Il 30 luglio 2024 è stata pubblicata per il download gratuito la nuova release della live distro d’informatica forense “Tsurugi” nella versione lab 2024.1 (da 16.7G) e in macchina virtuale (da 33.7G). Strumento spesso essenziale per chi si occupa d’informatica forense, la forensic distro Tsurugi è da anni – insieme alla distribuzione Caine Linux – una delle più utilizzate in ambito digital forensics.
Tsurugi Linux è una distribuzione Linux orientata all’informatica forense, live forensics, incident response e malware analysis potente e versatile. progettata specificamente per le indagini forensi digitali. Offre una suite completa di strumenti preinstallati che soddisfano varie necessità dei consulenti informatici forensi, tra cui acquisizione forense dei dati, analisi della memoria e analisi forense del traffico di rete. Una delle sue caratteristiche distintive è la capacità di funzionare come un sistema live, consentendo agli investigatori digitali di analizzare e acquisire dati senza alterare lo stato della macchina di destinazione, garantendo l’integrità delle prove.
Tsurugi Linux è altamente personalizzabile, con diversi moduli su misura per specifiche esigenze forensi, come l’analisi di sistemi Windows, dispositivi mobili o la conduzione di indagini su malware. Tsurugi eccelle anche nell’analisi forense di rete e memoria, offrendo strumenti per acquisire e analizzare il traffico di rete e la memoria volatile, che sono cruciali nei moderni casi forensi.
La sua natura open source rende Tsurugi un’opzione ottimale e la sua struttura modulare consente agli investigatori forensi di creare un ambiente di acquisizione e analisi mirato e semplificato.
Grazie a una community solida, a una documentazione esaustiva e alla compatibilità con altri strumenti forensi, Tsurugi Linux è una risorsa indispensabile per i professionisti dell’informatica forense che cercano una piattaforma investigativa solida e sicura.
La forensic distro Tsurugi è scaricabilegratuitamente dalla pagina dei download del sito ufficiale Tsurugi-Linux, il software è gratuito e – come ricordano gli sviluppatori – viene distribuito AS IS GNU sotto la General Public License senza alcuna garanzia.
Le modifiche presenti nella versione di Linux Tsurugi disponibile per il download rispetto a quella versione del 22 dicembre 2023 sono le seguenti e si ricavano dal changelog pubblicato sul sito ufficiale:
Nuovo Kernel 6.9.3 personalizzato
Aggiornamento totale del sistema
Aggiornamenti Firmware
Correzione di errori minori
Correzione di Volatility
Nuovi strumenti e tool aggiunti al menù
Menù aggiornati
Purtroppo la dimensione di quasi 17 GB non rende la distribuzione forense ideale per attività informatiche forensi sul campo, ad esempio per copie forensi, acquisizione RAM, triage e preview, essendo poco proponibile caricarla in RAM e richiedendo più spazio e tempo per l’esecuzione. È ovviamente ideale per l’installazione in locale o per utilizzare uno dei migliaia di strumenti messi a disposizione dagli sviluppatori. Attendiamo quindi con ansia l’uscita della versione Tsurugi Acquire, più agevole per permettere di eseguire copie forensi di supporti digitali, essendo di dimensione ridotta e offrendo compatibilità massima con i sistemi sui quali può essere avviata la distribuzione linux.
Il team Tsurugi ha pubblicato la versione 2020.5 del 21 maggio 2020 del toolkit per DFIR “Bento”, ormai parte fondamentale della suite di security, malware analysis e digital forensics Tsurugi Linux.
La raccolta di strumenti per la digital forensics e incident response viene distribuita per il download in un archivio 7z “bento_2020.5.7z” pubblicato su diversi link ospitati nei vari mirror Tsurugi.
Bento è un insieme di software per portabili (che quindi non richiedono installazione) principalmente per Windows ma con alcuni strumenti anche per Linux e Mac OS, raccolti e finalizzati a un uso in ambito digital forensics e incident response in modalità live, cioè con il sistema operativo Windows, Mac OS o Linux avviato.
Durante le indagini digitali preliminari sulla scena del crimine, Bento permette a coloro che intervengono per primi di gestire in modo veloce e sicuro le principali attività di risposta all’incidente informatico, come identificazione, triage, preview, estrazione, raccolta delle informazioni, acquisizione e conservazione delle evidenze digitali.
Importante distinguere Bento dalla distribuzione forense Tsurugi Linux perché Bento è destinato a un utilizzo “a caldo” sul sistema, cioè con il sistema avviato e quindi in attività d’incident response, per procedure di triage, preview, preanalisi, analisi sul campo e acquisizione preliminare di prove informatiche. Tsurugi Linux è una distribuzione forense che permette invece l’avvio in live su un PC senza che questo esegua il sistema operativo su di esso installato, non andando quindi in alcun modo ad alterare il contenuto di eventuali dischi collegati al sistema e permettendo di fare copie forensi dei dati e dei dispositivi senza alterarne il contenuto. L’utilizzo di Bento in attività di Digital Response e Digital Forensics in ambito di perizia informatica forense va sempre quindi pesato in base alla necessità di preservare o meno prove digitali e all’esigenza temporale di ottenere dati per un triage veloce e immediato sul campo.
Si ricorda che alcuni software presenti nella collezione Bento per Digital Forensics e Incident Reponse possono essere identificati dagli antivirus come malevoli, in realtà sono strumenti d’informatica forense, pentest, hacking, password recovery o simili che diversi produttori di antimalware considerano dannosi o potenzialmente pericolosi ma sono ampiamente utilizzati in ambito di computer e network security.
Alcuni software, per quanto gratuiti e scaricabili pubblicamente dai siti dei produttori, non possono essere distribuiti all’interno della raccolta Bento, vengono perciò incluse nell’archivio 7Z alcune procedure che permettono di scaricare in modo veloce e integrare nella suite gli strumenti che non sono stati inseriti.
Con un tweet dall’account ufficiale il Team Tsurugi ha fatto sapere che da oggi è disponibile per il download la nuova release della distribuzione per informatica forense, incident response, OSINT e malware analysis “Tsurugi Linux Lab” in versione 2019.1.
Nove mesi dopo la pubblicazione della prima versione della distribuzione Tsurugi Linux – dal nome giapponese ma prodotta da un team di sviluppatori italiani – è scaricabile la versione “Lab” della suite Tsurugi con grandi novità, ottimizzazione di spazio occupato e memoria, maggiore velocità di esecuzione e bugfix.
Di rilevanza la sezione “Computer Vision“, curata da Antonio Broi, con la suite di “face recognition” e “object detection” dedicata al riconoscimento automatico di volti umani e oggetti. La sezione “Computer Vision” è raggiungibile dal menù “TSURUGI->Picture Analysis->Computer Vision” e contiene diversi tool per riconoscimento facciale e di oggetti, configurati e pronti per l’uso.
Anche la sezione OSINT della suite Tsurugi è stata arricchita con decine di tool e strumenti per attività di Open Source Intelligence, configurati e pronti per l’utilizzo immediato, così da far risparmiare tempo a chi intende utilizzarli senza doverli scaricare, testare, configurare e installare.
Ricordiamo che l’opzione OSINT Switcher – presente sia nel menù sia sul desktop – oscura temporaneamente da Tsurugi le voci di menù relative a digital forensics, incident response e malware analysis, lasciando esclusivamente i menù OSINT, Artifacts Analysis, Network Analysis, Picture Analysis, Crypto Currency e Other Tools, modificando anche lo sfondo del desktop per rendere evidente il passaggio alla modalità “OSINT”.
Anche i menù dedicati alla digital forensics e incident response sono degni di nota, disposti indicativamente nell’ordine tipico con il quale si procede durante un’indagine informatica: Imaging, Hashing, Mount, Timeline, Artifacts Analisys, Data Recovery, Memory Forensics, Malware Analysis, Password Recovery, Network Analysis, Picture Analysis, Mobile Forensics, Cloud Analysis, Virtual Forensics, Crypto Currency, Other Tools e Reporting.
Nella sezione “Imaging” sono contenuti i tool per eseguire immagini, copie e acquisizioni forensi, con strumenti come Guymager, ewfacquire, dcfldd, dc3dd, esximager, cyclone, la suite afflib ed ewftools e gli strumenti per recupero dati come ddrescue e dd_rescue. Nella sezione “Hashing” osserviamo i tradizionali tool per generare diversi tipi di hash, inclusi i fuzzy hash mediante il tool “ssdeep”, utili quando gli oggetti da confrontare non sono proprio identici bit a bit. Nella sezione “Mount” risiedono i programmi per montare diversi filesystem e dispositivi, incluse macchine virtuali disci cifrati con bitlocker, shadow copy, il nuovo filesystem di Apple APFS e il coltellino svizzero xmount, che permette di montare – anche in modalità read-write – immagini forensi e convertirle “on the fly”. Il menù “Timeline” contiene i vari software per generare timeline e supertimeline con PLASO, log2timeline, TimeSketch, Yarp-timeline e il “The Sleuth Kit”, provvisto di tutti i tool da linea di comando oltre che della versione “Autopsy” con interfaccia grafica. La voce “Artifacts Analysis” è suddivisa per tipologia di artefatto e sistema operativo, spaziando da Mac/Apple a Boot Code, Browser, Email, Files, File System Google Takeout, Jump List, Metadata, Office Documents, P2P, Registry, Trash e Windows Logs. Decine di tool per esaminare artefatti EXIF ma anche tracce lasciate dagli strumenti di File Sharing Peer to Peer come Torrent ed Emule, registro, cestino, jump list ed eventi di Windows. “Data Recovery” contiene un’intera collezione di tool e script per il recupero dati, immagini, filesystem e artefatti con tool come Bulk Extractor e la sua GUI BEViewer, foremost, scalpel, photorec con la GUI qphotorec, testdisk, RecuperaBit e tanti altri. La sezione “Memory Forensics” raccoglie strumenti per acquisizione e analisi/parsing della RAM come lime, rekall, volatility e tanti altri. “Malware Analysis” è una categoria a sé, con diversi sottomenù contenenti strumenti per analisi di binari, debugger, decoder, analisi Flash, Java e Javascript, memoria, Office e PDF, sandbox, scanner e XOR e tantissimi altri strumenti. Il menù “Password Recovery” contiene tool per recuperare e decifrare/forzare password di file, archivi, pdf, wifi e persino wallet Bitcoin. La sezione “Network Analysis” contiene tutti gli strumenti utili per lavorare in rete e analizzare la rete, a partire da strumenti per raccolta e analisi log, PCAP, portscan, hping, map, scapy, ssldump, torify, Zenmap e tanti altri. Il menù “Picture Analysis” raccoglie strumenti per analisi forensi su immagini, steganografia, analisi exif ma anche la sottosezione “Computer Vision”. La categoria “Mobile Forensics” raccoglie invece tutti gli strumenti utili per acquisizioni e analisi di smartphone e cellulari, suddivisi per sistema operativo con tool per acquisire analizzare iPhone, iPad e tablet Apple con iOS, Android e Blackberry, con alcuni tool per parsing e analisi dei database Whatsapp e un browser per database SQLite, sempre utile quando si analizza il contenuto di copie forensi di smartphone. La voce “Cloud Analysis” contiene strumenti per cloud forensics o analysis, con tool come aws_ir e aws_respond, sshfs, s3fs, margaritashotgun e Turbinia. “Virtual Forensics” contiene i tool per analisi forense e conversione di macchine virtuali in diversi formati, oltre a docker. La sezione “Crypto Currency” contiene strumenti per attività di bitcoin forensics, utili ad esempio per generare, aprire, analizzare wallet Bitcoin, ricercare indirizzi bitcoin, transazioni, chiavi private su copie forensi o hard disk e forzare password dei più svariati wallet. La sezione “Other Tools” contiene strumenti non classificabili direttamente nelle sezioni precedenti, come tool per NFC, strumenti di auditing come Lynis, multidiff, TCHunt-ng o USBGuard. Infine, la sezione “Reporting” contiene software utile per la parte di raccolta delle evidenze, reportistica e redazione della relazione tecnica forense.
Fuori dal menù TSURUGI sono presenti strumenti di word processing e fogli di calcolo con tutta la suite LibreOffice, strumenti di grafica, analisi video, foto e audio, VPN, Remote Desktop e centinaia di tool di uso comune in ambito di computer e digital forensics, incident response, OSINT e malware analysis.
Altre feature spesso sottovalutate sono la tastiera e il mouse virtuale, che permettono di utilizzare la distribuzione live anche su dispositivi con porte USB occupate, poche porte USB (es. il Macbook Air con una sola porta USB) e indisponibilità di hub o su piattaforme dove mouse e tastiera hardware non vengono correttamente riconosciuti.
Da segnalare infine – elemento essenziale per attività di digital forensics – come dalla release di Tsurugi Linux Lab 2019.1 viene assicurata la funzionalità di write blocking anche nella versione installata, che nella release precedente era prerogativa solamente della distribuzione avviata in modalità “live”.
La suite Tsurugi è prodotta attraverso lo sviluppo di tre diversi componenti, tutti distribuiti gratuitamente, scaricabili dal sito Tsurugi-Linux.org e progettati per diverse esigenze:
Tsurugi Acquire (versione a 32 bit, limitata ai soli tool per acquisizione forense e triage/live preview, ideale per avvio in ram tramite modalità kernel “toram”);
Bento (portable toolkit per DFIR, raccolta di strumenti per attività di digital forensics e incident response).
La nuova release 2019.1 di Tsurugi Lab è scaricabile liberamente dal sito ufficiale Tsurugi Linux, direttamente dalla pagina Downloads alla quale si trovano i vari mirror. L’immagine ISO tsurugi_lab_2019.1.iso ha dimensione 4,152,360,960 byte e si può avviare in macchina virtuale, installare sul disco di un PC, masterizzare su DVD o riversare su pendrive USB tramite i tool UnetBootIn o Rufus.
Rispetto all’edizione precedente, ci sono novità anche nel Team Tsurugi, che dal 2019 vede nello staff, oltre a Giovanni Rattaro, Marco Giorgi e Davide Gabrini anche Francesco Picasso, Massimiliano Dal Cero e Antonio Broi.
Consigliamo, dopo il download della ISO di Tsurugi Lab, di verificare la signature GPG “tsurugi_lab_2019.1.iso.sha256.sig” del file contenente il valore hash SHA256 “tsurugi_lab_2019.1.iso.sha256” apposta dal Team Tsurugi tramite la chiave pubblica ufficiale del “tsurugi_linux_pub_key_BC006C0D.asc“, con il seguente procedimento:
E’ importante ottenere il seguente messaggio di conferma di validità della firma GPG, per essere certi che l’immagine ISO scaricata si quella originale prodotta dagli sviluppatori:
gpg: Good signature from "Tsurugi Linux Core Develop <[email protected]>" [sconosciuto] gpg: aka "Tsurugi Linux info <[email protected]>" [sconosciuto]
E’ comunque sempre possibile – per quanto il procedimento migliore sia la verifica della firma gpg – calcolare i valori hash MD5 e SHA256 dell’immagine in download e verificarli rispetto a una fonte affidabile, che dovrebbe essere in generale il sito degli sviluppatori o frutto di una ricerca su Google.
Il 9 novembre 2019 avrò luogo a Bologna la tredicesima (!) edizione della conferenza HackInBo, evento totalmente gratuito sulla sicurezza informatica che si tiene almeno due volte l’anno a Bologna. Come ogni anno, gli interventi verranno selezionati tra coloro che si candidano alla call for papers da una commissione composta da Stefano Zanero, Paolo Dal Checco, Mattia Epifani, Gianluca Varisco, Carola Frediani, Francesca Bosco oltre ovviamente all’organizzatore dell’evento Mario Anglani.
Gli argomenti sui quali possono essere proposti gli interventi da parte dei candidati relatori sono: Web Application, IoT, Malware Analysis, Security, Digital Forensics, Phishing, Reverse Engineering, Crittografia, Mobile Security, Networking, Automotive, Critical Infrastructure, OSINT, Cryptocurrencies, Social engineering o qualunque argomento possa essere d’interesse per una comunità di esperti o semplici appassionati di sicurezza, informatica forense, automotive, OSINT e criptomonete.
Gli interventi aventi carattere innovativo o inedito avranno la priorità. Non saranno presi in considerazione, nel modo più assoluto, interventi mirati alla promozione di tecnologie commerciali specifiche, servizi commerciali e affini. Sarà valutata positivamente la completezza della proposta e delle informazioni di accompagnamento, così come l’esperienza del relatore o la sua partecipazioni ad altri eventi riguardanti la sicurezza delle informazioni.
Le date importanti per la call for papers sono le seguenti:
17 Giugno 2019: Apertura CFP
31 Agosto 2019: Chiusura CFP
9 Settembre 2019: Data entro la quale saranno avvertiti i relatori
9 Novembre 2019: Evento HackInBo a Bologna
Chi è interessato a candidarsi come relatore può cliccare sul seguente link e partecipare alla call for papers di HackInBo 2019.
DEFT XVA, la tanto attesa versione X della piattaforma di analisi forense e investigazioni digitali DEFT Linux è disponibile per il download, sotto forma di disco virtuale importabile su VMWare o VirtualBox e contenente strumenti per attività di analisi forense in ambito d’informatica forense e indagini digitali.
Basata su Ubuntu Mate 18.04, con il kernel in versione 4.15.0-36-generic, DEFT Linux X contiene una raccolta di tool free ed open source per l’analisi forense e indagini digitali, che vanno dall’estrazione artefatti, mount, data recovery, network forensics, hashing, OSINT, Imaging, password recovery, picture forensics, live forensics, malware analysis, timeline, virtual forensics, mobile forensics, wipe, mount manager e per concludere Autopsy.
DEFT XVA, ultima piattaforma della suite DEFT Linux, componente strategica di ogni consulente informatico forense, non viene avviata con utente root autenticato sul sistema ma con lo user “investigator”, la cui password di default è “investigator”. In ambito di perizia informatica forense, una distribuzione come DEFT Linux può essere utile per eseguire attività di analisi forense delle evidenze e produrre una relazione tecnica contenente le risultanze della propria attività d’indagine digitale sui dati ottenuti tramite copia forense, eseguita ad esempio tramite la versione ridotta della piattaforma DEFT, chiamata DEFT Zero e disponibile da settembre nella versine 2018.2.
Su DEFT XVA, per montare in lettura o scrittura dispositivi di archiviazione di massa (hard disk, pendrive, schede di memoria, etc…) sono disponibili sia l’interfaccia grafica di mount manager, sia i comandi “wrtblk” e “wrtblk-disable” già presenti da anni sulla piattaforma DEFT Zero.
Si ricorda infatti che DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.
Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).
Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.
I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:
“blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
“blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.
Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.
Il download della virtual appliance DEFT X può essere eseguito gratuitamente tramite il mirror GARR (spesso non funzionante) oppure tramite la piattaforma di file sharing Mega. Purtroppo la dimensione del file contenente la VA è notevole, il file compresso “DeftXva.1.zip” che si scarica dal mirror GARR e da Mega occupa ben 13 GB e contiene un disco virtuale VMDK da 36 GB.
L’archivio ZIP “DeftXva.1.zip” che si ottiene al seguito del download contenente la macchina virtuale DEFT XVA produce i seguenti valori hash:
Al suo interno è contenuto un disco virtuale VMDK, che è necessario importare in una macchina virtuale creata, ad esempio, tramite VMWare oppure VirtualBox.
