弗朗西斯科·納達多（Francisco Nadador）向我們介紹了他在法醫分析領域的經驗

今天 我們為 LxA 獨家採訪了弗朗西斯科·納達多 (Francisco Nadador)，專門從事計算機取證，熱衷於計算機安全、黑客攻擊和滲透測試。 弗朗西斯科畢業於阿爾卡拉德埃納雷斯大學，現任導演 計算機化的，致力於教授安全問題課程並為公司提供與此主題相關的服務。

他完成了計算機安全碩士學位（加泰羅尼亞開放大學），專門研究兩個主題：法證分析和網絡安全。 為此，他獲得了榮譽學位，後來成為美國評估師和計算機司法專家協會的會員。 正如他將向我們解釋的那樣， 他因白人傑出調查功績而被授予十字勳章 以表彰他的職業生涯和研究。 獲得該獎項的還有Chema Alonso、Angelucho、Josep Albors（ESET西班牙首席執行官）等。

Linux Adictos: 請向我們的讀者解釋什麼是法證分析。

弗朗西斯·游泳者： 對我來說，這是一門科學，試圖為計算機安全事件後發生的事情提供答案，它是一個數字場景，類型的答案：發生了什麼？何時發生？如何發生？ 是什麼或是誰造成的？

LxA： 從您的職位和經驗來看，是否發生過如此重要的網絡犯罪？
和其他國家一樣經常在西班牙嗎？

FN： 嗯，根據歐盟發布的公開報告，西班牙與南部地區的其他國家一樣，在創新國家中排名墊底，這些研究提供了研究和創新績效的比較屬於歐盟的國家。 這可能導致這裡的安全事件數量巨大且類型多樣。
公司每天都會面臨風險，但與表面上看起來相反，即風險可能來自於網絡，這些風險通常是由鏈條中最薄弱的環節（即用戶）引起的。 每當對設備的依賴性以及處理的設備數量增加時，就會導致嚴重的安全漏洞，我最近讀到的一項研究表明，超過 50% 的安全事件是由人、工人、前- 工人等，使公司花費數千歐元，在我看來，解決這個問題只有一種方法，即培訓和意識以及ISO27001 中更大的認證。
至於網絡犯罪，包括WhatsApp 等應用程序、勒索軟件（最近稱為cryptolocker），當然還有虛擬貨幣比特幣、未經適當修補的各種類型的漏洞、互聯網上的欺詐性支付、社交網絡的“不受控制”使用等。 ，是在遠程信息處理犯罪排名中佔據第一位的。
答案是“是”，西班牙網絡犯罪的發生與其他歐盟成員國一樣重要，但更為頻繁。

LxA： 您完成的碩士最終項目已獲得榮譽學位。 除了，
你獲得了獎項……請告訴我們整個故事。

核因子： 嗯，我不太喜歡獎項或認可，事實是，我的座右銘是努力、工作、奉獻和堅持，非常堅持不懈地實現你為自己設定的目標。
我攻讀碩士學位是因為這是我熱愛的學科，我成功地完成了它，從那時起直到現在我一直專業地致力於它。 我喜歡計算機取證調查，我喜歡搜索和尋找證據，並且我嘗試從最壓倒性的道德角度來做這件事。 這個獎項，沒什麼重要的，只是有人認為我的碩士論文值得，僅此而已，我不太重視它。 今天，我為我開發的在線完成計算機取證課程感到更加自豪，該課程已經是第二版了。

LxA： 您日常使用哪些 GNU/Linux 發行版？ 我會想像 Kali Linux、DEFT、
回溯和三德？ 鸚鵡操作系統？

核因子： 好吧，你已經命名了一些是的。 對於滲透測試，Kali 和Backtrack、用於移動取證的Santoku 和用於PC 取證的Deft 或Helix（等等），儘管它們都是框架，但它們都具有執行與滲透測試和計算機取證相關的其他任務的工具，但還有其他工具我喜歡並且有一個Linux版本，例如autopsy，volatility，工具例如Foremost，testdisk，Photorec，在通信部分，wireshark，收集nessus信息，nmap，自動利用metasploit和Ubuntu live本身cd，它可以讓你啟動機器，然後搜索惡意軟件、恢復文件等。

LxA： 您最喜歡哪些開源工具？

核因子： 好吧，我認為我對這個問題的回答有些超前，但我會進一步深入研究。 為了開發我的工作，我基本上使用開源工具，它們很有用，並且允許您做與通過使用許可證付費的相同的事情，因此，在我看來，使用這些工具可以完美地進行工作。
Linux 框架在這裡贏得了大獎，我的意思是，它們非常棒。 Linux 是部署取證分析工具的最佳平台，該操作系統的工具比任何其他操作系統都多，而且所有這些工具，更確切地說，絕大多數都是免費的，而且是免費的和開源的，這使得它們可以適應了。
另一方面，從Linux上分析其他操作系統沒有任何問題，唯一的缺點也許是它的使用和維護稍微複雜一些，而且由於它們不是商業化的，所以它們沒有持續的支持。 我最喜歡的，我之前說過，Deft、屍檢、波動性等等。

LxA： 您能給我們介紹一下《偵探套件》嗎？它是什麼？ 應用程序？

核因子： 嗯，我已經在前面的幾點中以某種方式談論過這些工具。 它是一個進行計算機取證分析的環境，它的形像是“小狗”，好在最新版本中小狗有著比真相更壞的脾氣。
這組工具中最重要的一個環節，屍檢。
它們是系統卷工具，允許以“非侵入”方式檢查不同類型平台的計算機取證圖像，鑑於其在取證中的含義，這是最重要的。
它可以在命令行模式下使用，然後每個工具都在單獨的終端環境中執行，或者也可以以更“友好”的方式使用圖形環境，這允許以簡單的方式進行調查方式。

LxA： 你能用名為 HELIX 的 LiveCD 發行版做同樣的事情嗎？

核因子：嗯，它是另一個計算機取證分析框架，也是多環境的，即分析Linux、Windows和Mac系統的取證圖像，以及RAM和其他設備的圖像。
也許它最強大的工具是克隆設備（主要是磁盤）的Adept，Aff，一種與元數據相關的取證分析工具，當然還有屍檢。 除了這些之外，它還有更多的工具。
缺點是，它的專業版是付費的，儘管它也有免費版本。

LxA： TCT（The Coroner's Toolkit）是一個被 The Sleuth Kit 取代的項目。為什麼
繼續使用然後？

核因子：TCT 是第一個用於取證分析的工具包，像盜墓者、lazarus 或findkey 這樣的工具突出了它，並且對於舊系統的分析，它比它的前身更有效，有點類似於backtrack 和kali 發生的情況，我例如，仍然使用兩者。

LxA： Guidance Software 創建了 EnCase，付費並關閉。 對於其他非 Windows 操作系統也沒有找到它。 這種類型的軟件確實可以彌補免費替代品的不足嗎？ 我認為幾乎所有的需求都可以通過免費和免費的項目來滿足，還是我錯了？

核因子： 我想我已經回答了這個問題，以我的謙虛觀點，不，它沒有補償，是的，進行計算機取證分析的所有需求都涵蓋在免費和免費的項目中。

LxA： 關於上面的問題，我看到 EnCase 適用於 Windows 以及其他
用於取證分析的 FTK、Xways 等工具，還有許多其他用於滲透和安全的工具。 為什麼要使用 Windows 來解決這些問題？

核因子： 我不知道如何確定地回答這個問題，在我進行的至少75% 的測試中，我使用為Linux 平台開發的工具，儘管我認識到在Windows 平台上有越來越多的為此目的開發的工具，並且我也認識到我對它們進行了測試，並且在某些情況下我也使用它，是的，只要它屬於可以免費使用的項目。

LxA： 這個問題可能有點奇怪，以某種方式稱呼它。 但你是否認為庭審中的證據只有開源軟件提供的證據才是有效的，而不是封閉的？ 讓我解釋一下，這可能是經過深思熟慮的，並開始相信他們已經能夠創建專有軟件，在某種意義上提供錯誤數據來為某人或某些群體開脫，並且沒有辦法審查源代碼來查看該軟件做什麼或不做什麼。 這有點扭曲，但我請你發表你的意見，冷靜下來，或者相反，加入這個意見......

核因子： 不，我不這麼認為，我主要使用免費軟件工具，並且在許多情況下都是開源的，但我認為沒有人開發提供錯誤數據的工具來為任何人開脫，儘管最近確實有些程序已經似乎他們有預謀地提供了錯誤的數據，這是在另一個部門，我認為這是確認規則的例外，真的，我不這麼認為，在我看來，這些發展是專業完成的，至少在這種情況下，它們完全基於科學，從科學的角度對待證據，簡單地說，這就是我的觀點和我的信念。

LxA： 幾天前，Linus Torvalds 認為完全安全是不可能的，開發人員不應沉迷於此並優先考慮其他功能（可靠性、性能……）。 《華盛頓郵報》收集了這些文字，並警告稱萊納斯·托瓦茲“是掌握互聯網未來的人”，因為大量服務器和網絡服務的運行得益於他創建的內核。 你值得什麼意見？

核因子： 我完全同意他的觀點，完全的安全性並不存在，如果你真的想要服務器上的完全安全性，請將其關閉或斷開與網絡的連接，將其埋葬，但是當然，那麼，它就不再是服務器，威脅將總是存在的，我們必須覆蓋的是漏洞，這些漏洞是可以避免的，但當然，首先必須找到它們，有時需要時間來進行這種搜索，或者其他人出於黑暗目的而這樣做。
然而，我認為從技術上來說，我們的系統安全性處於非常高的水平，事情已經有了很大的改善，現在是時候提高用戶意識了，正如我在之前的答案中所說的那樣，這仍然是綠色的。

LxA： 我認為網絡犯罪分子讓它變得越來越困難（TOR、I2P、Freenet、隱寫術、加密、LUKS 緊急自毀、代理、元數據清理等）。 在這些案件中，您如何在審判中提供證據？ 有不能的情況嗎？

核因子： 好吧，如果事情確實變得越來越複雜，而且在某些情況下我無法採取行動，而沒有進一步使用著名的密碼鎖，客戶打電話給我尋求幫助，但我們無法採取行動眾所周知，這是一種勒索軟件，它利用社會工程，再次將用戶作為最薄弱的環節，對硬盤驅動器的內容進行加密，並將所有計算機安全專業人員、科學單位安全部隊、安全套件製造商和法醫分析師認為，我們目前還無法解決這個問題。
對於第一個問題，我們如何行動來審判這些問題，嗯，我們如何利用所有證據來做到這一點，我的意思是，憑藉職業道德，還有先進的工具、科學知識，並試圖找到問題的答案。在第一個問題中，值得我解釋的冗餘，我找不到區別，發生的情況是有時找不到這些答案。

LxA： 您會建議公司轉向 Linux 嗎？ 因為？

核因子： 我不會說太多，我的意思是，我認為如果我有一些免費的東西可以為我提供與花錢的東西相同的服務，為什麼要花它呢？另一個問題是它不為我提供服務一樣，但就是這樣。 Linux 是一個從網絡服務的角度誕生的操作系統，提供與市場上其他平台類似的功能，這就是為什麼許多人選擇它作為其平台的原因，例如提供網絡服務，ftp等，當然我使用它不僅是為了使用取證發行版，而且還作為我的培訓中心的服務器，我的筆記本電腦上有Windows，因為許可證包含在設備中，即使如此我也使用了很多來自linux的虛擬化。
回答這個問題，Linux不花錢，運行在這個平台上的應用程序越來越多，越來越多的開發公司正在為Linux製作產品。 另一方面，儘管它並非沒有惡意軟件，但感染數量較低。在我看來，這一點，再加上該平台為您提供的靈活性，可以像手套一樣適應您的需求，使其具有足夠的實力使其成為任何公司的首選，最重要的是，每個人都可以審核該軟件的功能，更不用說安全性是其優勢之一。

LxA： 目前存在一種政府也參與的信息戰。 我們已經看到了政府為特定目的創建的惡意軟件，例如 Stuxnet、Stars、Duqu 等，以及受感染的固件（例如，經過修改的固件的 Arduino 板）、“間諜”激光打印機等。 但即使是硬件也無法逃脫這一點，修改後的芯片也出現了，除了它們明顯設計的任務之外，還包括其他隱藏的功能等。 我們甚至看到了一些瘋狂的項目，例如AirHopper（一種無線電波鍵盤記錄器）、BitWhisper（熱攻擊以從受害者那裡收集信息）、能夠通過聲音傳播的惡意軟件……如果我說它們不再是的話，我是否誇張了？安全還是計算機與任何網絡斷開連接？

核因子： 正如我已經評論過的，最安全的系統是關閉的系統，有人說它被鎖在掩體中，伙計，如果它斷開連接，我認為它也很安全，但這不是問題，我的意思是，在我認為問題不在於現有威脅的數量，而是互連的設備越來越多，這意味著存在更多的漏洞和各種類型的計算機攻擊，正如您在問題中充分錶達的那樣，使用不同的裂縫和攻擊媒介，但我認為不是，我們必須將問題重點放在斷開連接上，可以肯定的是，我們必須重點關注所有服務、設備、通信等的安全化，正如我已經提到的，儘管威脅的數量確實如此規模越大，安全化技術的數量也同樣多，我們缺乏人為因素、安全意識和培訓，僅此而已，我們的問題，即使是相互關聯的，也會更少。

LxA： 我們以個人觀點結束，作為這些系統應得的安全專家，您還可以向我們提供更難以保護的數據，並且您會發現更多的安全漏洞：

至於哪個系統最安全這個百萬美元的問題，之前已經給出了答案，沒有一個系統在連接到網絡時是100%安全的。
Windows 的源代碼不為人知，因此沒有人確切知道它的功能或原理，當然開發人員除外。 從Linux 來看，源代碼是已知的，正如我所說，安全性是它的強項之一，與之相反的是它不太友好，而且有很多發行版。從Mac OS 來看，它的強項是它的極簡主義，這與它相反。生產力，對於初學者來說是一個理想的系統。 出於所有這些原因，我認為最難保護的是 Windows，儘管最新研究表明它是漏洞最少的系統（除了瀏覽器之外）。 在我看來，斷言這個或那個操作系統或多或少容易受到攻擊是沒有意義的，必須考慮到影響它的所有因素，漏洞、安裝的應用程序、相同的用戶等。 考慮到上述所有因素，我認為系統應該通過各種安全措施進行加固，一般來說，適用於任何系統，其加固可以概括為以下基本點：

• 更新：始終使系統中的這一點以及使用網絡的所有應用程序保持最新。
• 我的意思是，密碼必須足夠，至少包含 8 個字符和一個大字典。
• 外圍安全：良好的防火牆和 IDS 不會造成傷害。
• 沒有開放的端口不提供活動和更新的服務。
• 根據每個案件的需要製作備份副本並將其保存在安全的地方。
• 如果您使用敏感數據，請對其進行加密。
• 還有通信加密。
• 用戶培訓和意識。

我希望你喜歡這次採訪 我們將繼續做更多。 我們感謝您離開您的 意見和評論...