弗朗西斯科·纳达多（Francisco Nadador）向我们介绍了他在法医分析领域的经验

今天 我们专为LxA Francisco Nadador采访，专门研究计算机取证，对计算机安全，黑客和渗透测试充满热情。 Francisco毕业于阿尔卡拉·德·埃纳雷斯大学，现任导演 全面的，专门用于讲授有关安全主题的课程，并为公司提供与此主题相关的服务。

他完成了计算机安全硕士学位（加泰罗尼亚开放大学），专门研究法医学分析和网络安全这两个主题。 因此，他获得了荣誉学位，后来成为了全国计算机司法鉴定人和专家协会的会员。 正如他将向我们解释的那样， 他们给了他带有白色徽章的研究优异十字勋章 为他的职业生涯和研究。 该奖项还由Chema Alonso，Angelucho，Josep Albors（西班牙ESET首席执行官）等人获得。

Linux Adictos: 请向我们的读者解释什么是法医分析。

弗朗西斯科·纳达多（Francisco Nadador）： 对我来说，这是一门试图对计算机安全事件是数字情况之后发生的事情给出答案的科学，类型为发生了什么，何时发生，如何发生？ 是什么或由谁引起的？

LxA： 从您的位置和经验来看，如此重要的网络犯罪会发生吗？
像其他国家一样在西班牙出现频率较高？

FN： 好吧，根据欧盟发布的属于公共领域的报告，西班牙与南部地区的其他国家一样，处于创新国家的尾声，这些研究为西班牙提供了比较研究和创新绩效属于欧盟的国家。 这可能导致此处的安全事件数量很多，并且其类型也各不相同。
公司每天都会运行风险，但与看起来可能相反，即可能来自暴露于网络的风险，这些风险通常是由链中最薄弱的环节（即用户）引起的。 每当设备的依赖关系以及所处理设备的数量越多，就会造成良好的安全漏洞时，我最近阅读的一项研究表明，超过50％的安全事件是由人，工人， -工人等，花费公司数千欧元，在我看来，只有一个解决方案可解决此问题，培训和意识以及获得ISO27001更高的认证。
至于网络犯罪，诸如WhatsApp，ramsonware（后来称为cryptolocker）之类的应用程序当然是虚拟货币比特币，各种漏洞而无法方便地打补丁，Internet上的欺诈性支付，社交网络的“不受控制”使用等，是那些在远程信息处理犯罪中排名第一的人。
答案是“是”，在西班牙，网络犯罪的发生与欧盟其他成员国一样重要，但频率更高。

LxA： 您已获得硕士学位课程的荣誉学位。 更重要的是，
您获得了奖项……请告诉我们整个故事。

FN： 好吧，我不太喜欢获得奖项或表彰，事实是，我的座右铭是努力，工作，奉献和坚持，非常执着地实现自己设定的目标。
我之所以做硕士，是因为我热衷于这一学科，我成功完成了该学科，从那时起到现在，我一直致力于该学科。 我喜欢计算机法证学调查，喜欢搜索和查找证据，并尝试从最压倒一切的道德规范中进行。 该奖项没什么重要的，只是有人认为我的最终硕士的工作应得的，就是这样，我没有给予它更多的重视。 今天，我为我为在线完成计算机法证学开发的课程而感到自豪，该课程现已出版第二版。

LxA： 您日常使用哪些GNU / Linux发行版？ 我想象Kali Linux，DEFT，
回溯和三德？ 鹦鹉OS？

FN： 好吧，您已经说了几句。 对于Pentesting Kali和Backtrack，Santoku用于在Mobile和Deft或Helix上进行取证分析，在PC上进行取证分析（除其他外），尽管它们是框架，但它们都具有执行与Pentesting和计算机取证分析有关的其他任务的工具，但是我还喜欢其他具有Linux版本的工具，例如验尸，易失性，通信部分中的Foremost，testdisk，Photorec等工具，wireshark，以收集信息信息，nmap，以自动方式利用metasploit和Ubuntu本身具有CD功能，可让您启动计算机，然后搜索恶意软件，恢复文件等。

LxA： 您最喜欢哪些开源工具？

FN： 好吧，我认为我已经领先于这个问题的答案，但是我将深入探讨其他问题。 为了开发我的作品，我主要使用开源工具，这些工具很有用，并且可以让您做与使用许可付费的工具相同的事情，然后，我认为，可以使用这些工具完美地完成工作。
在这里，Linux框架占据了头奖，我的意思是，它们很棒。 Linux是部署取证分析工具的最佳平台，该操作系统比其他任何工具都有更多的工具，而且所有工具都可以使用，相反，绝大多数工具是免费的，完全免费的和开放源代码的，可以使它们成为适应。
另一方面，Linux可以毫无问题地分析其他操作系统，唯一的缺点也许是，它的使用和维护更加复杂，而且由于它们不是商业性的，因此没有持续的支持。 我的最爱，我之前说过这些，包括Deft，尸检，波动率等等。

LxA： 您能告诉我们一些有关侦探工具包的信息吗？ 应用程序？

FN： 好了，在前面的几节中，我已经以某种方式谈论了这些工具。 这是一个进行法医计算机分析的环境，其图像为“猎犬”，在最新版本中，该犬面对的是更糟糕的天才真相
这组工具中最重要的链接是尸检。
它们是系统批量工具，允许以“非侵入式”方式检查来自各个平台的计算机取证图像，这是最重要的，因为其在取证中具有重要意义。
它有可能在命令行模式下使用，然后在单独的终端环境中执行每个工具，或者也可以以更加“友好”的方式使用图形环境，从而可以在简单的方法。

LxA： 您可以使用称为HELIX的LiveCD发行版做同样的事情吗？

FN：嗯，这是用于取证计算机分析的另一个框架，也是多环境的，也就是说，它可以分析Linux，Windows和Mac系统的取证图像以及RAM和其他设备的图像。
也许其最强大的工具是用于设备克隆（主要是磁盘）的Adept，Aff，一种用于与元数据相关的取证分析工具，当然还有尸检。 除了这些，它还有许多其他工具。
不利的一面是，它的专业版是付费的，尽管它也有免费版。

LxA： TCT（死因裁判官工具包）是一个由The Sleuth Kit取代的项目。
继续使用呢？

FN：TCT是第一个用于法医分析的工具包，其中包括诸如强盗，lazarus或findkey之类的工具突出显示了该工具包，并且对于旧系统的分析，它比以前的系统更高效，与回溯和kali发生的情况有点相同，例如，我仍然同时使用两者。

LxA： Guidance Software已创建EnCase，已付款且已关闭。 也找不到其他非Windows操作系统。 它肯定有免费的替代软件来弥补这种软件的不足吗？ 我相信几乎所有需求都包含在免费项目中，还是我错了？

FN： 我想我已经回答了这个问题，以我的谦虚意见，不是，它不能补偿，是的，执行计算机取证分析的所有需求都包含在免费的免费项目中。

LxA： 提到上述问题，我发现EnCase适用于Windows和其他
诸如FTK，Xways等用于法医分析的工具，还有许多其他用于渗透和安全性的工具。 为什么将Windows用于这些主题？

FN： 我不知道如何确定地回答这个问题，至少我在进行针对Linux平台开发的工具的测试中使用了75％，尽管我认识到Windows上为这些目的开发了越来越多的工具平台，并且我也承认我对它们进行了测试，有时候，我也会使用它，是的，只要它属于免费项目即可。

LxA： 这个问题可能有些奇怪，可以称之为。 但是您是否认为要在试验中提供证据，只有开放源软件提供的证据才是有效的，而不是封闭的证据？ 让我解释一下，这可能是一个非常糟糕的想法，并相信他们已经能够创建专有软件，该软件在某种意义上可以提供错误的数据，以免除某人或某些群体的负担，并且无法查看源代码以查看什么。它会或不会执行该软件。 这有点曲解，但我想请您提供您的意见，让自己放心，或者相反，加入这一意见...

FN： 不，我不这么认为，我主要使用自由软件工具，并且在许多情况下是开放的，但是我认为没有人会开发提供错误数据的工具来免除任何人的责任，尽管最近确实有一些程序出现了。他们故意提供错误的数据，是在另一个部门，我认为这是确认规则的例外，实际上，我认为并非如此，我认为开发是专业完成的，至少在这种情况下，它们完全基于科学，从科学的角度来看待的证据，简而言之，这就是我的观点和信念。

LxA： 几天前，Linus Torvalds声称不可能实现全面的安全性，并且不应着迷于此，而应优先考虑其他功能（可靠性，性能等）。 Washintong Post听到了这些话，他们感到震惊，因为Linus Torvalds“掌握了互联网的未来”，由于他创建的内核使服务器和网络服务的工作量大大增加。 您应该得到什么意见？

FN： 我完全同意他的观点，完全安全性不存在，如果您真的想要服务器上的完全安全性，将其关闭或与网络断开连接，将其埋葬，但是当然，它不再是服务器，威胁将会漏洞始终存在，我们必须掩盖的漏洞是可以避免的，但是当然必须首先找到它们，有时进行这种搜索需要花费时间，而其他人则出于隐晦的目的而进行搜索。
但是，我认为从技术上讲我们处于非常高的系统安全点，情况已经得到了很大改善，正如我在前面的回答中所说的那样，现在这已经是用户的意识，并且仍然是绿色的。

LxA： 我想网络犯罪分子每次都会变得更加困难（TOR，I2P，Freenet，隐秘术，加密，LUKS紧急自毁，代理，元数据清除等）。 在这些情况下，您如何采取行动以提供证据？ 在某些情况下您无法做到？

FN： 好吧，如果确实事情变得越来越复杂，并且在某些情况下我无法采取行动，而没有使用著名的cryptolocker进行任何进一步的处理，客户打电话给我寻求我的帮助，而我们却无法众所周知，这是一种勒索软件，它利用社会工程学，再次使用户成为最弱的链接，对硬盘驱动器的内容进行加密，并领导着所有计算机安全专业人员，执法机构，安全套件制造商和法证分析师，我们还无法解决问题。
对于第一个问题，我们将如何采取行动将这些问题进行审判，以及我们如何处理所有证据，我的意思是，借助职业道德，先进的工具，科学知识并试图找到以下问题的答案：在第一个问题中，值得我重复说明，我没有发现任何区别，发生的事情是有时找不到这些答案。

LxA： 您会建议公司改用Linux吗？ 为什么？

FN： 我不会说太多，我的意思是，我认为，如果我拥有一些免费许可证，可以为我提供与花钱的服务相同的服务，为什么要花钱呢？另一个问题是，它没有为我提供相同的服务，但事实是否如此。 Linux是从网络服务的角度诞生的操作系统，它提供了与市场上其他平台相似的功能，这就是许多人选择将其与平台一起提供Web服务的原因。 ，ftp等，我当然会使用它，不仅用于取证发行，而且作为培训中心中的服务器，我的笔记本电脑上装有Windows，因为许可证是与设备结合在一起的，所以即使我扔了很多虚拟化Linux 。
为了回答这个问题，Linux并不收费，在该平台上运行的应用程序越来越多，越来越多的开发公司正在为Linux生产产品。 另一方面，尽管它不是没有恶意软件，但感染的数量却较低，再加上该平台可让您像手套一样适应需求的灵活性，在我看来，它具有足够的强度来应对任何公司的首选，最重要的是，每个人都可以审核该软件的功能，更不用说安全是其优势之一。

LxA： 当前，政府也参与了一种计算机战争。 我们已经看到政府为特定目的而创建的恶意软件，例如Stuxnet，Stars，Duqu等，以及受感染的固件（例如，带有经修改固件的Arduino板），“间谍”激光打印机等。 但是，即使硬件也不能幸免，经过修改的芯片也已经出现，除了显然可以完成的任务之外，还包括其他隐藏的功能等。 我们甚至看到过一些疯狂的项目，例如AirHopper（一种无线电波键盘记录程序），BitWhisper（热攻击以从受害者那里收集信息），能够通过声音传播的恶意软件，...我是否夸大其词？不再安全或计算机与任何网络断开连接？

FN： 正如我已经评论过的，最安全的系统是已关闭的系统，有人说它被锁定在一个地堡中，如果断开连接，我认为这也很安全，但这不是问题，我的意思是，在我看来，问题不是现有威胁的数量，而是有越来越多的设备相互连接，这意味着，如您在问题中已经很好地表达的那样，存在各种漏洞和各种计算机攻击，使用的是不同的漏洞和攻击媒介，但我认为并非必须如此，我们必须将问题集中在断开连接上以确保安全，我们必须集中精力保护所有服务，设备，通信等，尽管确实存在威胁数量规模之大，安全技术的数量也同样如此，我们缺乏人为因素，意识和安全培训，仅此而已，而且即使是相互联系的问题也将减少。

LxA： 我们以个人意见作为结束，作为这些系统应有的安全专家，您还可以为我们提供更难以保护的数据，并发现更多的安全漏洞：

对于百万美元的问题，哪个系统是最安全的，以前给出了答案，没有一个是100％安全连接到网络的。
Windows不知道其源代码，因此，除了开发人员以外，没有人确切知道其作用或作用方式。 Linux的源代码是众所周知的，正如我所说的，安全性是Linux的强项之一，相反，它不那么友好并且存在许多发行版；对于Mac OS，Mac OS的强项是其极简主义，它可以恢复生产力，对于初学者来说，这是一个理想的系统。 基于所有这些原因，我认为最难保护的是Windows，尽管事实表明最新的研究表明Windows是漏洞最少的一个，除了浏览器之外。 我认为说这个或那个操作系统或多或少是易受攻击的，这是没有道理的，必须考虑到影响它的所有因素，漏洞，安装的应用程序，它的用户等。 一旦考虑了以上所有因素，我相信应该对系统进行各种安全措施的强化，一般来说，适用于任何系统，这些要点的强化可以归纳为以下基本要点：

• 更新：请始终在系统和使用网络的所有应用程序中保持这一点最新。
• 我的意思是密码必须足够，至少要有8个字符和一个大字典。
• 外围安全性：好的防火墙和IDS不会受到伤害。
• 没有开放的端口不提供活动和更新的服务。
• 根据每种情况的需要制作备份副本，并将其保存在安全的地方。
• 如果您使用敏感数据，请对其进行加密。
• 通信的加密也是如此。
• 培训和提高用户意识。

我希望你喜欢这次采访， 我们将继续做更多。 感谢您离开 意见和评论...