Франциско Нададор розповідає нам про свій досвід у світі криміналістичного аналізу

Сьогодні ми беремо інтерв’ю виключно для LxA Франциско Нададор, що спеціалізується на комп'ютерній криміналістиці, захоплюється комп'ютерною безпекою, тестуванням на злом та проникнення. Франциско закінчив університет Алькала-де-Енарес і зараз займається режисурою Комплюматичний, присвячений викладанню класів на теми безпеки та пропонує послуги, пов’язані з цією темою для компаній.

Він здобув ступінь магістра (Відкритий університет Каталонії) з питань комп’ютерної безпеки, що спеціалізується на двох темах - Криміналістичний аналіз та Мережева безпека. З цієї причини він отримав почесну ступінь, а згодом став членом Національної асоціації комп’ютерних суддівських оцінювачів та експертів. І як він пояснить нам, Вони дали йому хрестову медаль за слідчі заслуги з білим значком за свою професійну кар’єру та наукові дослідження. Нагороду також виграли Чема Алонсо, Анджелучо, Хосеп Альборс (генеральний директор ESET Іспанія) та ін.

Linux Adictos: Поясніть, будь ласка, нашим читачам, що таке судово-медичний аналіз.

Франциско Нададор: Для мене це наука, яка намагається дати відповіді на те, що сталося після того, як інцидент із комп'ютерною безпекою - це цифровий сценарій, відповіді типу Що сталося? Коли це сталося? Як це сталося? І що чи хто це спричинив?

ДхШ: З вашої позиції та досвіду, чи створюються такі важливі кіберзлочини так багато?
частота в Іспанії, як і в інших країнах?

FN: Ну, відповідно до звітів, опублікованих ЄС, і які є у відкритому доступі, Іспанія знаходиться на дні інноваційних країн, поряд з рештою країн південного району, вони є дослідженнями, які пропонують порівняльні дослідження та інноваційні показники країни, що входять до ЄС. Можливо, це спричиняє значну кількість випадків безпеки, а їх типологію різноманітну.
Компанії щодня ризикують, але всупереч тому, що може здатися, тобто, що вони можуть походити від впливу мережі, це ризики, які зазвичай спричинені найслабшою ланкою в мережі - користувачем. Щоразу, коли залежність пристроїв, а також кількість таких, якими обробляється, стає більшою, що спричиняє серйозні порушення безпеки, дослідження, яке я нещодавно читав, говорить, що понад 50% випадків безпеки були спричинені людьми, робітниками, колишніми -працівники тощо, що коштує компаніям тисяч євро, на мою думку, є лише одне рішення цієї проблеми, навчання та підвищення обізнаності та вища сертифікація ISO27001.
Що стосується кіберзлочинів, то таких додатків, як WhatsApp, програмне забезпечення (нещодавно називається cryptolocker), звичайно, віртуальна валюта біткойн, уразливості різного роду без зручного виправлення, шахрайські платежі в Інтернеті, «безконтрольне» використання соціальних мереж тощо, - це ті, що посіли перші позиції в рейтингу телематичних злочинів.
Відповідь "ТАК", в Іспанії кіберзлочини трапляються настільки ж важливі, як і в інших країнах-членах ЄС, але частіше.

ДхШ: Ви отримали диплом з відзнакою за ваш остаточний проект магістра, який ви виконали. Що ще,
ти отримав нагороду ... Розкажи, будь ласка, всю історію.

FN: Ну, я не дуже люблю нагороди чи визнання, правда, мій девіз - це зусилля, праця, відданість і наполегливість, будьте дуже наполегливими для досягнення цілей, які ви собі поставили.
Я зробив Майстра, тому що це тема, якою я захоплююсь, я її успішно закінчив і з тих пір і донині я присвячував себе цьому професійно. Я люблю комп'ютерне криміналістичне розслідування, я люблю шукати і знаходити докази, і я намагаюся робити це з найбільш переважної етики. Нагорода, нічого важливого, просто хтось вважав, що робота мого останнього магістра заслуговує на це, ось і все, я не надаю їй більше значення. Сьогодні я набагато більше пишаюся курсом, який я розробив для його закінчення в Інтернеті з комп'ютерної криміналістики і який зараз виходить у другому виданні.

ДхШ: Які дистрибутиви GNU / Linux ви використовуєте щодня? Я уявляю Kali Linux, DEFT,
Зворотній шлях і Сантоку? Папуга ОС?

FN: Ну, ви назвали кілька так. Для Pentesting Kali та Backtrack, Santoku для криміналістичного аналізу на Mobile and Deft або Helix, для криміналістичного аналізу на ПК (серед інших), хоча вони є структурами, усі вони мають інструменти для виконання інших завдань, пов'язаних з пентестуванням та комп'ютерним судово-аналітичним аналізом, Але є інші інструменти, які мені подобаються і мають версію Linux, такі як розтин, волатильність, інструменти, такі як Foremost, testdisk, Photorec, у частині комунікацій, wireshark, для збору інформації nessus, nmap, для автоматичного використання метасплоїту та Ubuntu Live Cd, що дозволяє запустити машину, а потім, наприклад, шукати шкідливе програмне забезпечення, відновлювати файли тощо.

ДхШ: Які інструменти з відкритим кодом улюблені?

FN: Ну, я думаю, я випередив відповідь на це питання, але я заглиблююся в інше. Для розвитку своєї роботи я в основному використовую інструменти з відкритим кодом, вони корисні і дозволяють робити ті самі речі, що і ті, за які платять за ліцензію на використання, тоді, на мій погляд, робота може бути виконана ідеально з цими інструментами.
Тут фреймворки Linux беруть джекпот, я маю на увазі, вони чудові. Linux є найкращою платформою для розгортання засобів судово-аналітичного аналізу, для цієї операційної системи існує більше інструментів, ніж для будь-якої іншої, і всі вони, ну, швидше за все, переважна більшість безкоштовні, безкоштовні та з відкритим кодом, що дозволяє їм бути адаптований.
З іншого боку, інші операційні системи можна без будь-яких проблем аналізувати з боку Linux. Єдиним недоліком, мабуть, є те, що вона дещо складніша у використанні та обслуговуванні, а також, оскільки вони не є комерційними, вони не мають безперервна підтримка. Мої улюблені, я вже казав їх раніше, спритність, розтин, волатильність та деякі інші.

ДхШ: Не могли б ви розповісти нам трохи про The Sleuth Kit ... Що це? Програми?

FN: Ну, я вже говорив певним чином про ці інструменти в попередніх пунктах. Це середовище для проведення судово-медичного комп'ютерного аналізу, його зображення, "собаки-гончей", ну і в останній версії собака має обличчя гіршого генія, правда .
Найважливіша ланка в цій групі інструментів - розтин.
Вони є об'ємними інструментами систем, що дозволяють досліджувати комп'ютерні криміналістичні зображення різних типів платформ "НЕ ІНТРУЗИВНИМ" способом, і це є найважливішим з огляду на його значення в криміналістиці.
Він має можливість використовувати його в режимі командного рядка, тоді кожен інструмент виконується в окремому термінальному середовищі, а також, набагато більш «дружній» спосіб, може використовуватися графічне середовище, яке дозволяє проводити дослідження в простий спосіб.

ДхШ: Чи можете ви зробити те саме з дистрибутивом LiveCD під назвою HELIX?

FN:Ну, це ще одна з основ для судово-комп'ютерного аналізу, а також багато середовищ, тобто вона аналізує криміналістичні зображення систем Linux, Windows і Mac, а також зображення оперативної пам'яті та інших пристроїв.
Мабуть, його найпотужнішими інструментами є Adept для клонування пристроїв (переважно дисків), Aff, інструмент для криміналістичного аналізу, пов’язаного з метаданими, і звичайно! Розтин. Окрім них, у нього є набагато більше інструментів.
Недолік - його професійна версія платна, хоча вона також має безкоштовну версію.

ДхШ: TCT (The Coroner's Toolkit) - це проект, який був замінений на The Sleuth Kit.
продовжувати використовувати тоді?

FN:TCT був першим із наборів інструментів для криміналістичного аналізу, такі інструменти, як грабіжник могил, Лазар чи Findkey, виділили це, і для аналізу старих систем він є більш ефективним, ніж його попередник, трохи такий же, як це відбувається з backtrack та kali, Я досі використовую обидва, наприклад.

ДхШ: Настановне програмне забезпечення створило EnCase, платне та закрите. Також не знайдено для інших операційних систем, які не є Windows. Чи справді він компенсує цей тип програмного забезпечення, маючи безкоштовні альтернативи? Я вважаю, що практично всі потреби покриваються безкоштовними та безкоштовними проектами, або я помиляюся?

FN: Думаю, я вже відповів на це, на мій скромний погляд НІ, це не компенсує і ТАК, всі потреби у проведенні комп’ютерного криміналістичного аналізу покриваються безкоштовними та безкоштовними проектами.

ДхШ: Посилаючись на вищезазначене питання, я бачу, що EnCase призначений для Windows, а також інших
інструменти, такі як FTK, Xways, для криміналістичного аналізу, а також багато інших інструментів для проникнення та безпеки. Навіщо використовувати Windows для цих тем?

FN: Я не знав би, як з упевненістю відповісти на це питання, я використовую, принаймні, 75% тестів, які я виконую, інструменти, розроблені для платформ Linux, хоча я усвідомлюю, що в Windows стає все більше і більше інструментів, розроблених для цих цілей платформи, і я також усвідомлюю, що ставлю їх на випробування, а іноді і використовую, так, поки це належить безкоштовним проектам.

ДхШ: Це питання може бути чимось екзотичним, якщо назвати це якось. Але чи вважаєте ви, що для представлення доказів у судових процесах мають бути дійсними лише докази, надані програмним забезпеченням з відкритим кодом, а не закриті? Дозвольте мені пояснити, це може бути дуже поганою думкою і прийти до думки, що вони змогли створити власне програмне забезпечення, яке надає помилкові дані в якомусь сенсі, щоб звільнити когось або певні групи, і не було б можливості переглянути вихідний код, щоб побачити, що воно робить або не робить це програмне забезпечення. Він трохи закручений, але я пропоную його вам, щоб ви могли висловити свою думку, заспокоїти себе або, навпаки, приєднатися до цієї думки ...

FN: Ні, я не такої думки, я використовую здебільшого безкоштовні програмні засоби і в багатьох випадках відкриті, але я не думаю, що хтось розробляє інструменти, які надають помилкові дані, щоб когось звільнити, хоча це правда, що нещодавно з'явилися деякі програми що вони навмисно пропонували неправильні дані, це було в іншому секторі, і я думаю, що це виняток, який підтверджує правило, дійсно, я не думаю, що події, на мій погляд, робляться професійно і, принаймні в цьому випадку, вони базуються виключно на науці, свідченнях, оброблених з точки зору науки, просто, це моя думка і моє переконання.

ДхШ: Кілька днів тому Лінус Торвальдс заявив, що повна безпека неможлива і що розробники не повинні бути одержимі в цьому відношенні та надавати пріоритет іншим функціям (надійність, продуктивність, ...). Washintong Post підхопив ці слова, і вони викликали тривогу, оскільки Лінус Торвальдс "є людиною, у якої в руках майбутнє Інтернету", через кількість серверів та мережевих служб, які працюють завдяки створеному ним ядру. Якої думки ти заслуговуєш?

FN: Я абсолютно з ним згоден, повної безпеки не існує, якщо ви дійсно хочете повної безпеки на сервері, вимкніть його або відключіть від мережі, поховайте, але, звичайно, тоді це вже не сервер, загрози будуть завжди існують, що ми повинні покрити вразливості, яких можна уникнути, але, звичайно, спочатку їх потрібно знайти, і іноді потрібен час, щоб здійснити цей пошук, або інші роблять це для неясних цілей.
Однак я вважаю, що технологічно ми перебуваємо на дуже високому рівні системної безпеки, речі значно покращилися, тепер це обізнаність користувача, як я вже говорив у попередніх відповідях, і це все ще залишається зеленим.

ДхШ: Я думаю, що кіберзлочинці щоразу ускладнюють (TOR, I2P, Freenet, стеганографія, шифрування, аварійне самознищення LUKS, проксі, очищення метаданих тощо). Як ви дієте в цих справах для надання доказів у суді? Чи бувають випадки, коли ти не можеш?

FN: Ну, якщо це правда, що справа стає все більш складною, і трапляються випадки, коли я не мав змоги діяти, не пішовши далі з відомим криптоблокером, клієнти дзвонили мені з проханням про допомогу, і ми не могли зробіть з цим багато, як відомо, це програма-вимагатель, яка, користуючись перевагами соціальної інженерії, знову користувач є найслабшим ланкою, шифрує вміст жорстких дисків і керує всіма фахівцями з комп'ютерної безпеки, науковими підрозділами закону правоохоронних органів, виробники наборів безпеки та судовий аналітик, ми поки не можемо вирішити проблему.
На перше питання, як ми маємо діяти, щоб винести ці питання на судовий розгляд, а як ми маємо всі докази, я маю на увазі професійну етику, а також складні інструменти, знання науки та спроби знайти відповіді на питання, які у першому запитанні, яке вартує надмірності, про яку я заявив, я не знаходжу різниці, але іноді ці відповіді не знаходять.

ДхШ: Чи рекомендуєте ви компаніям перейти на Linux? Чому?

FN: Я б не сказав стільки, я маю на увазі, я думаю, що якщо у мене є щось вільне від ліцензії, яке надає мені ті самі послуги, що і те, що коштує грошей, навіщо це витрачати? Інше питання полягає в тому, що воно не надає мені того самого послуги, але, чи є це, якщо це так. Linux - це операційна система, яка народилася з точки зору мережевої служби і пропонує подібні функції до решти платформ на ринку, саме тому багато хто обрав її на своїй платформі, щоб, наприклад, запропонувати веб-послугу , ftp тощо, я, звичайно, використовую його, і не тільки для використання криміналістичних дистрибутивів, але і як сервера в моєму навчальному центрі, у мене на ноутбуці є Windows, оскільки ліцензія включена в пристрій, навіть тому я кидаю багато віртуалізацій Linux.
Відповідаючи на запитання, Linux не коштує, на цій платформі працює все більше програм, і все більше компаній-розробників роблять продукти для Linux. З іншого боку, хоча в ньому немає шкідливих програм, кількість заражень менша, це разом із гнучкістю, яку дає платформа для адаптації, як рукавичка до потреб, надає їй, на мій погляд, достатньої сили, щоб бути Перший вибір будь-якої компанії і найголовніше, кожен може перевірити, що робить програмне забезпечення, не кажучи вже про те, що безпека є однією з її сильних сторін.

ДхШ: В даний час існує свого роду комп'ютерна війна, в якій також беруть участь уряди. Ми бачили шкідливі програми, такі як Stuxnet, Stars, Duqu тощо, створені урядами для конкретних цілей, а також заражені мікропрограми (наприклад, плати Arduino із модифікованою прошивкою), "шпигунські" лазерні принтери тощо. Але навіть апаратне забезпечення цього не уникає, з’явилися також модифіковані мікросхеми, які, крім завдань, для яких вони, мабуть, були розроблені, включають також інші приховані функціональні можливості тощо. Ми навіть бачили дещо божевільні проекти, такі як AirHopper (різновид радіохвильового кейлоггера), BitWhisper (теплові атаки для збору інформації від жертви), шкідливе програмне забезпечення, здатне поширюватися звуком ... Я перебільшую, якщо кажу, що вони більше не в безпеці чи комп’ютери відключені від будь-якої мережі?

FN: Як я вже коментував, найбезпечніша система - це та, яка вимкнена, і деякі кажуть, що вона заблокована в бункері, якщо вона відключена, я думаю, це теж цілком безпечно, але це не питання, я маю на увазі, на мою думку, питання не в кількості існуючих загроз, все більше і більше взаємопов’язаних пристроїв, що передбачає більшу кількість вразливостей та комп’ютерних атак різного роду, використовуючи, як ви добре сказали у питанні, різні тріщини і вектори атак, але я думаю, що ні. Ми повинні зосередити проблему на відключенні, щоб бути в безпеці, ми повинні зосередитись на забезпеченні всіх служб, пристроїв, зв’язку тощо, як я вже згадував, хоча це правда, що кількість загроз є велике, не менш вірно, що кількість технік безпеки не менш велика, нам бракує людського фактора, підготовки до обізнаності та безпеки, більше нічого, і наші проблеми, навіть пов'язані, будуть меншими.

ДхШ: Ми закінчуємо особистою думкою, і як експерт із безпеки, на яку заслуговують ці системи, ви також можете надати нам дані, які важче захистити та знайти більше дірок у безпеці:

Щодо питання на мільйон доларів, яка система є найбезпечнішою, відповідь була дана раніше, жодна не є на 100% безпечною, підключеною до мережі.
Windows не знає свого вихідного коду, тому ніхто точно не знає, що він робить і як це робить, крім розробників, звичайно. Вихідний код Linux відомий, і, як я вже говорив, безпека є одним з його сильних сторін, проти того, що він менш дружній і існує багато дистрибутивів. У Mac OS - його сильна сторона, його мінімалізм, який повертається до продуктивності, це ідеальна система для початківців. З усіх цих причин, на мій погляд, найскладнішим у захисті є Windows, хоча останні дослідження показують, що саме вона має найменшу кількість вразливостей, крім вашого браузера. На мою думку, немає сенсу стверджувати, що та чи інша операційна система є більш-менш вразливою, повинні враховуватися всі фактори, на які вона впливає, вразливості, встановлені програми, користувачі тієї самої тощо. Після того, як усе вищезазначене буде враховано, я вважаю, що системи повинні бути укріплені всіма видами заходів безпеки, загалом і застосовними до будь-якої системи, зміцнення тих самих може бути підсумовано такими основними моментами:

• Оновлення: Завжди оновлюйте цю точку в системі та всіх програмах, що використовують мережу.
• Паролі мають бути адекватними, я маю на увазі, щонайменше 8 символів і великий словник.
• Безпека периметра: хороший брандмауер та IDS не зашкодять.
• Відсутність відкритих портів, які не пропонують активну та оновлену послугу.
• Робіть резервні копії відповідно до потреб кожного випадку та зберігайте їх у безпечних місцях.
• Якщо ви працюєте з конфіденційними даними, їх шифрування.
• Шифрування комунікацій також.
• Навчання та обізнаність користувачів.

Сподіваюся, вам сподобалось це інтерв'ю, ми будемо продовжувати робити більше. Ми вдячні за те, що ви залишили свою думки та коментарі...