Da oggi è disponibile per il download la nuova versione della Live Distro per Digital Forensics “Tsurugi Acquire” in versione 2021.1, soluzione ideale in ambito d’informatica forense per eseguire copie forensi e cristallizzazione di evidenze digitali.
Tsurugi Acquire è una distribuzione forense – prodotta dal Team Tsurugi – progettata in modo da occupare poco spazio sia su disco sia in RAM e quindi molto veloce da caricare al boot sui sistemi che supportano l’avvio da CDROM, DVD o USB. Si tratta in sostanza di una versione ridotta di Tsurugi Linux Lab alla quale sono stati rimossi tutti gli strumenti non necessari in fase di triage e copia forense, pensata per essere supportata sulla maggior parte dei dispositivi (PC, Macbook, Netbook, Tablet, etc…) e architetture che supportano il boot di un OS esterno a 32 bit in attività di triage, eDiscovery, copia forense e cristallizzazione dei dati per utilizzo in Tribunale a uso legale, ad esempio durante CTP o CTU informatiche o per la redazione di perizie tecniche forensi.
Grazie alla esigua dimensione, la forensic distro Tsurugi Lab è in grado di essere avviata e caricata direttamente in RAM (utilizzando l’opportuna selezione al boot o passando il parametro “toram” al kernel) in modo tale da velocizzare le operazioni e liberare una porta USB, essenziale ad esempio quando si acquisiscono in maniera forense dispositivi con una sola porta disponibile.
La distro forense Tsurugi Acquire Live 2021.1 è basata su distribuzione Linux Debian 10 con kernel patch 5.11.6 a 32 bit in modo da poter garantire la massima compatibilità anche con dispositivi obsoleti.
Nella forensic distro Tsurugi Linux Acquire è presente un sistema di risoluzione automatica della risoluzione dello schermo, in modo tale da poter adattare la dimensione delle icone e dei menu anche ai dispositivi Retina e agli schermi con risoluzione 4k.
La distribuzione Tsurugi Acquire Live 2021.1 è scaricabile dal sito ufficiale Tsurugi Linux, consigliamo sempre di verificare il valore hash delle versioni in download, scaricando anche la hash list e la relativa firma digitale, eseguita tramite la chiave pubblica del Team Tsurugi, scaricabile sempre al sito alla pagina download.
Il valore SHA256 della versione Linux Tsurugi Acquire 2021.1, salvata nel file “tsurugi_acquire_2021.1.iso”, è il seguente:
Il team Tsurugi ha pubblicato la versione 2020.5 del 21 maggio 2020 del toolkit per DFIR “Bento”, ormai parte fondamentale della suite di security, malware analysis e digital forensics Tsurugi Linux.
La raccolta di strumenti per la digital forensics e incident response viene distribuita per il download in un archivio 7z “bento_2020.5.7z” pubblicato su diversi link ospitati nei vari mirror Tsurugi.
Bento è un insieme di software per portabili (che quindi non richiedono installazione) principalmente per Windows ma con alcuni strumenti anche per Linux e Mac OS, raccolti e finalizzati a un uso in ambito digital forensics e incident response in modalità live, cioè con il sistema operativo Windows, Mac OS o Linux avviato.
Durante le indagini digitali preliminari sulla scena del crimine, Bento permette a coloro che intervengono per primi di gestire in modo veloce e sicuro le principali attività di risposta all’incidente informatico, come identificazione, triage, preview, estrazione, raccolta delle informazioni, acquisizione e conservazione delle evidenze digitali.
Importante distinguere Bento dalla distribuzione forense Tsurugi Linux perché Bento è destinato a un utilizzo “a caldo” sul sistema, cioè con il sistema avviato e quindi in attività d’incident response, per procedure di triage, preview, preanalisi, analisi sul campo e acquisizione preliminare di prove informatiche. Tsurugi Linux è una distribuzione forense che permette invece l’avvio in live su un PC senza che questo esegua il sistema operativo su di esso installato, non andando quindi in alcun modo ad alterare il contenuto di eventuali dischi collegati al sistema e permettendo di fare copie forensi dei dati e dei dispositivi senza alterarne il contenuto. L’utilizzo di Bento in attività di Digital Response e Digital Forensics in ambito di perizia informatica forense va sempre quindi pesato in base alla necessità di preservare o meno prove digitali e all’esigenza temporale di ottenere dati per un triage veloce e immediato sul campo.
Si ricorda che alcuni software presenti nella collezione Bento per Digital Forensics e Incident Reponse possono essere identificati dagli antivirus come malevoli, in realtà sono strumenti d’informatica forense, pentest, hacking, password recovery o simili che diversi produttori di antimalware considerano dannosi o potenzialmente pericolosi ma sono ampiamente utilizzati in ambito di computer e network security.
Alcuni software, per quanto gratuiti e scaricabili pubblicamente dai siti dei produttori, non possono essere distribuiti all’interno della raccolta Bento, vengono perciò incluse nell’archivio 7Z alcune procedure che permettono di scaricare in modo veloce e integrare nella suite gli strumenti che non sono stati inseriti.
Con un tweet dall’account ufficiale il Team Tsurugi ha fatto sapere che da oggi è disponibile per il download la nuova release della distribuzione per informatica forense, incident response, OSINT e malware analysis “Tsurugi Linux Lab” in versione 2019.1.
Nove mesi dopo la pubblicazione della prima versione della distribuzione Tsurugi Linux – dal nome giapponese ma prodotta da un team di sviluppatori italiani – è scaricabile la versione “Lab” della suite Tsurugi con grandi novità, ottimizzazione di spazio occupato e memoria, maggiore velocità di esecuzione e bugfix.
Di rilevanza la sezione “Computer Vision“, curata da Antonio Broi, con la suite di “face recognition” e “object detection” dedicata al riconoscimento automatico di volti umani e oggetti. La sezione “Computer Vision” è raggiungibile dal menù “TSURUGI->Picture Analysis->Computer Vision” e contiene diversi tool per riconoscimento facciale e di oggetti, configurati e pronti per l’uso.
Anche la sezione OSINT della suite Tsurugi è stata arricchita con decine di tool e strumenti per attività di Open Source Intelligence, configurati e pronti per l’utilizzo immediato, così da far risparmiare tempo a chi intende utilizzarli senza doverli scaricare, testare, configurare e installare.
Ricordiamo che l’opzione OSINT Switcher – presente sia nel menù sia sul desktop – oscura temporaneamente da Tsurugi le voci di menù relative a digital forensics, incident response e malware analysis, lasciando esclusivamente i menù OSINT, Artifacts Analysis, Network Analysis, Picture Analysis, Crypto Currency e Other Tools, modificando anche lo sfondo del desktop per rendere evidente il passaggio alla modalità “OSINT”.
Anche i menù dedicati alla digital forensics e incident response sono degni di nota, disposti indicativamente nell’ordine tipico con il quale si procede durante un’indagine informatica: Imaging, Hashing, Mount, Timeline, Artifacts Analisys, Data Recovery, Memory Forensics, Malware Analysis, Password Recovery, Network Analysis, Picture Analysis, Mobile Forensics, Cloud Analysis, Virtual Forensics, Crypto Currency, Other Tools e Reporting.
Nella sezione “Imaging” sono contenuti i tool per eseguire immagini, copie e acquisizioni forensi, con strumenti come Guymager, ewfacquire, dcfldd, dc3dd, esximager, cyclone, la suite afflib ed ewftools e gli strumenti per recupero dati come ddrescue e dd_rescue. Nella sezione “Hashing” osserviamo i tradizionali tool per generare diversi tipi di hash, inclusi i fuzzy hash mediante il tool “ssdeep”, utili quando gli oggetti da confrontare non sono proprio identici bit a bit. Nella sezione “Mount” risiedono i programmi per montare diversi filesystem e dispositivi, incluse macchine virtuali disci cifrati con bitlocker, shadow copy, il nuovo filesystem di Apple APFS e il coltellino svizzero xmount, che permette di montare – anche in modalità read-write – immagini forensi e convertirle “on the fly”. Il menù “Timeline” contiene i vari software per generare timeline e supertimeline con PLASO, log2timeline, TimeSketch, Yarp-timeline e il “The Sleuth Kit”, provvisto di tutti i tool da linea di comando oltre che della versione “Autopsy” con interfaccia grafica. La voce “Artifacts Analysis” è suddivisa per tipologia di artefatto e sistema operativo, spaziando da Mac/Apple a Boot Code, Browser, Email, Files, File System Google Takeout, Jump List, Metadata, Office Documents, P2P, Registry, Trash e Windows Logs. Decine di tool per esaminare artefatti EXIF ma anche tracce lasciate dagli strumenti di File Sharing Peer to Peer come Torrent ed Emule, registro, cestino, jump list ed eventi di Windows. “Data Recovery” contiene un’intera collezione di tool e script per il recupero dati, immagini, filesystem e artefatti con tool come Bulk Extractor e la sua GUI BEViewer, foremost, scalpel, photorec con la GUI qphotorec, testdisk, RecuperaBit e tanti altri. La sezione “Memory Forensics” raccoglie strumenti per acquisizione e analisi/parsing della RAM come lime, rekall, volatility e tanti altri. “Malware Analysis” è una categoria a sé, con diversi sottomenù contenenti strumenti per analisi di binari, debugger, decoder, analisi Flash, Java e Javascript, memoria, Office e PDF, sandbox, scanner e XOR e tantissimi altri strumenti. Il menù “Password Recovery” contiene tool per recuperare e decifrare/forzare password di file, archivi, pdf, wifi e persino wallet Bitcoin. La sezione “Network Analysis” contiene tutti gli strumenti utili per lavorare in rete e analizzare la rete, a partire da strumenti per raccolta e analisi log, PCAP, portscan, hping, map, scapy, ssldump, torify, Zenmap e tanti altri. Il menù “Picture Analysis” raccoglie strumenti per analisi forensi su immagini, steganografia, analisi exif ma anche la sottosezione “Computer Vision”. La categoria “Mobile Forensics” raccoglie invece tutti gli strumenti utili per acquisizioni e analisi di smartphone e cellulari, suddivisi per sistema operativo con tool per acquisire analizzare iPhone, iPad e tablet Apple con iOS, Android e Blackberry, con alcuni tool per parsing e analisi dei database Whatsapp e un browser per database SQLite, sempre utile quando si analizza il contenuto di copie forensi di smartphone. La voce “Cloud Analysis” contiene strumenti per cloud forensics o analysis, con tool come aws_ir e aws_respond, sshfs, s3fs, margaritashotgun e Turbinia. “Virtual Forensics” contiene i tool per analisi forense e conversione di macchine virtuali in diversi formati, oltre a docker. La sezione “Crypto Currency” contiene strumenti per attività di bitcoin forensics, utili ad esempio per generare, aprire, analizzare wallet Bitcoin, ricercare indirizzi bitcoin, transazioni, chiavi private su copie forensi o hard disk e forzare password dei più svariati wallet. La sezione “Other Tools” contiene strumenti non classificabili direttamente nelle sezioni precedenti, come tool per NFC, strumenti di auditing come Lynis, multidiff, TCHunt-ng o USBGuard. Infine, la sezione “Reporting” contiene software utile per la parte di raccolta delle evidenze, reportistica e redazione della relazione tecnica forense.
Fuori dal menù TSURUGI sono presenti strumenti di word processing e fogli di calcolo con tutta la suite LibreOffice, strumenti di grafica, analisi video, foto e audio, VPN, Remote Desktop e centinaia di tool di uso comune in ambito di computer e digital forensics, incident response, OSINT e malware analysis.
Altre feature spesso sottovalutate sono la tastiera e il mouse virtuale, che permettono di utilizzare la distribuzione live anche su dispositivi con porte USB occupate, poche porte USB (es. il Macbook Air con una sola porta USB) e indisponibilità di hub o su piattaforme dove mouse e tastiera hardware non vengono correttamente riconosciuti.
Da segnalare infine – elemento essenziale per attività di digital forensics – come dalla release di Tsurugi Linux Lab 2019.1 viene assicurata la funzionalità di write blocking anche nella versione installata, che nella release precedente era prerogativa solamente della distribuzione avviata in modalità “live”.
La suite Tsurugi è prodotta attraverso lo sviluppo di tre diversi componenti, tutti distribuiti gratuitamente, scaricabili dal sito Tsurugi-Linux.org e progettati per diverse esigenze:
Tsurugi Acquire (versione a 32 bit, limitata ai soli tool per acquisizione forense e triage/live preview, ideale per avvio in ram tramite modalità kernel “toram”);
Bento (portable toolkit per DFIR, raccolta di strumenti per attività di digital forensics e incident response).
La nuova release 2019.1 di Tsurugi Lab è scaricabile liberamente dal sito ufficiale Tsurugi Linux, direttamente dalla pagina Downloads alla quale si trovano i vari mirror. L’immagine ISO tsurugi_lab_2019.1.iso ha dimensione 4,152,360,960 byte e si può avviare in macchina virtuale, installare sul disco di un PC, masterizzare su DVD o riversare su pendrive USB tramite i tool UnetBootIn o Rufus.
Rispetto all’edizione precedente, ci sono novità anche nel Team Tsurugi, che dal 2019 vede nello staff, oltre a Giovanni Rattaro, Marco Giorgi e Davide Gabrini anche Francesco Picasso, Massimiliano Dal Cero e Antonio Broi.
Consigliamo, dopo il download della ISO di Tsurugi Lab, di verificare la signature GPG “tsurugi_lab_2019.1.iso.sha256.sig” del file contenente il valore hash SHA256 “tsurugi_lab_2019.1.iso.sha256” apposta dal Team Tsurugi tramite la chiave pubblica ufficiale del “tsurugi_linux_pub_key_BC006C0D.asc“, con il seguente procedimento:
E’ importante ottenere il seguente messaggio di conferma di validità della firma GPG, per essere certi che l’immagine ISO scaricata si quella originale prodotta dagli sviluppatori:
gpg: Good signature from "Tsurugi Linux Core Develop <[email protected]>" [sconosciuto] gpg: aka "Tsurugi Linux info <[email protected]>" [sconosciuto]
E’ comunque sempre possibile – per quanto il procedimento migliore sia la verifica della firma gpg – calcolare i valori hash MD5 e SHA256 dell’immagine in download e verificarli rispetto a una fonte affidabile, che dovrebbe essere in generale il sito degli sviluppatori o frutto di una ricerca su Google.
Disponibile per il download la versione 2018.2 di DEFT Zero, la distribuzione forense gratuita e open source dedicata all’acquisizione forense di sistemi x86 e x64 basata su Linux. Con dimensione di soli 650 MN, la live distro DEFT Zero può essere avviata anche su PC con poca memoria RAM, anche con il caricamento diretto in memoria così da poter garantire velocità e liberare, nel contempo, la porta USB o il lettore CD dal quale la distribuzione è stata avviata.
Le distribuzioni forensi vengono utilizzate quotidianamente da periti informatici e consulenti d’informatica forense per eseguire attività di acquisizione e analisi delle prove digitali finalizzate alla produzione in giudizio e utilizzo in Tribunale delle evidenze. I punti di forza delle live distro sono la completezza di strumenti, compatibilità con un gran numero di dispositivi e la componente open source che conferisce possibilità di esame in contraddittorio dei metodi utilizzati per le acquisizioni e analisi forensi da parte dei consulenti informatici forensi nella produzione delle perizie informatiche che vengono loro commissionate.
La forensic distro DEFT Zero 2018.2 supporta bios UEFI e secure boot, è basata su Lubuntu 14.04.5 LTS, Kernel Linux 4.4.0-53 e possiede la versione 0.8.8. di Guymager che fa uso della 20130416 di libewf. Sono presenti i tradizionali tool di hashing così come quelli indispensabili per eseguire copie forensi di hard disk e memorie di massa tra i quali spiccano Guymager, FTK Imager, dc4dd, dcfldd, ddrescue, dd_rescue ma anche la libreria “dislocker” per gestire dischi criptati con bitlocker e il tool per dischi e partizioni criptate VeraCrypt.
Le novità di questa versione sono il supporto ai nuovi Apple Macbook e Macbook Pro, con i dischi SSD nVME o PCIe che DEFT Zero è in grado di rilevare, montare o acquisire in maniera forense.
La password di root di DEFT Zero è sempre “deft”, nel caso in cui la GUI dovesse andare in crash, è possibile lanciarla e loggarsi utilizzando utente “root” e password “deft”, così da tornare in una interfaccia grafica utilizzabile.
Al boot DEFT Zero offre la possibilità di caricare il sistema in RAM (così da poter rimuovere, dopo l’avvio, la pendrive o il CD contenente la distribuzione forense) oppure di attingere al sistema dal supporto e, in caso di PC obsoleti, di non avviare l’interfaccia grafica attivando soltanto il terminale. Per i più esperti, sono disponibili tramite il tasto F6 ulteriori parametri di avvio, come “acpi=off”, “noapic”, “nolapic”, “edd=on”, “nodmraid”e “nomodeset”, utili ad esempio per l’avvio su sistemi con particolari schede grafiche, controller RAID o di gestione energia o su Macbook o iMac.
Di default, DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.
Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).
Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.
I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:
“blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
“blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.
Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.
Il download della distribuzione forense DEFT Zero, in versione 2018.2, è disponibile gratuitamente dal mirror GARR e il valore hash di controllo della ISO è cd410c27ac580f0efd1d7eab408b4edb. Si ricorda che la password di root di DEFT Zero è “root” e l’utente è “deft” e il file “deftZ-2018-2.iso” produce i seguenti valori hash:
Ricordiamo che la immagine ISO di DEFT Zero, una volta terminato il download, può essere masterizzata su di un CD (con qualunque software che supporti masterizzazione di ISO, come ImgBurn, CDBurnerXP o FreeISOburner) ma anche più comodamente riversata su di una pendrive USB che quindi può essere utilizzata per avviare il PC sul quale la piattaforma DEFT verrà caricata in live.
I software consigliati per riversare la ISO di DEFT Zero su pennetta USB sono UnetBootIn, Etcher e Rufus, disponibili per Windows, Mac o Linux, richiedono il percorso del file ISO contenente il download di DEFT Zero e ne salvano il contento su una pendrive USB rendendola avviabile dal sistema. E’ altresì possibile riversare DEFT Zero su una pendrive multibook, utilizzando strumenti come Sardu, Yumi o Easy2Boot.
Chi è interessato ad approfondire la lista dei pacchetti installati in DEFT Zero 2018.2 e i relativi numeri di versione, può trovarli al link Deft Zero 2018.2 packet list.
