Francisco Nadador govori nam o svom iskustvu u svijetu forenzičke analize

Complumatica i LxA logotip

Danas intervjuiramo ekskluzivno za LxA Francisco Nadador, specijalizirana za računalnu forenziku, zaljubljenica u računalnu sigurnost, hakiranje i testiranje penetracije. Francisco je diplomirao na Sveučilištu Alcalá de Henares i sada režira Komplumatično, posvećen predavanju na sigurnosnim temama i nudi usluge povezane s ovom temom za tvrtke.

Magistrirao je (Otvoreno sveučilište u Kataloniji) iz računalne sigurnosti specijalizirajući se za dvije teme, Forenzičku analizu i Mrežnu sigurnost. Iz tog je razloga dobio počasni stupanj, a kasnije je postao članom Nacionalnog udruženja računalnih pravosudnih procjenitelja i stručnjaka. I kao što će nam objasniti, Dali su mu Križanu medalju za istražne zasluge s bijelom značkom za svoju profesionalnu karijeru i istraživanje. Nagradu su također osvojili Chema Alonso, Angelucho, Josep Albors (izvršni direktor ESET Španjolske) itd.

Ovisnici o Linuxu: Molimo objasnite našim čitateljima što je forenzička analiza.

Francis Swimmer: Za mene je to znanost koja pokušava dati odgovore na ono što se dogodilo nakon što je incident s računalnom sigurnošću digitalni scenarij, odgovori tipa Što se dogodilo? Kada se dogodilo? Kako se dogodilo? I što ili tko je to izazvao?

DxŠ: Iz vašeg položaja i iskustva, događaju li se tako važni cyber kriminali s toliko mnogo slučajeva
učestalost u Španjolskoj kao i u drugim zemljama?

FN: Pa, prema izvješćima koja je objavila EU i koja su u javnoj domeni, Španjolska je na repu inovativnih zemalja, zajedno s ostatkom zemalja na jugu, to su studije koje nude komparativna istraživanja i inovacijske rezultate zemlje koje su dio EU. To vjerojatno uzrokuje da je broj sigurnosnih incidenata ovdje značajan, a njihova tipologija raznolika.
Tvrtke svakodnevno riskiraju, ali suprotno onome što se čini, odnosno da mogu proizaći iz izloženosti mreži, to su rizici koje obično uzrokuje najslabija karika u lancu, korisnik. Svaki put kada je ovisnost uređaja kao i broj uređaja kojima se rukuje veća, što uzrokuje dobru sigurnosnu povredu, studija koju sam nedavno pročitao rekla je da su više od 50% sigurnosnih incidenata prouzročili ljudi, radnici, bivši -radnici itd., koji tvrtke koštaju tisuće eura, po mom mišljenju postoji samo jedno rješenje za ovaj problem, osposobljavanje i osvješćivanje te veća certifikacija u ISO27001.
Što se tiče internetskih kriminala, aplikacija poput WhatsAppa, ramsonware-a (u posljednje vrijeme zvanog cryptolocker), naravno, virtualne valute bitcoin, ranjivosti raznih vrsta bez povoljnog krpanja, lažno plaćanje na Internetu, "nekontrolirano" korištenje društvenih mreža itd. su oni koji su zauzeli prva mjesta na ljestvici telematskih zločina.
Odgovor je "DA", u Španjolskoj se internetski kriminal događa jednako važan kao i u ostalim državama članicama EU-a, ali češće.

DxŠ: Dobili ste počasnu diplomu za svoj konačni projekt Učitelja koji ste radili. Što je više,
dobili ste nagradu ... Recite nam cijelu priču.

FN: Pa, nisu mi drage nagrade ili priznanja, istina je, moj moto je trud, rad, predanost i inzistiranje, budite vrlo ustrajni u postizanju ciljeva koje ste si postavili.
Učiteljicu sam odradio jer je to tema kojom sam strastven, uspješno sam je završio i od tada do danas tome sam se posvetio profesionalno. Volim računarsku forenzičku istragu, volim tražiti i nalaziti dokaze i pokušavam to raditi iz najnerazvijenije etike. Nagrada, ništa važno, samo je netko pomislio da je moj završni magistarski rad to zaslužio, to je to, ne pridajem mu veću važnost. Danas sam puno ponosniji na tečaj koji sam razvio za internetske studije računalne forenzike i koji je sada u drugom izdanju.

DxŠ: Koje GNU / Linux distribucije svakodnevno koristite? Zamišljam Kali Linux, DEFT,
Povratak i Santoku? Papiga OS?

FN: Pa, dali ste nekoliko da. Za Pentesting Kali i Backtrack, Santoku za forenzičku analizu na Mobile and Deft ili Helixu, za forenzičku analizu na PC-u (između ostalih), iako su okviri, svi oni koji imaju alate za obavljanje drugih zadataka povezanih s pentestingom i računalnom forenzičkom analizom, Ali postoje i drugi alati koji mi se sviđaju i imam verziju Linuxa kao što su obdukcija, volatilnost, alati poput Foremost, testdisk, Photorec, u dijelu za komunikacije, wireshark, za prikupljanje podataka nessus, nmap, za automatsko iskorištavanje metasploita i Ubuntu živi sam cd koji vam omogućuje pokretanje stroja, a zatim, na primjer, traženje zlonamjernog softvera, oporavak datoteka itd.

DxŠ: Koji su vam alati otvorenog koda omiljeni?

FN: Pa, mislim da sam u odgovoru na ovo pitanje otišao ispred sebe, ali ući ću u nešto drugo. Da bih razvio svoj rad, uglavnom koristim alate otvorenog koda, oni su korisni i omogućuju vam da radite iste stvari kao i oni koji se plaćaju za licencu za upotrebu, tada se, po mom mišljenju, posao može savršeno izvršiti s tim alatima.
Ovdje Linux okviri uzimaju jackpot, mislim, oni su prekrasni. Linux je najbolja platforma za primjenu alata za forenzičku analizu, za ovaj operativni sustav ima više alata nego za bilo koji drugi i svi oni, pa i velika većina je besplatna, besplatna i otvorenog koda, što im omogućuje da budu adaptiran.
S druge strane, drugi operativni sustavi mogu se bez problema analizirati s Linuxa, jedini nedostatak je možda taj što je malo složeniji u svojoj upotrebi i održavanju, a također, budući da nisu komercijalni, nemaju kontinuirana podrška. Moji favoriti, rekao sam im ih i prije, Spretnost, Obdukcija, Volatilnost i još neki.

DxŠ: Možete li nam reći nešto o The Sleuth Kit ... Što je to? Prijave?

FN: Pa, već sam na neki način govorio o tim alatima u prethodnim točkama. Okruženje je za provođenje forenzičke računalne analize, njegove slike, "psa goniča", pa u najnovijoj verziji pas ima lice lošije naravi, istina 
Najvažnija karika u ovoj skupini alata, obdukcija.
Oni su volumenski alati sustava koji omogućuju ispitivanje računalnih forenzičkih slika različitih vrsta platformi na "NEINTRUSIVNI" način, a to je najvažnije s obzirom na njegov značaj u forenzici.
Ima mogućnost korištenja u načinu naredbenog retka, a zatim se svaki alat izvršava u zasebnom terminalnom okruženju ili također, na mnogo „prijateljskiji“ način, može se koristiti grafičko okruženje, što omogućuje provođenje istrage u jednostavan način.

DxŠ: Možete li učiniti isto s distribucijom LiveCD pod nazivom HELIX?

FN:Pa, to je još jedan od okvira za forenzičku računalnu analizu, također multi-okruženje, odnosno analizira forenzičke slike Linuxa, Windows i Mac sustava, kao i slike RAM-a i drugih uređaja.
Možda su najmoćniji alati Adept za kloniranje uređaja (uglavnom diskovi), Aff, alat za forenzičku analizu vezanu uz metapodatke i naravno! Obdukcija. Osim ovih, ima još mnogo alata.
Loša strana je njegova profesionalna verzija koja se plaća, iako ima i besplatnu verziju.

DxŠ: TCT (The Coroner's Toolkit) projekt je koji je zamijenjen The Sleuth Kitom.
nastaviti koristiti tada?

FN:TCT je bio prvi od alata za forenzičku analizu, alati kao što su pljačkaš grobova, Lazar ili Findkey to su istaknuli, a za analizu starih sustava učinkovitiji je od svog prethodnika, pomalo isto kao što se događa s backtrackom i kali, Ja i dalje koristim oboje, na primjer.

DxŠ: Softver za usmjeravanje kreirao je EnCase, platio ga i zatvorio. Također se ne može naći za druge operativne sustave koji nisu Windows. Da li sigurno nadoknađuje ovu vrstu softvera besplatnim alternativama? Vjerujem da su praktički sve potrebe pokrivene besplatnim i besplatnim projektima ili se varam?

FN: Mislim da sam na to već odgovorio, po mom skromnom mišljenju NE, to ne nadoknađuje i DA, sve potrebe za obavljanjem računalne forenzičke analize pokrivene su besplatnim i besplatnim projektima.

DxŠ: Pozivajući se na gornje pitanje, vidim da je EnCase namijenjen sustavima Windows i ostalim
alati poput FTK, Xways, za forenzičku analizu, ali i mnogi drugi alati za prodor i sigurnost. Zašto koristiti Windows za ove teme?

FN: Ne bih znao sa sigurnošću odgovoriti na to pitanje, koristim barem 75% testova koje provodim alate razvijene za Linux platforme, iako prepoznajem da je u sustavu Windows sve više alata razvijenih za te svrhe platforme, a također prepoznajem da sam ih stavio na test i ponekad ih također koristim, da, sve dok spada u besplatne projekte.

DxŠ: Ovo pitanje može biti nešto egzotično, da ga tako nazovem. Ali mislite li da bi za izvođenje dokaza u pokusima trebali vrijediti samo dokazi koje pruža softver otvorenog koda, a ne oni zatvoreni? Dopustite mi da objasnim, moglo bi biti vrlo loše razmišljati i doći do vjerovanja da su uspjeli stvoriti zaštićeni softver koji pruža pogrešne podatke u nekom smislu da bi se nekoga ili određene grupe oslobodilo i da ne bi bilo moguće pregledati izvorni kod da biste vidjeli što radi ili ne radi taj softver. Pomalo je izvitopereno, ali molim vas da date svoje mišljenje, uvjerite se ili, naprotiv, pridružite se ovom mišljenju ...

FN: Ne, nisam tog mišljenja, koristim uglavnom besplatne softverske alate i u mnogim slučajevima otvorenim, ali ne mislim da itko razvija alate koji pružaju pogrešne podatke kako bi nekoga oslobodio, iako je istina da su se nedavno pojavili neki programi da su namjerno ponudili pogrešne podatke, to je bilo u drugom sektoru i mislim da je iznimka koja potvrđuje pravilo, stvarno, mislim da nije, pomaci se, po mom mišljenju, rade profesionalno i, barem u ovom slučaju, oni se temelje isključivo na znanosti, dokazima tretiranim sa stajališta znanosti, jednostavno, to je moje mišljenje i moje uvjerenje.

DxŠ: Prije nekoliko dana Linus Torvalds tvrdio je da potpuna sigurnost nije moguća i da programeri ne bi trebali biti opsjednuti u tom pogledu i davati prednost ostalim značajkama (pouzdanost, performanse, ...). Washintong Post shvatio je ove riječi i uznemirio se jer je Linus Torvalds "čovjek koji u svojim rukama ima budućnost Interneta", zbog količine poslužitelja i mrežnih usluga koje rade zahvaljujući jezgri koju je stvorio. Kakvo mišljenje zaslužujete?

FN: Apsolutno se slažem s njim, ukupna sigurnost ne postoji, ako stvarno želite potpunu sigurnost na poslužitelju, isključite ga ili isključite s mreže, zakopajte, ali naravno, onda to više nije poslužitelj, prijetnje će uvijek postoje, ono što moramo pokriti su ranjivosti, koje je moguće izbjeći, ali naravno, prvo ih je potrebno pronaći, a ponekad je potrebno vrijeme da se izvrši ovo traženje ili drugi to učine u nejasne svrhe.
Međutim, mislim da smo tehnološki na vrlo visokoj sigurnosnoj točki sustava, stvari su se puno poboljšale, sada je to svijest korisnika, kao što sam rekao u prethodnim odgovorima, i to je još uvijek zeleno.

DxŠ: Pretpostavljam da cyber kriminalci svaki put to otežavaju (TOR, I2P, Freenet, steganografija, šifriranje, hitno samouništenje LUKS-a, proxy, čišćenje metapodataka itd.). Kako se ponašate u tim slučajevima kako biste pružili dokaze na suđenju? Postoje li slučajevi u kojima ne možete?

FN: Pa, ako je istina da stvari postaju složenije, a ima i slučajeva u kojima nisam uspio djelovati, a da nisam otišao dalje sa poznatim kriptolokerom, klijenti su me zvali tražeći moju pomoć i nismo bili u mogućnosti učiniti mnogo oko toga, kao što je poznato, to je ransomware koji je, koristeći prednost socijalnog inženjeringa, opet korisnik najslabija karika, šifrira sadržaj tvrdih diskova i vodi sve stručnjake za računalnu sigurnost, znanstvene jedinice policija, proizvođači sigurnosnih paketa i forenzički analitičar, još nismo u mogućnosti riješiti problem.
Na prvo pitanje, kako postupiti kako bismo ove probleme izveli na suđenje, pa kako postupamo sa svim dokazima, mislim, s profesionalnom etikom, također sofisticiranim alatima, znanjem o znanosti i pokušavajući pronaći odgovore na pitanja koja u prvom pitanju, vrijednom suvišnosti koju sam objasnio, ne nalazim razliku, događa se da ponekad ti odgovori nisu pronađeni.

DxŠ: Biste li preporučili tvrtkama da se prebace na Linux? Zašto?

FN: Ne bih rekao toliko, mislim, mislim da ako imam nešto bez licence koje mi pruža iste usluge kao nešto što košta novac, zašto bih to trošio? Drugo je pitanje da mi nije pružalo iste usluge , ali, je li to ako se dogodi. Linux je operativni sustav koji je rođen iz perspektive mrežne usluge i nudi slične značajke kao i ostale platforme na tržištu, to je razlog što su ga mnogi odabrali sa svojom platformom da bi, na primjer, ponudili web uslugu , ftp itd., svakako ga koristim, i to ne samo za korištenje forenzičkih distro-a, već kao poslužitelj u svom centru za obuku, na svom laptopu imam Windows jer je licenca ugrađena u uređaj, čak i zato bacam puno virtualizacija Linux .
Kao odgovor na pitanje, Linux ne košta, sve je veći broj aplikacija koje se pokreću na ovoj platformi, a sve više razvojnih tvrtki proizvodi proizvode za Linux. S druge strane, iako nije bez zlonamjernog softvera, broj zaraza je manji, to zajedno s fleksibilnošću koju vam daje platforma da se poput rukavice prilagodite potrebama, daje joj, po mom mišljenju, dovoljno snage da bude Prvi izbor svake tvrtke i najvažnije od svega, svatko može provjeriti što softver radi, a da ne spominjemo da je sigurnost jedna od njegovih prednosti.

DxŠ: Trenutno postoji vrsta računalnog rata u kojem također sudjeluju vlade. Vidjeli smo zlonamjerni softver poput Stuxneta, Starsa, Duqua itd., Koji su vlade stvorile za određene svrhe, kao i zaraženi firmware (na primjer, ploče Arduino s njihovim modificiranim firmwareom), "špijunske" laserske pisače itd. Ali čak ni hardver ne bježi od toga, pojavili su se i modificirani čipovi koji, pored zadataka za koje su očito dizajnirani, uključuju i druge skrivene funkcionalnosti itd. Čak smo vidjeli pomalo lude projekte kao što su AirHopper (vrsta radio-valnog keyloggera), BitWhisper (toplinski napadi radi prikupljanja podataka od žrtve), zlonamjerni softver koji se može širiti zvukom, ... Pretjerujem li ako kažem da jesu više niste sigurni ili računala nisu povezana s bilo kojom mrežom?

FN: Kao što sam već komentirao, najsigurniji sustav je onaj koji je isključen, a neki kažu da je zaključan u bunkeru, čovječe ako je odspojen, mislim da je i sasvim siguran, ali to nije pitanje, mislim, po mom mišljenju pitanje nije količina postojećih prijetnji, sve je više uređaja koji su međusobno povezani, što podrazumijeva veći broj ranjivosti i računalnih napada različitih vrsta, koristeći, kao što ste dobro izrazili u pitanju, različite pukotine i napadači, ali mislim da ne. Moramo problem usmjeriti na prekid veze kako bismo bili sigurni, moramo se usredotočiti na osiguranje svih usluga, uređaja, komunikacija itd., kao što sam već spomenuo, iako je istina da je broj prijetnji veliko, ne manje je istina da broj sigurnosnih tehnika nije ništa manje velik, nedostaje nam ljudski faktor, osvješćivanje i sigurnosna obuka, ništa više i naši će problemi, čak i povezani, biti manji.

DxŠ: Završavamo s osobnim mišljenjem i kao sigurnosni stručnjak koji ovi sustavi zaslužuju, mogli biste nam dostaviti i podatke o kojima je teže osigurati i pronaći više sigurnosnih rupa:

Što se tiče pitanja od milijun dolara, koji je sustav najsigurniji, odgovor je dan prije, nijedan nije 100% siguran da je povezan s mrežom.
Windows ne zna svoj izvorni kod, stoga nitko ne zna točno što čini ili kako to radi, osim programera, naravno. Izvorni kod Linuxa poznat je i, kao što sam rekao, sigurnost je jedna od njegovih jakih strana, protiv toga je što je manje prijateljski raspoložen i ima mnogo distro-a. Od Mac OS-a, njegova jača strana, minimalizam koji se vraća na produktivnost, idealan je sustav za početnike. Iz svih ovih razloga, po mom mišljenju najteži je osigurati Windows, unatoč činjenici da najnovija istraživanja otkrivaju da je on onaj s najmanje ranjivosti, osim vašeg preglednika. Po mom mišljenju nema smisla reći da je ovaj ili onaj operativni sustav manje ili više ranjiv, moraju se uzeti u obzir svi čimbenici na koje to utječe, ranjivosti, instalirane aplikacije, njegovi korisnici itd. Nakon što se uzme u obzir sve gore navedeno, smatram da bi sustavi trebali biti ojačani svim vrstama sigurnosnih mjera, općenito i primjenjivih na bilo koji sustav, a utvrđivanje istih moglo bi se sažeti u ove osnovne točke:

  • Ažuriranje: Uvijek ažurirajte ovu točku u sustavu i svim programima koji koriste mrežu.
  • Lozinke moraju biti odgovarajuće, mislim, s najmanje 8 znakova i velikim rječnikom.
  • Sigurnost na obodu: Dobar vatrozid i IDS ne bi naštetili.
  • Nema otvorenih priključaka koji ne nude aktivnu i ažuriranu uslugu.
  • Napravite sigurnosne kopije prema potrebama svakog slučaja i čuvajte ih na sigurnim mjestima.
  • Ako radite s osjetljivim podacima, šifriranje istih.
  • Šifriranje komunikacija također.
  • Obuka i svijest korisnika.

Nadam se da vam se svidio ovaj intervju, nastavit ćemo raditi više. Cijenimo što ste ostavili svoje mišljenja i komentari...


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

      Raul P. dijo

    Intervju mi ​​se svidio.

      DA AC dijo

    Pa, ključni faktor. Korisnik.

    Sustav je također deterministički. U ezoteriji Windowsa mislim da je to ključ. Za razliku od Linuxa koji zahtijeva vrijeme. Ovo uopće nije prevedeno, ali Linuxu daje bonus.

      Jose Rojas dijo

    Zanimljivo sve podignuto. Želio bih znati nešto više o Helixu i njegovoj korisnosti