Francisco Nadador kể cho chúng tôi nghe về kinh nghiệm của anh ấy trong thế giới phân tích pháp y

Gọi người chúng tôi phỏng vấn dành riêng cho LxA Francisco Nadador, chuyên ngành pháp y máy tính, đam mê bảo mật máy tính, kiểm tra hack và thâm nhập. Francisco tốt nghiệp Đại học Alcalá de Henares và hiện là đạo diễn Phàn nàn, chuyên dạy các lớp về chủ đề bảo mật và cung cấp các dịch vụ liên quan đến chủ đề này cho các công ty.

Anh đã hoàn thành Thạc sĩ (Đại học Mở Catalonia) về bảo mật máy tính chuyên về hai chủ đề, Phân tích pháp y và An ninh mạng. Vì lý do này, ông đã nhận được Danh dự và sau đó trở thành thành viên của Hiệp hội Quốc gia về Giám định Tư pháp Máy tính và Chuyên gia. Và khi anh ấy sẽ giải thích cho chúng ta, Họ đã trao cho anh ta Huy chương Chữ thập vì Thành tích Điều tra cùng với một Huy hiệu Trắng cho sự nghiệp chuyên môn và nghiên cứu của mình. Giải thưởng cũng được trao bởi Chema Alonso, Angelucho, Josep Albors (Giám đốc điều hành của ESET Tây Ban Nha), v.v.

Linux Adictos: Xin vui lòng giải thích cho độc giả của chúng tôi phân tích pháp y là gì.

Vận động viên bơi lội Francis: Đối với tôi, khoa học cố gắng đưa ra câu trả lời cho những gì đã xảy ra sau một sự cố bảo mật máy tính là một kịch bản kỹ thuật số, các câu trả lời thuộc loại Điều gì đã xảy ra? Nó xảy ra khi nào? Nó xảy ra như thế nào? Và điều gì hoặc ai đã gây ra nó?

LxW: Từ vị trí và kinh nghiệm của bạn, những tội phạm mạng quan trọng như vậy có xảy ra với rất nhiều
tần suất ở Tây Ban Nha cũng như ở các nước khác?

FN: Vâng, theo các báo cáo do EU công bố và thuộc phạm vi công cộng, Tây Ban Nha nằm ở cuối các quốc gia đổi mới, cùng với các quốc gia còn lại ở khu vực phía nam, họ là những nghiên cứu cung cấp nghiên cứu so sánh và hiệu suất đổi mới của các quốc gia là một phần của EU. Điều này có thể khiến số lượng sự cố bảo mật ở đây là đáng kể và kiểu của chúng cũng đa dạng.
Các công ty phải đối mặt với rủi ro hàng ngày, nhưng trái ngược với những gì có thể thấy, đó là chúng có thể đến từ việc tiếp xúc với mạng lưới, chúng là những rủi ro thường do mắt xích yếu nhất trong chuỗi gây ra, đó là người dùng. Mỗi khi sự phụ thuộc của các thiết bị cũng như số lượng các thiết bị này được xử lý nhiều hơn, điều này gây ra vi phạm an ninh tốt, một nghiên cứu mà tôi đã đọc gần đây cho biết hơn 50% các sự cố an ninh là do con người, công nhân, người yêu cũ. -người lao động, v.v., tiêu tốn của các công ty hàng ngàn euro, theo tôi chỉ có một giải pháp cho vấn đề này, đào tạo và nâng cao nhận thức và chứng nhận tốt hơn trong ISO27001.
Đối với Tội phạm mạng, tất nhiên là các ứng dụng như WhatsApp, ramsonware (gần đây được gọi là cryptolocker), tiền ảo bitcoin, lỗ hổng bảo mật nhiều loại không được vá tiện lợi, gian lận thanh toán trên Internet, sử dụng mạng xã hội "không kiểm soát", v.v. là những kẻ đã chiếm những vị trí đầu tiên trong bảng xếp hạng tội phạm qua điện thoại.
Câu trả lời là "CÓ", ở Tây Ban Nha, tội phạm mạng cũng quan trọng như ở các nước thành viên còn lại của EU, nhưng thường xuyên hơn.

LxW: Bạn đã nhận được Bằng Danh dự cho dự án cuối cùng về Thạc sĩ mà bạn đã làm. Hơn nữa,
bạn đã nhận được một giải thưởng… Hãy kể cho chúng tôi nghe toàn bộ câu chuyện.

FN: À, tôi không thích những giải thưởng hay sự công nhận, sự thật thì phương châm của tôi là nỗ lực, làm việc, cống hiến và kiên trì, phải thật kiên trì để đạt được những mục tiêu mà bản thân đặt ra.
Tôi học Thạc sĩ vì đây là môn học mà tôi đam mê, tôi đã hoàn thành nó một cách thành công và từ đó đến nay tôi đã chuyên tâm vào nó một cách chuyên nghiệp. Tôi yêu thích công việc điều tra pháp y bằng máy tính, tôi thích tìm kiếm và tìm bằng chứng và tôi cố gắng làm điều đó từ sự áp đảo nhất của đạo đức. Giải thưởng, không có gì quan trọng, chỉ là ai đó cho rằng công trình Sư phụ cuối cùng của tôi xứng đáng, vậy thôi, tôi không coi trọng nó hơn. Hôm nay tôi tự hào hơn nhiều về một khóa học mà tôi đã phát triển để hoàn thành trực tuyến về pháp y máy tính và hiện đã được xuất bản lần thứ hai.

LxW: Bạn sử dụng bản phân phối GNU / Linux nào hàng ngày? Tôi tưởng tượng Kali Linux, DEFT,
Nhạc nền và Santoku? Hệ điều hành con vẹt?

FN: Vâng, bạn đã đặt tên một số có. Đối với Pentesting Kali và Backtrack, Santoku để phân tích pháp y trên thiết bị di động và Deft hoặc Helix, để phân tích pháp y trên PC (trong số những người khác), mặc dù chúng là các khuôn khổ, nhưng tất cả chúng đều có công cụ để thực hiện các nhiệm vụ khác liên quan đến phân tích pháp y bị dồn nén và máy tính, Nhưng có những công cụ khác mà tôi thích và có phiên bản Linux như khám nghiệm tử thi, biến động, các công cụ như Foremost, testdisk, Photorec, trong phần truyền thông, wirehark, để thu thập thông tin nessus, nmap, để khai thác metasploit theo cách tự động và Ubuntu trực tiếp cd, cho phép bạn khởi động máy và sau đó, chẳng hạn như tìm kiếm phần mềm độc hại, khôi phục tệp, v.v.

LxW: Bạn yêu thích công cụ nguồn mở nào?

FN: Tôi nghĩ rằng tôi đã đi trước câu trả lời cho câu hỏi này, nhưng tôi sẽ đi sâu vào một thứ khác. Để phát triển công việc của mình, tôi chủ yếu sử dụng các công cụ mã nguồn mở, chúng hữu ích và cho phép bạn làm những điều tương tự như những công cụ được trả tiền cho giấy phép sử dụng, sau đó, theo ý kiến ​​của tôi, công việc có thể được thực hiện hoàn hảo với những công cụ này.
Ở đây, các khung công tác Linux đã giành được giải độc đắc, ý tôi là, chúng thật tuyệt vời. Linux là nền tảng tốt nhất để triển khai các công cụ phân tích pháp y, có nhiều công cụ cho hệ điều hành này hơn bất kỳ hệ điều hành nào khác và tất cả chúng, đúng hơn là phần lớn đều miễn phí, cũng miễn phí và là Mã nguồn mở, cho phép chúng thích nghi.
Mặt khác, các hệ điều hành khác có thể được phân tích mà không gặp bất kỳ sự cố nào từ Linux. Hạn chế duy nhất, có lẽ, là nó phức tạp hơn một chút trong việc sử dụng và bảo trì, và vì chúng không phải là thương mại nên chúng không có tiếp tục hỗ trợ. Các mục yêu thích của tôi, tôi đã nói chúng trước đây, Deft, Aut khám nghiệm, Biến động, và một số khác.

LxW: Bạn có thể cho chúng tôi biết một chút về The Sleuth Kit… Nó là gì? Các ứng dụng?

FN: Tôi đã nói một cách chi tiết về những công cụ này ở những điểm trước. Nó là một môi trường để thực hiện phân tích máy tính pháp y, hình ảnh của nó, "con chó săn", trong phiên bản mới nhất, con chó có khuôn mặt của một thiên tài tồi tệ hơn, sự thật .
Mắt xích quan trọng nhất trong nhóm công cụ này, khám nghiệm tử thi.
Chúng là các công cụ khối lượng hệ thống cho phép kiểm tra hình ảnh pháp y máy tính từ các nền tảng khác nhau theo cách "KHÔNG TƯƠNG ỨNG" và đây là công cụ quan trọng nhất do ý nghĩa của nó trong pháp y.
Nó có khả năng được sử dụng trong chế độ dòng lệnh, sau đó mỗi công cụ được thực thi trong một môi trường đầu cuối riêng biệt hoặc theo cách “thân thiện” hơn nhiều, có thể sử dụng môi trường đồ họa, cho phép thực hiện điều tra trong một cách đơn giản.

LxW: Bạn có thể làm điều tương tự với bản phân phối LiveCD có tên HELIX không?

FN:Chà, nó là một khuôn khổ khác để phân tích máy tính pháp y, cũng đa môi trường, tức là nó phân tích hình ảnh pháp y của các hệ thống Linux, Windows và Mac, cũng như hình ảnh của RAM và các thiết bị khác.
Có lẽ các công cụ mạnh mẽ nhất của nó là Adept để sao chép thiết bị (chủ yếu là đĩa), Aff, một công cụ để phân tích pháp y liên quan đến siêu dữ liệu và tất nhiên! Khám nghiệm tử thi. Bên cạnh những thứ này, nó còn có nhiều công cụ khác.
Nhược điểm, phiên bản chuyên nghiệp của nó là trả phí, mặc dù nó cũng có phiên bản miễn phí.

LxW: TCT (The Coroner's Toolkit) là một dự án đã được thay thế bằng The Sleuth Kit.
tiếp tục sử dụng sau đó?

FN:TCT là công cụ đầu tiên trong số các bộ công cụ để phân tích pháp y, các công cụ như kẻ trộm mộ, la-zăng hoặc phím tìm kiếm đã làm nổi bật nó và để phân tích các hệ thống cũ, nó hiệu quả hơn so với người tiền nhiệm của nó, giống như nó xảy ra với backtrack và kali, Tôi vẫn sử dụng cả hai, chẳng hạn.

LxW: Phần mềm Hướng dẫn đã tạo EnCase, trả phí và đóng. Cũng không tìm thấy cho các hệ điều hành không phải Windows khác. Loại phần mềm này có chắc chắn bù đắp cho nó bằng cách có các lựa chọn thay thế miễn phí không? Tôi tin rằng thực tế tất cả các nhu cầu đều được bao phủ bởi các dự án miễn phí và miễn phí, hay tôi đã sai?

FN: Tôi nghĩ rằng tôi đã trả lời điều này rồi, theo ý kiến ​​khiêm tốn của tôi là KHÔNG, nó không bồi thường và CÓ, tất cả các nhu cầu để thực hiện phân tích pháp y máy tính đều được bảo hiểm trong các dự án miễn phí và miễn phí.

LxW: Đề cập đến câu hỏi ở trên, tôi thấy rằng EnCase dành cho Windows và các
các công cụ như FTK, Xways, để phân tích pháp y, nhưng cũng có nhiều công cụ khác để thâm nhập và bảo mật. Tại sao sử dụng Windows cho các chủ đề này?

FN: Tôi sẽ không biết làm thế nào để trả lời câu hỏi đó một cách chắc chắn, ít nhất tôi sử dụng trong 75% bài kiểm tra mà tôi thực hiện các công cụ được phát triển cho nền tảng Linux, mặc dù tôi nhận ra rằng ngày càng có nhiều công cụ được phát triển cho những mục đích này trên Windows. và tôi cũng nhận ra rằng tôi đã thử nghiệm chúng và đôi khi tôi cũng sử dụng nó, vâng, miễn là nó thuộc về các dự án sử dụng miễn phí.

LxW: Câu hỏi này có thể hơi kỳ lạ, để gọi nó là một cái gì đó. Nhưng bạn có nghĩ rằng để đưa ra bằng chứng trong các phiên tòa, chỉ những bằng chứng được cung cấp bởi phần mềm nguồn mở mới có giá trị chứ không phải bằng chứng đóng? Hãy để tôi giải thích, đó có thể là một suy nghĩ rất tồi tệ và tin rằng họ đã có thể tạo ra phần mềm độc quyền cung cấp dữ liệu sai theo một nghĩa nào đó để minh oan cho ai đó hoặc một số nhóm nhất định và sẽ không có cách nào để xem lại mã nguồn để xem điều gì nó có hoặc không làm phần mềm đó. Nó hơi xoắn, nhưng tôi yêu cầu bạn đưa ra ý kiến ​​của bạn, trấn an bản thân hoặc ngược lại, tham gia ý kiến ​​này ...

FN: Không, tôi không có quan điểm đó, tôi chủ yếu sử dụng các công cụ phần mềm miễn phí và trong nhiều trường hợp là mở, nhưng tôi không tin rằng có ai đó phát triển các công cụ cung cấp dữ liệu sai sót để minh oan cho bất kỳ ai, mặc dù đúng là gần đây một số chương trình đã xuất hiện rằng họ cố tình cung cấp dữ liệu sai, đó là trong một lĩnh vực khác và tôi nghĩ rằng đó là ngoại lệ xác nhận quy tắc, thực sự, tôi không nghĩ vậy, các phát triển, theo quan điểm của tôi, được thực hiện một cách chuyên nghiệp và, ít nhất là trong trường hợp này, chúng hoàn toàn dựa trên khoa học, bằng chứng được xử lý theo quan điểm của khoa học, đơn giản, đó là quan điểm của tôi và niềm tin của tôi.

LxW: Cách đây vài ngày, Linus Torvalds đã tuyên bố rằng không thể bảo mật toàn bộ và rằng các nhà phát triển không nên bị ám ảnh về vấn đề này và hãy ưu tiên cho các tính năng khác (độ tin cậy, hiệu suất, ...). Washintong Post đã chọn ra những từ này và chúng đáng báo động vì Linus Torvalds "là người có tương lai của Internet trong tay", do số lượng máy chủ và dịch vụ mạng hoạt động nhờ vào hạt nhân mà anh ta tạo ra. Bạn xứng đáng với ý kiến ​​nào?

FN: Tôi hoàn toàn đồng ý với anh ấy, bảo mật hoàn toàn không tồn tại, nếu bạn thực sự muốn bảo mật toàn diện trên một máy chủ, hãy tắt hoặc ngắt kết nối nó khỏi mạng, chôn nó đi, nhưng tất nhiên, khi đó, nó không còn là một máy chủ nữa, các mối đe dọa sẽ luôn tồn tại, những gì chúng ta phải che đậy là các lỗ hổng, có thể tránh được, nhưng tất nhiên, chúng phải được tìm thấy trước tiên và đôi khi phải mất thời gian để thực hiện việc tìm kiếm này hoặc những người khác thực hiện nó cho những mục đích khó hiểu.
Tuy nhiên, tôi tin rằng về mặt công nghệ, chúng ta đang ở điểm bảo mật hệ thống rất cao, mọi thứ đã được cải thiện rất nhiều, bây giờ đó là nhận thức của người dùng, như tôi đã nói trong các câu trả lời trước, và điều đó vẫn còn xanh.

LxW: Tôi tưởng tượng rằng tội phạm mạng đang gây khó khăn hơn mọi lúc (TOR, I2P, Freenet, steganography, mã hóa, tự hủy khẩn cấp LUKS, proxy, dọn dẹp siêu dữ liệu, v.v.). Làm thế nào để bạn hành động trong những trường hợp này để cung cấp bằng chứng trong một phiên tòa? Có trường hợp nào bạn không thể?

FN: Chà, nếu đúng là mọi thứ đang trở nên phức tạp hơn và cũng có những trường hợp mà tôi không thể hành động được, nếu không đi xa hơn với người đào tiền mã hóa nổi tiếng, khách hàng đã gọi cho tôi để yêu cầu sự giúp đỡ của tôi và chúng tôi đã không thể Như đã biết, nó là một ransomware, lợi dụng kỹ thuật xã hội, một lần nữa người dùng là liên kết yếu nhất, mã hóa nội dung của ổ cứng và đang dẫn đầu tất cả các chuyên gia bảo mật máy tính, các đơn vị khoa học của cơ quan thực thi pháp luật, nhà sản xuất bộ bảo mật và nhà phân tích pháp y, chúng tôi chưa thể giải quyết vấn đề.
Đối với câu hỏi đầu tiên, chúng ta phải hành động như thế nào để đưa những vấn đề này ra xét xử, chúng ta phải làm như thế nào với tất cả các bằng chứng, ý tôi là, với đạo đức nghề nghiệp, cũng như các công cụ tinh vi, kiến ​​thức khoa học và cố gắng tìm ra câu trả lời cho các câu hỏi trong Câu hỏi đầu tiên, đáng giá là dư thừa mà tôi đã nêu, tôi không tìm thấy sự khác biệt, điều xảy ra là đôi khi những câu trả lời này không được tìm thấy.

LxW: Bạn có đề nghị các công ty chuyển sang Linux không? Tại sao?

FN: Tôi sẽ không nói quá nhiều, ý tôi là, tôi nghĩ rằng nếu tôi có thứ gì đó miễn phí giấy phép cung cấp cho tôi những dịch vụ tương tự như thứ gì đó tốn tiền, tại sao phải tiêu nó? Nếu có. Linux là một hệ điều hành được sinh ra từ quan điểm của dịch vụ mạng và cung cấp các tính năng tương tự như các nền tảng còn lại trên thị trường, đó là lý do mà nhiều người đã chọn nó cùng với nền tảng của họ, chẳng hạn như cung cấp dịch vụ web. , ftp, v.v., tôi chắc chắn sử dụng nó và không chỉ sử dụng các bản phân phối pháp y mà còn như một máy chủ trong trung tâm đào tạo của tôi, tôi có Windows trên máy tính xách tay của mình vì giấy phép được kết hợp với thiết bị, thậm chí vì vậy tôi ném rất nhiều ảo hóa Linux .
Trả lời cho câu hỏi Linux có tốn không, ngày càng có nhiều ứng dụng chạy trên nền tảng này và ngày càng có nhiều công ty phát triển sản xuất các sản phẩm cho Linux. Mặt khác, mặc dù nó không phải là không có phần mềm độc hại, nhưng số lượng lây nhiễm thấp hơn, điều này cùng với sự linh hoạt mà nền tảng mang lại cho bạn để thích ứng như một chiếc găng tay phù hợp với nhu cầu, theo tôi, đủ sức để Sự lựa chọn đầu tiên của bất kỳ công ty nào và quan trọng nhất là mọi người đều có thể kiểm tra những gì phần mềm làm được, chưa kể rằng bảo mật là một trong những điểm mạnh của nó.

LxW: Hiện nay có một loại chiến tranh máy tính mà các chính phủ cũng tham gia. Chúng tôi đã thấy phần mềm độc hại như Stuxnet, Stars, Duqu, v.v., do chính phủ tạo ra cho các mục đích cụ thể, cũng như phần mềm bị nhiễm (ví dụ: bảng Arduino với phần sụn đã sửa đổi của chúng), máy in laser "gián điệp", v.v. Nhưng ngay cả phần cứng cũng không thoát khỏi điều này, các chip sửa đổi cũng đã xuất hiện, ngoài các nhiệm vụ mà chúng dường như được thiết kế, cũng bao gồm các chức năng ẩn khác, v.v. Chúng ta thậm chí đã từng chứng kiến ​​những dự án có phần điên rồ như AirHopper (một loại keylogger sóng vô tuyến), BitWhisper (tấn công nhiệt để thu thập thông tin từ nạn nhân), phần mềm độc hại có khả năng lây lan bằng âm thanh, ... Tôi có phóng đại không nếu nói rằng chúng không còn an toàn hoặc máy tính bị ngắt kết nối khỏi bất kỳ mạng nào?

FN: Như tôi đã nhận xét, hệ thống an toàn nhất là hệ thống bị tắt và một số người nói rằng nó bị khóa trong boong-ke, người đàn ông nếu nó bị ngắt kết nối, tôi nghĩ nó cũng khá an toàn, nhưng đó không phải là câu hỏi, ý tôi là, Theo quan điểm của tôi, câu hỏi không phải là số lượng các mối đe dọa hiện có, ngày càng có nhiều thiết bị được kết nối với nhau, điều này ngụ ý rằng ngày càng nhiều lỗ hổng và các cuộc tấn công máy tính thuộc nhiều loại khác nhau, như bạn đã trình bày rõ trong câu hỏi, các vết nứt khác nhau và các vectơ tấn công, nhưng tôi nghĩ không phải. Chúng ta phải tập trung vào vấn đề ngắt kết nối để được an toàn, chúng ta phải tập trung vào việc bảo mật tất cả các dịch vụ, thiết bị, thông tin liên lạc, v.v., như tôi đã đề cập, mặc dù đúng là số lượng các mối đe dọa là lớn, đúng là không ít, số lượng kỹ thuật bảo mật cũng không kém, chúng ta thiếu nhân tố con người, nhận thức và đào tạo bảo mật, không hơn không kém và các vấn đề của chúng ta, kể cả kết nối, cũng sẽ ít hơn.

LxW: Chúng tôi kết thúc với ý kiến ​​cá nhân và với tư cách là một chuyên gia bảo mật mà các hệ thống này xứng đáng được hưởng, bạn cũng có thể cung cấp cho chúng tôi dữ liệu khó bảo mật hơn và tìm thấy nhiều lỗ hổng bảo mật hơn:

Đối với câu hỏi triệu đô, hệ thống nào là an toàn nhất, câu trả lời đã được đưa ra trước đó, không có hệ thống nào được kết nối mạng an toàn 100%.
Windows không biết mã nguồn của nó, do đó không ai biết chính xác nó làm gì hoặc làm như thế nào, tất nhiên là ngoại trừ các nhà phát triển. Mã nguồn của Linux đã được biết đến và như tôi đã nói, bảo mật là một trong những điểm mạnh của nó, ngược lại là nó kém thân thiện và có nhiều bản phân phối. Ở Mac OS, điểm mạnh của nó, sự tối giản của nó hướng đến năng suất, nó là một hệ thống lý tưởng cho người mới bắt đầu. Vì tất cả những lý do này, theo tôi, khó bảo mật nhất là Windows, mặc dù thực tế là các nghiên cứu mới nhất cho thấy rằng nó là thứ có ít lỗ hổng nhất, ngoại trừ trình duyệt của bạn. Theo ý kiến ​​của tôi, không có ý nghĩa gì khi nói rằng hệ điều hành này hoặc hệ điều hành kia ít nhiều dễ bị tấn công, tất cả các yếu tố mà nó bị ảnh hưởng phải được tính đến, các lỗ hổng, các ứng dụng đã cài đặt, người dùng của nó, v.v. Khi tất cả những điều trên đã được tính đến, tôi tin rằng hệ thống cần được củng cố bằng tất cả các loại biện pháp bảo mật, nói chung và có thể áp dụng cho bất kỳ hệ thống nào, việc củng cố tương tự có thể được tóm tắt là những điểm cơ bản sau:

• Cập nhật: Luôn cập nhật điểm này trong hệ thống và tất cả các ứng dụng sử dụng mạng.
• Mật khẩu phải đủ, ý tôi là, với tối thiểu 8 ký tự và một từ điển lớn.
• Bảo mật ngoại vi: Tường lửa tốt và IDS sẽ không ảnh hưởng gì.
• Không có các cổng đang mở không cung cấp dịch vụ đang hoạt động và cập nhật.
• Tạo các bản sao lưu theo nhu cầu của từng trường hợp và giữ chúng ở những nơi an toàn.
• Nếu bạn làm việc với dữ liệu nhạy cảm, hãy mã hóa giống nhau.
• Mã hóa thông tin liên lạc.
• Đào tạo và nâng cao nhận thức của người dùng.

Tôi hy vọng bạn thích cuộc phỏng vấn này, chúng tôi sẽ tiếp tục làm nhiều hơn nữa. Chúng tôi đánh giá cao bạn để lại của bạn ý kiến ​​và bình luận...