaman totoo na ang bilang ng mga banta ay malaki, ito ay hindi gaanong totoo na ang bilang ng mga diskarte sa seguridad ay hindi mas mababa mahusay, kulang kami sa kadahilanan ng tao, kamalayan at pagsasanay sa seguridad, wala nang higit pa at ang aming mga problema, kahit na konektado, ay magiging mas mababa.

LxW: Nagtatapos kami sa personal na opinyon at bilang dalubhasa sa seguridad na nararapat sa mga sistemang ito, maaari mo rin kaming bigyan ng data kung saan mas mahirap i-secure at makahanap ng mas maraming mga butas sa seguridad:

Tungkol sa milyong dolyar na katanungan, kung aling system ang pinakaligtas, ang sagot ay ibinigay dati, walang 100% ligtas na konektado sa network.
Hindi alam ng Windows ang source code nito, samakatuwid walang alam ang eksaktong ginagawa nito o kung paano ito ginagawa, maliban sa mga developer ng kurso. Mula sa Linux ang source code ay kilala at, tulad ng sinabi ko, ang seguridad ay isa sa mga kalakasan nito, laban dito ay hindi gaanong magiliw at maraming mga distro. Mula sa Mac OS, ang malakas na punto nito, ang minimalism nito na nagbabalik sa pagiging produktibo, ito ay isang mainam na sistema para sa mga nagsisimula. Para sa lahat ng mga kadahilanang ito, sa palagay ko ang pinakamahirap i-secure ang Windows, sa kabila ng katotohanang ang pinakabagong mga pag-aaral ay nagpapakita na ito ang isa na may pinakamaliit na kahinaan, maliban sa iyong browser. Sa aking palagay ay hindi makatuwiran na sabihin na ito o ang operating system ay higit o mas mahina, ang lahat ng mga kadahilanan kung saan ito apektado ay dapat isaalang-alang, mga kahinaan, naka-install na mga application, mga gumagamit nito, atbp. Kapag ang lahat ng nasa itaas ay isinasaalang-alang, naniniwala ako na ang mga sistema ay dapat na mapatibay sa lahat ng mga uri ng mga hakbang sa seguridad, sa pangkalahatan at naaangkop sa anumang sistema, ang pagpapatibay ng pareho ay maaaring buod ay ang mga pangunahing puntong ito:

• Update: Palaging panatilihin ang puntong ito sa system at lahat ng mga application na gumagamit ng network hanggang sa ngayon.
• Ang mga password ay dapat sapat, ibig sabihin, na may minimum na 8 character at isang malawak na diksyunaryo.
• Perimeter security: Ang isang mabuting firewall at isang IDS ay hindi makakasakit.
• Walang pagkakaroon ng mga bukas na port na hindi nag-aalok ng isang aktibo at na-update na serbisyo.
• Gumawa ng mga backup na kopya ayon sa mga pangangailangan ng bawat kaso at panatilihin ang mga ito sa mga ligtas na lugar.
• Kung nagtatrabaho ka sa sensitibong data, pareho ang pag-encrypt.
• Pag-encrypt din ng mga komunikasyon.
• Pagsasanay at kamalayan ng mga gumagamit.

Sana nagustuhan mo ang panayam na ito, magpapatuloy kami sa paggawa ng higit pa. Pinahahalagahan ka naming iniiwan ang iyong opinyon at puna...