Francisco Nadador bize adli analiz dünyasındaki deneyimini anlatıyor

Hey LxA Francisco Nadador için özel olarak röportaj yapıyoruz, adli bilişim alanında uzman, bilgisayar güvenliği, bilgisayar korsanlığı ve sızma testi konusunda tutkulu. Francisco, Alcalá de Henares Üniversitesi'nden mezun oldu ve şimdi Complumatic, güvenlik konuları üzerine dersler vermeye adanmıştır ve şirketler için bu konuyla ilgili hizmetler sunmaktadır.

Bilgisayar güvenliği üzerine Adli Analiz ve Ağ Güvenliği olmak üzere iki konuda uzmanlaşan bir Yüksek Lisans (Katalonya Açık Üniversitesi) tamamladı. Bu nedenle Onur Derecesi aldı ve daha sonra Ulusal Bilgisayar Yargı Değerleme Uzmanları ve Uzmanları Derneği üyesi oldu. Ve bize açıklayacağı gibi, Ona Beyaz Rozetle Araştırmacı Başarı için Haç Madalyası verdiler. profesyonel kariyeri ve araştırması için. Ödül ayrıca Chema Alonso, Angelucho, Josep Albors (ESET İspanya CEO'su) vb. Tarafından da kazanıldı.

Linux Adictos: Lütfen okuyucularımıza adli analizin ne olduğunu açıklayın.

Francis Yüzücü: Benim için bir bilgisayar güvenliği olayından sonra olanlara cevap vermeye çalışan bir bilim, dijital bir senaryodur, türden cevaplar Ne oldu, ne zaman oldu, nasıl oldu? Ve buna ne veya kim neden oldu?

LxW: Sizin konumunuz ve deneyimlerinize göre, bu kadar önemli siber suçlar
diğer ülkelerde olduğu gibi İspanya'da da sıklık?

FN: Pekala, AB tarafından yayınlanan ve kamuya açık olan raporlara göre, İspanya yenilikçi ülkelerin kuyruğunda, güney bölgesindeki diğer ülkelerle birlikte, bunlar, karşılaştırmalı araştırma ve inovasyon performansını sunan çalışmalardır. AB'nin parçası olan ülkeler. Bu muhtemelen buradaki güvenlik olaylarının sayısının önemli olmasına ve tipolojilerinin farklı olmasına neden olur.
Şirketler günlük olarak riskler taşır, ancak göründüğünün aksine, yani ağa maruz kalmalarından kaynaklanıyor olabilirler, genellikle zincirdeki en zayıf halka olan kullanıcıdan kaynaklanan risklerdir. Her seferinde cihazların bağımlılığı ve işlenenlerin sayısı daha fazla olduğunda, bu da iyi bir güvenlik ihlaline neden oluyor, son zamanlarda okuduğum bir çalışmada güvenlik olaylarının% 50'den fazlasının insanlardan, işçilerden kaynaklandığını söyledi. -işçiler vb. şirketlere binlerce avroya mal oluyor, bence bu sorun için tek bir çözüm var, eğitim ve farkındalık ve ISO27001'de daha yüksek sertifika.
Siber suçlara gelince, WhatsApp, ramsonware (son zamanlarda kripto kilitleyici olarak adlandırılır) gibi uygulamalar, tabii ki sanal para birimi bitcoin, uygun yamalama yapmadan çeşitli türlerde güvenlik açıkları, internette hileli ödeme, sosyal ağların "kontrolsüz" kullanımı, vb., telematik suçlar sıralamasında ilk sıraları işgal edenlerdir.
Cevap "EVET", İspanya'da siber suçlar diğer AB üye devletleri kadar önemlidir, ancak daha sıktır.

LxW: Yaptığınız Üstadın son projeniz için bir Onur Matrikülasyonu aldınız. Daha ne,
bir ödül aldınız… Lütfen bize tüm hikayeyi anlatın.

FN: Pekala, ödüllere veya takdirlere pek düşkün değilim, gerçek şu ki, sloganım çaba, çalışma, özveri ve ısrar, kendiniz için belirlediğiniz hedeflere ulaşmak için çok ısrarcı olun.
Ustayı yaptım çünkü tutkulu olduğum bir konu, başarılı bir şekilde bitirdim ve o zamandan bugüne kendimi profesyonel olarak buna adadım. Bilgisayarda adli tıp araştırmasını seviyorum, kanıt aramayı ve bulmayı seviyorum ve bunu en ezici etiğe göre yapmaya çalışıyorum. Ödül, önemli bir şey değil, sadece birisi Final Master'ımın çalışmasının bunu hak ettiğini düşündü, işte bu, daha fazla önem vermiyorum. Bugün, çevrimiçi adli bilişim alanında tamamlanması için geliştirdiğim ve şimdi ikinci baskısında olan bir kursla çok daha gurur duyuyorum.

LxW: Her gün hangi GNU / Linux dağıtımlarını kullanıyorsunuz? Kali Linux'u hayal ediyorum, DEFT,
Backtrack ve Santoku? Parrot OS?

FN: Birkaç tane evet dedin. Pentesting Kali ve Backtrack için, Santoku forensic analiz on Mobile and Deft or Helix, forensic analysis for PC'de (diğerleri arasında), çerçeveler olmalarına rağmen, hepsi pentest ve bilgisayar adli analizi ile ilgili diğer görevleri yerine getirmek için araçlara sahiptir. sevdiğim ve bir Linux sürümüne sahip olduğum diğer araçlar, örneğin otopsi, uçuculuk, iletişim bölümünde Foremost, testdisk, Photorec gibi araçlar, wireshark, bilgi toplamak için nessus, nmap, metasploit'i otomatik bir şekilde kullanmak ve Ubuntu kendini yaşıyor cd, bir makineyi başlatmanıza ve ardından örneğin kötü amaçlı yazılımları aramanıza, dosyaları kurtarmanıza vb. izin verir.

LxW: En sevdiğiniz açık kaynak araçları hangileri?

FN: Sanırım bu sorunun cevabında kendimi aştım, ama başka bir şeye dalacağım. İşimi geliştirmek için ağırlıklı olarak açık kaynak araçları kullanıyorum, kullanışlıdırlar ve kullanım başına lisans için ödenenlerle aynı şeyleri yapmanıza izin verir, o zaman bence iş bu araçlarla mükemmel bir şekilde yapılabilir.
Burada Linux çerçeveleri büyük ikramiyeyi alıyor, yani harikalar. Linux, adli analiz araçlarının konuşlandırılması için en iyi platformdur, bu işletim sistemi için diğerlerinden daha fazla araç vardır ve bunların hepsinin büyük çoğunluğu ücretsizdir, tamamen özgürdür ve Açık Kaynaklıdır, bu da onlara izin verir. uyarlandı.
Öte yandan, diğer işletim sistemleri Linux'tan sorunsuz bir şekilde analiz edilebilir.Belki de tek dezavantajı, kullanımında ve bakımında biraz daha karmaşık olması ve ayrıca ticari olmadıkları için sahip olmadıklarıdır. devamlı destek. Favorilerim, daha önce deft, Autopsy, Volatility ve daha fazlasını söyledim.

LxW: Bize biraz The Sleuth Kit'ten bahseder misiniz… Nedir? Uygulamalar?

FN: Daha önceki noktalarda bu araçlardan bir şekilde bahsetmiştim. Adli bilgisayar analizi yapmak için bir ortamdır, imajı, "tazı köpeği", en son versiyonda köpeğin daha kötü bir dehaya sahip olduğu yüzüne sahiptir, gerçek .
Bu araçlar grubundaki en önemli bağlantı otopsidir.
Çeşitli platformlardan gelen bilgisayar adli görüntülerinin "MÜDAHALE OLMAYAN" bir şekilde incelenmesini sağlayan sistem hacmi araçlarıdır ve adli tıptaki önemi göz önüne alındığında bu en önemlisidir.
Komut satırı modunda kullanılma olasılığına sahiptir, daha sonra her araç ayrı bir terminal ortamında çalıştırılır veya ayrıca çok daha "kolay" bir şekilde grafiksel ortam kullanılabilir, bu da bir incelemenin yürütülmesine izin verir. basit yol.

LxW: HELIX adlı LiveCD dağıtımıyla aynısını yapabilir misiniz?

FN:Pekala, adli bilgisayar analizi için çerçevelerden bir diğeri, aynı zamanda çoklu ortam, yani Linux, Windows ve Mac sistemlerinin adli görüntülerini, RAM ve diğer cihazların görüntülerini analiz ediyor.
Belki de en güçlü araçları, cihaz klonlama için Adept (çoğunlukla diskler), meta verilerle ilgili adli analiz için bir araç olan Aff ve tabii ki Autopsy'dir. Bunların yanı sıra daha birçok araca sahiptir.
Dezavantajı, profesyonel sürümü ücretli olmasına rağmen ücretsiz bir sürümü de var.

LxW: TCT (The Coroner's Toolkit), The Sleuth Kit ile değiştirilen bir projedir.
kullanmaya devam edilsin mi?

FN:TCT, adli analiz için ilk araç setiydi, mezar soyguncusu, lazarus veya findkey gibi araçlar bunu vurguladı ve eski sistemlerin analizi için önceki sistemden daha verimli, biraz geriye dönük ve kali'de olduğu gibi, Örneğin hala ikisini de kullanıyorum.

LxW: Rehberlik Yazılımı EnCase'i oluşturdu, ücretli ve kapatıldı. Windows olmayan diğer işletim sistemleri için de bulunmaz. Ücretsiz alternatiflere sahip olarak bu tür bir yazılımı kesinlikle telafi ediyor mu? Pratik olarak tüm ihtiyaçların ücretsiz ve ücretsiz projelerle karşılandığını düşünüyorum, yoksa yanılıyor muyum?

FN: Bunu zaten cevapladığımı düşünüyorum, mütevazı düşünceme göre HAYIR, telafi etmiyor ve EVET, bilgisayar adli analizi yapmak için tüm ihtiyaçlar ücretsiz ve ücretsiz projelerle karşılanıyor.

LxW: Yukarıdaki soruya atıfta bulunarak, EnCase'in Windows ve diğer
adli analiz için FTK, Xways gibi araçlar ve ayrıca penetrasyon ve güvenlik için birçok başka araç. Neden bu konular için Windows'u kullanmalısınız?

FN: Bu soruya kesin olarak nasıl cevap vereceğimi bilemem, Windows üzerinde bu amaçlar için geliştirilen araçların her geçen gün daha fazla olduğunu fark etsem de, en azından Linux platformları için geliştirdiğim araçları gerçekleştirdiğim testlerin% 75'inde kullanıyorum. platformlar ve ayrıca onları test ettiğimin farkındayım ve bazen de kullanıyorum, evet, kullanımı ücretsiz projelere ait olduğu sürece.

LxW: Bu soru egzotik bir şey olabilir, ona bir şey demek için. Ancak denemelerde kanıt sunmak için, kapalı olanın değil, yalnızca açık kaynak yazılımın sağladığı kanıtların geçerli olması gerektiğini düşünüyor musunuz? Açıklayayım, çok kötü bir düşünce olabilir ve birisini veya belirli grupları temize çıkarmak için bir anlamda hatalı veriler sağlayan özel mülk yazılım yaratabildiklerine ve neyi görmek için kaynak kodunu gözden geçirmenin bir yolu olmayacağına inanmaya başlayabilir. o yazılımı yapar veya yapmaz. Biraz çarpık ama sizden fikrinizi vermenizi, kendinizi rahatlatmanızı ya da tam tersine bu fikre katılmanızı istiyorum ...

FN: Hayır, bu görüşte değilim, çoğunlukla özgür yazılım araçlarını kullanıyorum ve çoğu durumda açık, ancak son zamanlarda bazı programların ortaya çıktığı doğru olmasına rağmen, kimseyi temize çıkarmak için hatalı veri sağlayan araçlar geliştirdiğine inanmıyorum. kasıtlı olarak yanlış veri sundular, başka bir sektördeydi ve kuralı doğrulayanın istisna olduğunu düşünüyorum, gerçekten, öyle düşünmüyorum, bence gelişmeler profesyonelce yapılıyor ve en azından bu durumda, bunlar yalnızca bilime, bilim açısından ele alınan kanıtlara dayalıdır, basitçe benim görüşüm ve inancım budur.

LxW: Birkaç gün önce Linus Torvalds, toplam güvenliğin mümkün olmadığını ve geliştiricilerin bu konuda takıntılı olmaması ve diğer özelliklere (güvenilirlik, performans, ...) öncelik vermesi gerektiğini iddia etti. Washintong Post bu sözleri aldı ve Linus Torvalds, oluşturduğu çekirdek sayesinde çalışan sunucu ve ağ hizmetlerinin miktarı nedeniyle "İnternetin geleceğini elinde tutan adam" olduğu için endişe vericiydi. Hangi görüşü hak ediyorsun?

FN: Ona kesinlikle katılıyorum, toplam güvenlik yok, bir sunucuda gerçekten tam güvenlik istiyorsanız, kapatın veya ağ ile bağlantısını kesin, gömün, ama o zaman, artık bir sunucu değil, tehditler olacaktır. her zaman var, ele almamız gereken, önlenebilir olan güvenlik açıklarıdır, ancak elbette, önce bulunmaları gerekir ve bazen bu aramayı yapmak veya diğerleri bunu belirsiz amaçlar için yapmak zaman alır.
Ancak teknolojik olarak çok yüksek bir sistem güvenliği noktasında olduğumuzu düşünüyorum, işler çok gelişti, şimdi önceki cevaplarda söylediğim gibi kullanıcının farkındalığı ve bu hala yeşil.

LxW: Siber suçluların her seferinde işleri daha da zorlaştırdığını düşünüyorum (TOR, I2P, Freenet, steganografi, şifreleme, LUKS'un Acil Durumda Kendi Kendini Yok Etmesi, proxy, meta veri temizleme, vb.). Bir duruşmada kanıt sağlamak için bu davalarda nasıl hareket edersiniz? Yapamayacağın durumlar var mı?

FN: Şey, işlerin gittikçe daha karmaşık olduğu doğruysa ve ünlü kripto kilitleyiciyle daha ileri gitmeden hareket edemediğim durumlar da varsa, müşteriler beni arayıp yardımımı istediler ve biz de olmadık. bu konuda çok şey yapabilen, bilindiği gibi sosyal mühendislikten yararlanarak, yine kullanıcının en zayıf halkası olan, sabit disklerin içeriğini şifreleyen ve tüm bilgisayar güvenliği profesyonellerine, bilimsel birimlere liderlik eden bir fidye yazılımıdır. kolluk kuvvetleri, güvenlik paketi üreticileri ve adli tıp analisti, sorunu henüz çözemiyoruz.
İlk soruya, bu konuları yargılamak için nasıl hareket edeceğiz, peki tüm kanıtlarla nasıl yapacağız, yani profesyonel etik, aynı zamanda gelişmiş araçlar, bilim bilgisi ve şu soruların cevaplarını bulmaya çalışarak. İlk soruda belirttiğim fazlalığa değiyor, bir fark bulamıyorum, bazen bu cevapların bulunamaması oluyor.

LxW: Şirketlere Linux'a geçmelerini tavsiye eder misiniz? Neden?

FN: O kadar söyleyemem, yani, paraya mal olan bir şeyle aynı hizmetleri sağlayan lisanssız bir şeye sahipsem, neden harcayayım ki? Diğer bir soru, bana aynı hizmetleri sağlamadığıdır. , ama öyleyse öyle mi? Linux, ağ hizmeti perspektifinden doğan ve piyasadaki diğer platformlara benzer özellikler sunan bir işletim sistemidir; bu nedenle, çoğu kişi platformuyla, örneğin bir web hizmeti sunmak için onu seçmiştir. , ftp, vb., onu kesinlikle kullanıyorum ve sadece adli dağıtımları kullanmak için değil aynı zamanda eğitim merkezimde bir sunucu olarak, dizüstü bilgisayarımda Windows var çünkü lisans cihazla birleştirildi, buna rağmen birçok sanallaştırma atıyorum Linux .
Soruya yanıt olarak, Linux maliyeti yok, bu platformda çalışan artan sayıda uygulama var ve gittikçe daha fazla geliştirme şirketi Linux için ürünler üretiyor. Öte yandan, kötü amaçlı yazılım içermemesine rağmen, enfeksiyonların sayısı daha düşüktür, bu da platformun size ihtiyaçlara bir eldiven gibi adapte olmanızı sağladığı esneklikle birlikte, bence ona yeterince güç verir. Herhangi bir şirketin ilk tercihi ve en önemlisi, yazılımın ne yaptığını herkes denetleyebilir, güvenliğin onun güçlü yanlarından biri olduğundan bahsetmeye gerek yok.

LxW: Şu anda hükümetlerin de katıldığı bir tür bilgisayar savaşı var. Hükümetler tarafından belirli amaçlar için oluşturulan Stuxnet, Stars, Duqu vb. Kötü amaçlı yazılımların yanı sıra virüslü ürün yazılımı (örneğin, aygıt yazılımı değiştirilmiş Arduino kartları), "casus" lazer yazıcılar vb. Gördük. Ancak donanım bile bundan kaçmaz, değiştirilmiş yongalar, görünüşte tasarlandıkları görevlere ek olarak, diğer gizli işlevleri de içerdiği ortaya çıktı. AirHopper (bir tür radyo dalgası keylogger), BitWhisper (kurbandan bilgi toplamak için ısı saldırıları), ses yoluyla yayılabilen kötü amaçlı yazılımlar gibi biraz çılgın projeler bile gördük ... artık güvenli değil mi veya bilgisayarların herhangi bir ağ ile bağlantısı kesilmiş mi?

FN: Daha önce de belirttiğim gibi, en güvenli sistem kapatılan sistemdir ve bazıları bir sığınağa kilitlendiğini söyler, adamım bağlantısı kesilirse bence oldukça güvenli, ama soru bu değil, yani, Bence soru mevcut tehditlerin miktarı değil, birbirine bağlı daha fazla cihaz var, bu da soruda iyi ifade ettiğiniz gibi farklı çatlaklar kullanarak daha fazla sayıda güvenlik açığı ve çeşitli türlerde bilgisayar saldırıları anlamına geliyor. ve saldırı vektörleri olabilir, ancak bence güvenli olmak için sorunu bağlantı kesmeye odaklanmalıyız, daha önce de bahsettiğim gibi tüm hizmetleri, cihazları, iletişimleri vb. güvence altına almaya odaklanmalıyız, ancak tehditlerin sayısının çok fazla olduğu doğrudur. büyük, güvenlik tekniklerinin sayısının daha az büyük olmadığı, insan faktörü, farkındalık ve güvenlik eğitiminden yoksun olduğumuz, daha fazla bir şey olmadığı ve sorunlarımız bağlantılı olsa bile daha az olacağı daha az doğru değil.

LxW: Kişisel görüşle bitiriyoruz ve bu sistemlerin hak ettiği güvenlik konusunda bir uzman olarak, bize güvenliğini sağlamak ve daha fazla güvenlik açığı bulmak daha zor olan verileri de sağlayabilirsiniz:

Hangi sistemin en güvenli olduğu milyon dolar sorusuna gelince, cevap daha önce verilmişti, hiçbiri ağa bağlı% 100 güvenli değil.
Windows kaynak kodunu bilmediğinden, geliştiriciler dışında kimse tam olarak ne yaptığını veya nasıl yaptığını bilmiyor. Linux'tan kaynak kodu bilinir ve dediğim gibi, güvenlik güçlü yönlerinden biridir, buna karşı daha az dostça olması ve birçok dağıtımın olmasıdır.Mac OS'den güçlü noktası, üretkenliğe geri dönen minimalizmi, yeni başlayanlar için ideal bir sistemdir. Tüm bu nedenlerden dolayı, en son araştırmalar tarayıcınız dışında en az güvenlik açıklarına sahip olduğunu ortaya koysa da, bence en zoru Windows'tur. Bana göre şu ya da bu işletim sisteminin az ya da çok savunmasız olduğunu söylemek mantıklı değil, etkilendiği tüm faktörler, güvenlik açıkları, yüklü uygulamalar, kullanıcıları vb. Yukarıdakilerin tümü dikkate alındığında, sistemlerin genel olarak ve herhangi bir sisteme uygulanabilir her türlü güvenlik önlemi ile güçlendirilmesi gerektiğine inanıyorum, bunun güçlendirilmesi şu temel noktalarda özetlenebilir:

• Güncelleme: Bu noktayı her zaman sistemde ve ağı kullanan tüm uygulamaları güncel tutun.
• Şifreler yeterli olmalı yani minimum 8 karakter ve geniş bir sözlükle.
• Çevre güvenliği: İyi bir güvenlik duvarı ve IDS zarar vermez.
• Etkin ve güncel bir hizmet sunmayan açık bağlantı noktalarına sahip olmamak.
• Her vakanın ihtiyacına göre yedek kopyalar oluşturun ve bunları güvenli yerlerde saklayın.
• Hassas verilerle çalışıyorsanız, aynı şifreleme.
• İletişimin de şifrelenmesi.
• Kullanıcıların eğitimi ve bilinci.

Umarım bu röportajı sevmişsindir daha fazlasını yapmaya devam edeceğiz. Ayrıldığınız için teşekkür ederiz görüşler ve yorumlar...