Archivi tag: tsurugi lab

La distro forense Tsurugi Linux disponibile anche in macchina virtuale VM

Come annunciato dagli sviluppatori su Twitter, la distribuzione forense Tsurugi Linux è finalmente disponibile per il download in formato OVA per macchina virtuale, utilizzabile su qualunque piattaforma senza dover avviare l’immagine ISO in live o in VM.

La macchina virtuale Tsurugi VM rappresenta la versione VM dell distribuzione Tsurugi Linux, disponibile fino a oggi solamente in formato immagine ISO da masterizzare su DVD o riversare su pendrive tramite strumenti come Etcher, Rufus o UnetBootIn. La versione Tsurugi VM è distribuita in formato OVA ed è importabile sulle maggiori piattaforme di virtualizzazione come VirtualBox, VMWare Workstation/Player/Fusion o Parallels.

Lo sviluppo della VM di Tsurugi Linux procede in parallelo con quello di Tsurugi Lab e Trusugi Acquire, anche se di volta in volta possono esserci piccoli aggiornamenti, ad esempio nella versione 2019.1 della macchina virtuale è stato aggiunto il tool per indagini e ricerche OSINT “Twint” e Python in versione 3.6 ma il prossimo aggiornamento di Tsurugi Linux rispecchierà anche queste modifiche.

  • Si ricorda che la macchina virtuale di una distribuzione d’informatica forense non è idonea per attività di copia forense o preview/triage dato che non può garantire il blocco da scrittura sui dispositivi connessi, avendo un’intermediario che è il sistema host sul quale va in esecuzione la macchina.

Tsurugi VM in macchina virtuale è scaricabile dal sito ufficiale nella sezione download. Si consiglia di eseguire la macchina virtuale impostando (non al primo avvio, però) una dimensione adeguata di RAM e processori, così da permetterne l’esecuzione fluida e senza rallentamenti. All’avvio, è possibile installare gli addons, guest additions o i guest tools per poter condividere file, ridimensionare lo schermo e utilizzare tutti i vantaggi della virtualizzazione.

Tsurugi Linux su macchina virtuale

Come al solito, consigliamo di verificare i valori hash con quelli riportati sul sito ufficiale o di validare la firma con chiave pubblica GPG degli sviluppatori.

Il file “TSURUGI_LINUX_2019.1.ova”, contenente la versione VM di Tsurugi Linux 2019.1 e disponibile per il download sul sito ufficiale di Tsurugi, produce i seguenti valori hash:

  • MD5: b9de3ad41caa04d618d04d81f644d496
  • SHA256: b83868e3b264fe7109250f3ccae9e69ebead2eb86f9909b36903270e86cb9480

Per utilizzare e avviare correttamente la macchina virtuale di Tsurugi Linux, vanno tenuti presenti alcuni aspetti:

  • è necessario innanzitutto operare l’importazione del file OVA su di una macchina virtuale, così da generare una VM avviabile in modo indipendente;
  • la password dell’utente “tsurugi” su host “forensiclab” della macchina virtuale Tsurugi Linux VM è “tsurugi”: per elevare la shell a root è necessario digitare “sudo su” e inserire tale password;
  • è necessario installare le guest additions, in base al proprio strumento di virtualizzazione: su VMWare, ad esempio, si possono installare le open-vm-tools e tramite “sudo apt-get open-vm-tools open-vm-tools-desktop” oppure le VMWare Tools tramite il menù Virtual Machine -> Install VMWare Tools;
  • la lingua preimpostata è inglese, con alcune applicazioni in francese, è quindi necessario operare a livello di terminal (con setxkbmap it oppure loadkeys it) oppure a livello di sistema (utilizzando l’icona a forma di tastiera sul desktop e accedendo a System -> Control Center -> Language Support per impostare la propria lingua;
  • le chiavi SSH del server sono state cancellate e per reimpostarle è sufficiente resettare la configurazione di openssh-server tramite il comando “sudo dpkg-reconfigure openssh-server”;
  • se la risoluzione del monitor è FULL HD (> 2.560 px) è disponibile uno script sul desktop chiamato “Hi-DPI Zoom” che provvede a regolare la dimensione dei font e delle icone;
  • se durante l’importazione del file OVA della Tsurugi VM in VMWare compaiono errori di conformità con le specifiche OVF, si possono ignorare, una volta insallate le VMWare Tools, il problema non si porrà.

Tsurugi Linux Lab - Digital Forensics Distro

Tsurugi Linux, la nuova distribuzione forense tutta italiana

Tsurugi Linux Forensics DistroUna nuova distribuzione forense si affaccia nel panorama italiano, per fornire strumenti e supporto durante le attività di perizia informatica svolte dai consulenti informatici forensi e degli esperti d’informatica forense che operano all’interno delle Forze dell’Ordine. A discapito del nome – che di italiano ha poco – la distribuzione “Tsurugi Linux” – scaricabile gratuitamente dal sito tsurugi-linux.org e con il logo mostrato qui a destra – è nata dalle tastiere di Giovanni ‘sug4r’ Rattaro e Marco ‘blackmoon’ Giorgi, che hanno realizzato le versioni “Tsurugi Lab” e “Tsurugi Acquire” con l’integrazione del lavoro svolto da Davide ‘rebus’ Gabrini, che ha realizzato la piattaforma “Bento”, distribuita sul sito di Tsurugi ma separata dal sistema mainstream.

La presentazione ufficiale della distro forense è avvenuta durante la conferenza AvTokio in Giappone, con il talk “TSURUGI Linux – the sharpest weapon in your DFIR arsenal” durante il quale l’autore della piattaforma, Giovanni Rattaro, ne ha illustrato le principali caratteristiche.

Tsurugi Linux ad AVTokio Conference in Giappone

L’autore Giovanni Rattaro ha messo a disposizione di tutti le slide proiettate durante la conferenza AvTokio, dove presenta il team di sviluppo e spiega alcune delle scelte implementative e delle potenzialità del sistema, suddiviso nelle tre componenti del progetto Tsurugi Linux, Tsurugi Acquire e Bento.

Come tutte le distribuzioni forensi basate su Linux, Tsurugi Linux è un ambiente costituito da un Sistema Operativo Linux  sviluppato in modo da poter essere avviato direttamente su di un computer in modalità “live”, senza intaccare il sistema preesistente sul PC, oppure installato sul disco di un proprio computer o ancora su di una macchina virtuale.

Il fine di una distribuzione forense è quello di fornire un ambiente di lavoro predisposto per attività operative di acquisizione forense e di analisi, con gli strumenti testati, aggiornati e pre-configurati in modo tale da non richiedere procedure d’installazione e, se possibile, con le proprietà di write-blocking atte a non impattare su eventuali dispositivi esistenti sul PC su cui si opera o connessi successivamente.

Tsurugi-Linux viene distribuita in due versioni distinte, con finalità diverse, integrate da una raccolta di strumenti destinati ad attività incident response:

  • Tsurugi Lab: piattaforma dedicata all’informatica forense (acquisizione e analisi), OSINT e analisi malware, avviabile direttamente su DVD o su pendrive, distribuita come ISO ma, potenzialmente, installabile su un PC o su di una macchina virtuale, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 64 bit;
  • Tsurugi Acquire: sistema dedicato alla sola fase di acquisizione forense, con possibilità di eseguire limitati triage e verifiche di copie forensi, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 32 bit per maggiore compatibilità con dispositivi obsoleti;
  • Bento: raccolta di tool per Windows, Mac e Linux, da utilizzare su sistemi accesi e avviati per attività d’incident response o analisi forense sul campo.

Quelli che sembrano, per ora, essere i punti di forza di questa nuova distribuzione forense sono i seguenti:

  • un menù completo di numerosissimi tool per la digital forensics e ordinato secondo i tipici step di un’analisi forense: imaging, hashing, mount, timeline, artifacts analysis, data recovery, memory forensics, malware analysis, password recovery, network analysis, picture analysis, mobile forensics, OSINT, virtual forensics, crypto currency, other tools e reporting, con gli strumenti riportati anche più di una volta nelle sezioni all’interno delle quali ha senso che vengano utilizzati;
  • un aggiornamento (che speriamo continui anche in futuro) alle versioni più recenti di kernel e driver (a supporto dei tipi più svariati di schede video, audio, SATA, IDE, RAID, etc…) per poter avviare il maggior numero di PC e possibili, anche obsoleti;
  • possibilità di utilizzare la distribuzione sia in modalità live, con garanzie di blocco scrittura sui dischi, inibizione dell’automount e possibilità di montare in sola lettura i dispositivi, sia d’installare la piattaforma di analisi forense su PC o su di una macchina virtuale;
  • riduzione della dimensione occupata dall’immagine della distribuzione forense, limitata a 3.8 GB per la versione “full” Tsurugi Lab e poco più di 1GB per la versione “light” Tsurugi Acquire;
  • un team di sviluppo pronto a integrare nuovi strumenti di acquisizione e analisi;
  • una comunità che già pochi giorni dopo la pubblicazione sta crescendo in modo esponenziale, non soltanto in Italia ma anche in tutto il resto del mondo, e che sta pubblicando articoli sulla piattaforma e integrandola con script per configurare nuovi applicativi.

Tsurugi Linux entra in un contesto nel quale esistono già diverse distribuzioni dedicate all’informatica forense, a partire dalle ottime DEFT Linux (declinata nelle due versioni DEFT XVA come Virtual Appliance e DEFT Zero per le acquisizioni forensi) e CAINE, entrambe italiane, per arrivare alle straniere Paladin, Raptor e SIFT, ma anche in misura minore Kali Linux, Parrot e BackBox.

Ogni distro forense ha diverse modalità operative, strumenti, aggiornamenti e driver, per questo motivo il consiglio è di tenere una copia di tutte le distribuzioni d’informatica forense e utilizzarle in base al contesto. Non di rado, infatti, su particolari hardware una live distro risulta compatibile mentre un’altra non lo è, oppure una riesce a portare a termine un’attività di copia forense e l’altra può avere dei problemi.

Di seguito riportiamo alcune screenshot rappresentative di Tsurugi Linux, iniziando dalle scelte di avvio di Tsurugi Lab che al boot permette di avviare la forensic distro con interfaccia grafica attingendo alla pendrive/DVD che deve quindi rimanere inserita oppure caricandone il contenuto in RAM e permettendone quindi la rimozione, disabilitando in caso di necessità la grafica operando su display testuale. In caso di problemi al boot, è possibile disabilitare i driver nVidia e ATI, che su alcuni notebook interrompono l’avvio o non permettono di caricare l’interfaccia grafica.

Distribuzione Forense Tsurugi Linux e Boot

La schermata di Tsurugi Linux in versione Lab Edition contiene l’icona per l’installazione su PC o Macchina Virtuale, un OSINT Switcher, un Device Unlocker  e le informazioni in tempo reale sul sistema (RAM, CPU, rete, upload/download, etc…).

Tsurugi Linux Lab - Digital Forensics Distro

Novità per una distribuzione forense è l’introduzione di una sezione di Crypto Currency Forensics, in particolare bitcoin forensics, dedicata alle indagini digitali sulle criptomonete, con software come BTCRecover, BTCScan, BX Bitcoin Explorer, BitAddress, Bitcoin Bash Tools, Bitcoin-Tool, Bruteforce-Wallet, CoinBin, KeyHunter ed il wallet Electrum, che è possibile utilizzare anche in combinazione con la rete anonima Tor.

Bitcoin Forensics con Tsurugi LinuxPer chi desidera operare in ambito di ricerche online mediante tecniche OSINT, è disponibile il Tsurugi OSINT Profile Switcher, che disabilita i menù contenenti i tool di digital forensics mostrando solamente la sezione OSINT.

Tsurugi Linux Lab - OSINT Profile Switcher

Per poter abilitare la scrittura sui dispositivi connessi al sistema, viene fornito un “Tsurugi Device Unlocker” grafico.

Tsurugi Linux Device Unlocker

Infine, per chi ha necessità di eseguire copie forensi, attività di hashing o verifica di immagini forensi, la distribuzione Tsurugi Acquire permette di aumentare la velocità di avvio con la possibilità di caricare in RAM l’intera immagine poiché la dimensione della ISO è di circa 1GB, contro i quasi 4 della versione Tsurugi Lab.

Tsurugi Acquire, live forensic distro per copie forensi

Si consiglia di prestare attenzione al fatto che la versione Tsurugi Lab, se installata su PC o macchina virtuale, non blocca correttamente da scrittura i dischi collegati al sistema. Gli sviluppatori stanno lavorando per fixare questo problema, derivato dall’aggiornamento del kernel.