Da oggi è disponibile per il download la nuova versione della Live Distro per Digital Forensics “Tsurugi Acquire” in versione 2021.1, soluzione ideale in ambito d’informatica forense per eseguire copie forensi e cristallizzazione di evidenze digitali.
Tsurugi Acquire è una distribuzione forense – prodotta dal Team Tsurugi – progettata in modo da occupare poco spazio sia su disco sia in RAM e quindi molto veloce da caricare al boot sui sistemi che supportano l’avvio da CDROM, DVD o USB. Si tratta in sostanza di una versione ridotta di Tsurugi Linux Lab alla quale sono stati rimossi tutti gli strumenti non necessari in fase di triage e copia forense, pensata per essere supportata sulla maggior parte dei dispositivi (PC, Macbook, Netbook, Tablet, etc…) e architetture che supportano il boot di un OS esterno a 32 bit in attività di triage, eDiscovery, copia forense e cristallizzazione dei dati per utilizzo in Tribunale a uso legale, ad esempio durante CTP o CTU informatiche o per la redazione di perizie tecniche forensi.
Grazie alla esigua dimensione, la forensic distro Tsurugi Lab è in grado di essere avviata e caricata direttamente in RAM (utilizzando l’opportuna selezione al boot o passando il parametro “toram” al kernel) in modo tale da velocizzare le operazioni e liberare una porta USB, essenziale ad esempio quando si acquisiscono in maniera forense dispositivi con una sola porta disponibile.
La distro forense Tsurugi Acquire Live 2021.1 è basata su distribuzione Linux Debian 10 con kernel patch 5.11.6 a 32 bit in modo da poter garantire la massima compatibilità anche con dispositivi obsoleti.
Nella forensic distro Tsurugi Linux Acquire è presente un sistema di risoluzione automatica della risoluzione dello schermo, in modo tale da poter adattare la dimensione delle icone e dei menu anche ai dispositivi Retina e agli schermi con risoluzione 4k.
La distribuzione Tsurugi Acquire Live 2021.1 è scaricabile dal sito ufficiale Tsurugi Linux, consigliamo sempre di verificare il valore hash delle versioni in download, scaricando anche la hash list e la relativa firma digitale, eseguita tramite la chiave pubblica del Team Tsurugi, scaricabile sempre al sito alla pagina download.
Il valore SHA256 della versione Linux Tsurugi Acquire 2021.1, salvata nel file “tsurugi_acquire_2021.1.iso”, è il seguente:
E’ stato pubblicato oggi su Youtube il video del mio workshop del 30 maggio per l’HackInBo Safe Edition, durante il quale ho mostrato come – in ambito di attacchi di tipo Business Email Compromise o Man in The Mail – possono avvenire delle manipolazioni con sostituzione degli allegati di posta tramite connessione IMAP, finalizzati a persuadere il destinatario a emettere bonifici su conti IBAN fraudolenti. Fortunatamente, tramite tecniche di email forensics e strumenti open source come Thunderbird (eventualmente con l’ausilio di alcuni plugin), Notepad++, Curl e una conoscenza specifica di alcuni aspetti del protocollo IMAP queste manipolazioni possono essere rilevate e identificate con precisione dal consulente informatico forense, al fine di produrre una perizia informatica sulle manipolazioni delle caselle di posta e sui messaggi di posta elettronica, anche PEC.
Nel video girato durante la giornata di HackInBo Safe Edition pubblicato su Youtube si può seguire in dettaglio l’ora di workshop e, volendo, anche riprodurne le attività tecniche simulando un’azione di di falsificazione di messaggi e allegati di posta con successiva perizia informatica di analisi forense tramite analisi del sorgente RFC 822, princìpi del protocollo IMAP e firme DKIM, predisponendo quanto segue:
Mozilla Thunderbird (client di posta elettronica, preferibile in versione portable);
DKIM Verifier (estensione per Thunderbird che permette di verificare firme DKIM);
Notepad++ (editor di testi versatile e open source)
CURL (strumento per scaricare risorse da diversi protocolli internet, incluso IMAP)
mpack/munpack (tool per estrarre o inserire manualmente allegati da un messaggio di posta elettronica)
openssl (software utile per convertire gli allegati ai messaggi di posta da e verso codifica base64)
un paio di account di posta elettronica che supportino il protocollo IMAP, come ad esempio GMail
Buona parte degli strumenti elencati sopra sono utilizzabili su distribuzioni Linux – come ad esempio Tsurugi Linux – ma anche su Windows (tramite binari compilati in Win32/64 oppure tramite WSL) o ancora su Mac OS (mediante homebrew/macports). Si consideri che le valutazioni esposte durante il workshop sono pienamente applicabili anche alla verifica di manipolazioni e originalità di messaggi di posta elettronica certificata PEC.
Il workshop si apre con un esempio di manipolazione e falsificazione di messaggi di posta elettronica, con il fine di cambiarne contenuti o sostituirne l’allegato. La particolarità è che l’alterazione fraudolenta non avviene soltanto su una copia sul PC del messaggio di posta, ma va a modificare il messaggio originale presente sul server di posta elettronica, in modo tale che anche accedendo alla webmail o scaricando la posta da un’altra postazione, si ottenga il messaggio manipolato e non più quello originale. Questo è, tra l’altro, esattamente ciò che avviene durante alcuni tipi di attacco Man in The Mail o Business Email Compromise (MiTM/BEC) durante il quale la vittima non si accorge che l’allegato su cui è indicato l’IBAN del conto bancario verso cui disporre il bonifico di pagamento della fattura del fornitore è stato modificato.
La manipolazione dell’email o PEC avviene in modo piuttosto semplice: si salva il messaggio in locale tramite la funzione di “Salva come…” di Thunderbird che permette di salvare il messaggio di posta elettronica in formato EML, che poi non è altro che un file di testo. Per fare una manipolazione del testo di un messaggio di posta elettronica o alterare in maniera fraudolenta elementi come data, ora, mittente, destinatario, oggetto, etc… è sufficiente aprire il file con un editor come Notepad++ e cambiare le parti che si desidera alterare, salvando successivamente il file. Aprendo il file EML su Thunderbird (è sufficiente cliccare due volte sul nome del file) si nota già che le alterazioni sono state applicate, ovviamente soltanto in locale sul PC e non sul server.
È leggermente più complicato fare una modifica fraudolenta all’allegato di un messaggio di posta elettronica, perché è necessario identificare il punto del file EML in cui si trova (è sufficiente aprire il file con un editor) e sostituirlo con il nuovo allegato, codificato in base64. La codifica del nuovo allegato (quello che, nel caso di attacchi BEC, contiene l’IBAN del conto bancario dei criminali) si può fare sia tramite comando openssl, sia creando una nuova mail con il comando mpack e copiando poi soltanto la parte con l’allegato nel messaggio di posta che vogliamo manipolare. Per sostituire un allegato/attachment di posta elettronica il criminale può quindi quindi procedere come segue, tramite il comando openssl che converte in base64 il nuovo PDF oppure tramite il tool mpack che crea un nuovo messaggio di posta dentro il quale viene allegato il PDF fraudolento, che poi si andrà a copiare e incollare nel nuovo messaggio EML.
Una volta ottenuto il messaggio con testo e/o allegato manipolato, il passo successivo che fanno i delinquenti è quello di riposizionare il nuovo messaggio sul server di posta eliminando quello originale, in modo chi dovesse scaricare l’email o accedere alla casella di posta non si accorga di nulla. Questa operazione è fattibile, sempre con Thunderbird, con un passaggio strategico che consiste nel cancellare il messaggio originale, aprire il messaggio fraudolento presente sul PC e posizionarsi sul menù di Thunderbird alla voce “Messaggio -> Copia in -> [account di posta configurato in IMAP] -> Posta in arrivo“. In questo modo, il messaggio di posta manipolato andrà a sostituire quello originale anche da parte di chi accede via webmail, perché la modifica è avvenuta sul server. La cosa rilevante è che il caricamento di un messaggio di posta sul server può essere fatto sia nella Inbox, contenente la Posta in Arrivo, ma anche nella Outbox, cioè nella cartella della Posta Inviata.
Alterazione e manipolazione di email su server IMAP
Un malintenzionato può quindi sostituire il contenuto di un messaggio o del suo allegato sia nella posta inviata sia in quella ricevuta, ma allo stesso modo può creare un messaggio e posizionarlo in posta inviata anche se tale email non è mai esistita, allo stesso modo in cui può creare una mail e posizionarla in posta ricevuta quando in realtà non è mai stata ricevuta. Da un’analisi della casella di posta, entrambi i messaggi sembrerebbero del tutto originali e integri, in particolare se il malintenzionato facesse attenzione a utilizzare header RFC822 coerenti (prendendoli, ad esempio, da messaggi realmente esistenti e se possibile inviati o ricevuti dallo stesso soggetto dell’email manipolata).
Si noti che in alcuni casi, la cancellazione via client di posta non è effettiva ma tiene in cache la mail che può poi essere ripristinata dalla mailbox anche se ne andiamo a ricaricare una leggermente diversa: si consiglia quindi di eliminare il messaggio tramite webmail oppure accertarsi che la cancellazione via IMAP abbia avuto effetto. Nel video si vede che dopo la cancellazione via IMAP e il caricamento del messaggio di posta manipolato, tramite la webmail viene mostrato ancora il vecchio messaggio originale, che invece viene sostituito da quello nuovo se la cancellazione avviene direttamente all’interno della webmail.
Questa sostituzione chiaramente si può applicare anche a messaggi di posta inviati, alterandone quindi il destinatario, contenuto, allegati, oggetto e facendo credere a chi dovesse accedere alla mailbox sul server che la mail sia originale e così sia stata inviata.
Importante sottolineare che, dal punto di vista del sorgente RFC822, cioè della costruzione del messaggio in termini d’intestazione (header), corpo (body) e allegati (attachment) una email così manipolata non è facilmente distinguibile ad una originale anzi, spesso non presenta differenze rispetto a una mail originale e quindi una perizia informatica potrebbe attestare la validità del messaggio quando in realtà si tratta di un’email falsificata e manipolata.
A questo punto, entra in gioco il consulente informatico forense, che viene chiamato per redigere una perizia informatica a seguito di analisi tecnica della mailbox, così da accertare la presenza di manipolazioni o alterazioni o, al contrario, l’integrità e originalità del messaggio di posta elettronica. La seconda fase del video è proprio relativa all’attività di verifica delle manipolazioni dei messaggi di posta elettronica ordinaria (PEO) tramite l’utilizzo di strumentazione open source e metodologie basate sui princìpi del protocollo IMAP.
Fortunatamente, le manipolazioni ai messaggi di posta elettronica possono non lasciare tracce a livello RFC822 ma ne lasciano quasi sempre a livello di metadati IMAP, permettendo quindi al perito informatico di analizzare diversi elementi per accertare l’integrità o meno della corrispondenza, sia essa via posta elettronica tradizionale o PEC, redigendo una perizia informatica forense di acquisizione forense e analisi investigativa.
Innanzitutto, una verifica che il consulente informatico forense può fare durante la sua indagine digitale è quella di accertare l’integrità della firma DKIM, che viene apposta in automatico ad esempio da parte della casella di posta Gmail. La verifica della firma DKIM si può fare sia sulla webmail (ad es. Gmail mostra il messaggio “firmato da: gmail.com” per i messaggi la cui firma viene verificata) oppure tramite plugin come DKIM Verifier, che aggiungono una riga alle instestazioni della mail che si vedono a schermo che riporta se la firma è valida oppure invalida, precisando in tal caso che “la mail è stata modificata”. Questa verifica ovviamente è fattibile nei casi in cui il server del mittente appone firma DKIM ai messaggi di posta uscenti.
Passando invece al protocollo IMAP, le verifiche che possiamo fare sono almeno due. Il primo è il controllo del campo “ordine ricezione” (“order received”) della mail oggetto di verifica confrontando il numero con il messaggio prima e quello dopo. Tale campo – non presente nel messaggio che viene scaricato in formato RFC822 EML o MSG – viene comunicato dal protocollo IMAP quando il client accede al messaggio ed è un numero ordinale che viene attribuito dal server a ogni messaggio, in genere univoco per cartella. La inbox avrà così un messaggio con Order Received (talvolta definito anche IMAP UID) 341, il messaggio successivo sarà 342, poi 343, 344 e così via. Se il messaggio con UID 342 a un certo punto viene alterato, cambia il codice e ne assume uno nuovo “saltando” quindi in avanti e superando quelli arrivati dopo di lui. Un’analisi della linearità dei numeri IMAP UID quindi permette già in diversi casi di rilevare una modifica postuma a un messaggio, fatta anche a livello server tramite caricamento dei file via IMAP.
Ulteriore controllo che l’informatico forense può fare, avendo accesso al server, è quello della verifica dell’integrità del campo INTERNAL DATE, che contiene la data marchiata dal server nel momento in cui il messaggio di posta oggetto di analisi è stato inviato o ricevuto dal server, in sostanza quando è stato salvato su disco. Anche in questo caso, se un messaggio del 30 maggio viene modificato il 3 giugno, il suo INTERNAL DATE passerà al 3 giugno, cosa che non ha senso se la data d’invio o ricezione della mail rimane 30 maggio.
L’accesso al dato INTERNALDATE è più complicato perché Thunderbird non lo mostra, per quanto ci siano dei plugin che sembrano poterlo fare ma non funzionano correttamente. Bisogna quindi ricorrere a soluzioni open source o a prodotti commerciali come FEC (Forensic Email Collector), SecurCube Downloader, F-Response o simili.
Avendo a disposizione software open source, possiamo sviluppare qualche linea di codice in python che vada a utilizzare la libreria imaplib chiamando il comando “fetch(message, ‘(INTERNALDATE)’” oppure più semplicemente sfruttare la potenzialità del comando cURL, utilizzato in genere per scaricare pagine web o file da Internet.
Con gli opportuni parametri, il comando cURL può essere utilizzato per accedere tramite protocollo IMAP o IMAPS a server di posta elettronica e scaricare messaggi di posta, intere mailbox o più semplicemente i metadati IMAP che altrimenti sarebbe difficile ottenere. Con una sola riga, riusciamo quindi a ottenere diversi parametri legati a tutte le email presenti nella Inbox della casella di posta [email protected], utilizzata per i test durante il workshop.
Lanciando questo comando in pochi decimi di secondo si ottengono i metadati IMAP InternalDate, UID (order received) oltre ai FLAGS come “Seen” (che indica se un messaggio di posta è stato letto oppure no), se è JUNK (marchiato come “spam”), data d’invio scritta nell’ENVELOPE (quindi impostata dal client) e altri parametri utili per l’analisi. In questo caso, è strategico verificare se il campo Internal Date è coerente con la data d’invio oppure se di discosta di molto, incrociando eventuali anomalie con il raffronto degli UID (o “order received”).
Il comando cURL può essere personalizzato con diversi parametri, ad esempio è possibile estrarre il solo campo IMAP InternalDate dal messaggio con UID 9 nella mailbox “safedition” della casella Gmail nel folder INBOX, con password “password123” (se viene omessa la password da linea di comando, viene chiesta in tempo reale durante l’avvio del tool).
Una volta raccolti tutti questi dati, esaminato il file RFC822, valutate l’ordine dei messaggi “ORDER RECEIVED” o IMAP UID, verificate le date INTERNALDATE, verificata la firma DKIM, etc… il consulente informatico forense potrà valutare l’integrità delle mail, l’assenza o presenza di manipolazioni, eventuali anomalie nelle mailbox e nei messsaggi di posta elettronica.
Ricordiamo, a completamento dell’articolo, che i provider di posta elettronica sono in grado di fornire – su richiesta da parte dell’Autorità Giudiziaria e raramente da parte dei Legali – ulteriori dati a supporto delle indagini informatiche forensi. Ad esempio, i provider mantengono per un anno di tempo i log di utilizzo della casella di posta elettronica , memorizzando i metadati (non ovviamente i contenuti) dei messaggi inviati e ricevuti, cioè mittente, destinatario, data d’invio/ricezione, oggetto, dimensione messaggio talvolta integrati con ulteriori elementi come server SMTP utilizzato, IP di provenienza o altri dati tecnici.
Per quanto riguarda invece le attività dell’utente sulla casella di posta – utili spesso per rilevare accessi non autorizzati, manipolazioni ai messaggi, apertura di email, cancellazione e rimozione di mail, modifica di allegati altre attività non autorizzate è disponibile presso buona parte dei provider una sezione di storico degli accessi, che permette di visionare i dettagli degli ultimi accessi, in termini di numero di accessi o di giorni/settimane/mesi di storico. Tali dettagli spesso arrivano anche a informazioni tecniche sui browser utilizzati, gli indirizzi IP e il tipo di operazione eseguito dall’utente (es. cambio password, aggiunta numero di telefono di sicurezza, etc…).
Con maggiore difficoltà è possibile anche ottenere dal provider (se ne mantiene copia e se la fornisce al proprietario, al suo legale o soltanto all’Autorità Giudiziaria) anche lo storico delle attività eseguite tramite webmail, IMAP o POP, potendo così ricostruire attività di accesso e operazioni di falsificaizione, manipolazione, aggiunta o cancellazione eseguite sulle singole email da interfaccia web o tramite i protocolli IMAP o POP.
Il team Tsurugi ha pubblicato la versione 2020.5 del 21 maggio 2020 del toolkit per DFIR “Bento”, ormai parte fondamentale della suite di security, malware analysis e digital forensics Tsurugi Linux.
La raccolta di strumenti per la digital forensics e incident response viene distribuita per il download in un archivio 7z “bento_2020.5.7z” pubblicato su diversi link ospitati nei vari mirror Tsurugi.
Bento è un insieme di software per portabili (che quindi non richiedono installazione) principalmente per Windows ma con alcuni strumenti anche per Linux e Mac OS, raccolti e finalizzati a un uso in ambito digital forensics e incident response in modalità live, cioè con il sistema operativo Windows, Mac OS o Linux avviato.
Durante le indagini digitali preliminari sulla scena del crimine, Bento permette a coloro che intervengono per primi di gestire in modo veloce e sicuro le principali attività di risposta all’incidente informatico, come identificazione, triage, preview, estrazione, raccolta delle informazioni, acquisizione e conservazione delle evidenze digitali.
Importante distinguere Bento dalla distribuzione forense Tsurugi Linux perché Bento è destinato a un utilizzo “a caldo” sul sistema, cioè con il sistema avviato e quindi in attività d’incident response, per procedure di triage, preview, preanalisi, analisi sul campo e acquisizione preliminare di prove informatiche. Tsurugi Linux è una distribuzione forense che permette invece l’avvio in live su un PC senza che questo esegua il sistema operativo su di esso installato, non andando quindi in alcun modo ad alterare il contenuto di eventuali dischi collegati al sistema e permettendo di fare copie forensi dei dati e dei dispositivi senza alterarne il contenuto. L’utilizzo di Bento in attività di Digital Response e Digital Forensics in ambito di perizia informatica forense va sempre quindi pesato in base alla necessità di preservare o meno prove digitali e all’esigenza temporale di ottenere dati per un triage veloce e immediato sul campo.
Si ricorda che alcuni software presenti nella collezione Bento per Digital Forensics e Incident Reponse possono essere identificati dagli antivirus come malevoli, in realtà sono strumenti d’informatica forense, pentest, hacking, password recovery o simili che diversi produttori di antimalware considerano dannosi o potenzialmente pericolosi ma sono ampiamente utilizzati in ambito di computer e network security.
Alcuni software, per quanto gratuiti e scaricabili pubblicamente dai siti dei produttori, non possono essere distribuiti all’interno della raccolta Bento, vengono perciò incluse nell’archivio 7Z alcune procedure che permettono di scaricare in modo veloce e integrare nella suite gli strumenti che non sono stati inseriti.
Vista la situazione di ridotta mobilità e distanziamento sociale che caratterizza questo periodo di (post) lockdown causa Covid-19/Coronavirus, il consueto appuntamento di maggio della conferenza HackInBo si terrà in una nuova veste: totalmente online, gratuito come sempre e con laboratori pratici.
Battezzata “Safe Edition”, l’edizione “sicura” in epoca di pandemia Covid-19 della conferenza HackInBo sarà gratuita come sempre e totalmente fruibile da remoto, con laboratori pratici e workshop su argomenti come digital forensics ed email forensics, malware analysis, iOS forensics, phishing, OSINT, DFIR, incident response, exploit, 2fa, live distro.
A partire dalle 9:30 di sabato 30 maggio e fino alle ore 18:00, esperti del settore terranno durante la “HackInBo Safe Edition” diverse demo pratiche e workshop per tutta la durata dell’evento, in diretta live su Youtube e altri social network.
Data che si prevede che i partecipanti possano essere numerosi, non sarà possibile interagire con il relatore se non al termine della presentazione: chi seguirà i workshop avrà la possibilità di porre delle domande ai relatori tramite la chat dell’evento su Youtube. Le domande selezionate saranno rivolte dal moderatore (che per questa edizione sarà Davide “Dante” Del Vecchio) direttamente al relatore, durante gli ultimi 10/15 minuti della presentazione.
Per gli sponsor c’è la possibilità di far inserire il logo nella diretta live, gli interessati possono inviare una mail a [email protected] per approfondimenti. Precisiamo che il contributo fornito dagli sponsor andrà interamente a enti che stanno contribuendo al supporto per l’emergenza del Covid-19/Coronavirus in Italia. Vi preghiamo di attenervi alle indicazioni in modo scrupoloso. Il workshop NON sarò interattivo. Il relatore risponderà ad alcune domande selezionate che arriveranno sulla chat di YouTube alla fine del proprio intervento.
Il canale youtube sul quale sarà trasmessa pubblicamente la conferenza HackInBo Safe edition è il seguente: https://youtu.be/sVoBI3_dTMI.
Ecco il programma ufficiale, con orari, elenco degli interventi con titolo, argomento e relatori che parteciperanno a questa sessione su Youtube del workshop di HackInBo Safe Edition. E’ stato pubblicato anche, di recente, il programma dettagliato di HackInBo Safe Edition, con le descrizioni degli interventi, i requisiti e il livello di difficoltà.
9:25 [Inizio streaming YouTube] Mario Anglani & Davide “DANTE” Del Vecchio
09:30 – 10:30 [Phishing] Spread phishing and escape blocklists – Andrea Draghetti
11:30 – 12:30 [Exploit Development Basics] Sviluppo di uno shellcode per customizzare i nostri exploit – Paolo Perego
12:30 – 13:30 [Malware Analysis] Analisi di un binario estratto da un Incident Response – Antonio Parata
13:30 – 14:30 [Incident Response/Digital Forensics] Scenari reali di DFIR: Tips&Tricks per una corretta analisi – Alessandro Di Carlo
14:30 – 15:30 [iOS Forensics/Security] iOS Forensics a costo zero. Illustrazione e utilizzo del jailbreak checkra1n su un dispositivo iOS – Mattia Epifani
15:30 – 16:30 [Phishing/Red Teaming] Come aggirare i sistemi a doppia autenticazione (phishing-ng) – Igor Falcomatà & Gianfranco Ciotti
16:30 – 17:30 [Incident Response/Digital Forensics] InvestigazIoni DFIR e OSINT con il progetto Tsurugi Linux – Tsurugi Linux Team: Davide Gabrini, Massimiliano dal Cero, Marco Giorgi, Giovanni Rattaro
Come annunciato dagli sviluppatori su Twitter, la distribuzione forense Tsurugi Linux è finalmente disponibile per il download in formato OVA per macchina virtuale, utilizzabile su qualunque piattaforma senza dover avviare l’immagine ISO in live o in VM.
La macchina virtuale Tsurugi VM rappresenta la versione VM dell distribuzione Tsurugi Linux, disponibile fino a oggi solamente in formato immagine ISO da masterizzare su DVD o riversare su pendrive tramite strumenti come Etcher, Rufus o UnetBootIn. La versione Tsurugi VM è distribuita in formato OVA ed è importabile sulle maggiori piattaforme di virtualizzazione come VirtualBox, VMWare Workstation/Player/Fusion o Parallels.
Lo sviluppo della VM di Tsurugi Linux procede in parallelo con quello di Tsurugi Lab e Trusugi Acquire, anche se di volta in volta possono esserci piccoli aggiornamenti, ad esempio nella versione 2019.1 della macchina virtuale è stato aggiunto il tool per indagini e ricerche OSINT “Twint” e Python in versione 3.6 ma il prossimo aggiornamento di Tsurugi Linux rispecchierà anche queste modifiche.
Si ricorda che la macchina virtuale di una distribuzione d’informatica forense non è idonea per attività di copia forense o preview/triage dato che non può garantire il blocco da scrittura sui dispositivi connessi, avendo un’intermediario che è il sistema host sul quale va in esecuzione la macchina.
Tsurugi VM in macchina virtuale è scaricabile dal sito ufficiale nella sezione download. Si consiglia di eseguire la macchina virtuale impostando (non al primo avvio, però) una dimensione adeguata di RAM e processori, così da permetterne l’esecuzione fluida e senza rallentamenti. All’avvio, è possibile installare gli addons, guest additions o i guest tools per poter condividere file, ridimensionare lo schermo e utilizzare tutti i vantaggi della virtualizzazione.
Come al solito, consigliamo di verificare i valori hash con quelli riportati sul sito ufficiale o di validare la firma con chiave pubblica GPG degli sviluppatori.
Il file “TSURUGI_LINUX_2019.1.ova”, contenente la versione VM di Tsurugi Linux 2019.1 e disponibile per il download sul sito ufficiale di Tsurugi, produce i seguenti valori hash:
Per utilizzare e avviare correttamente la macchina virtuale di Tsurugi Linux, vanno tenuti presenti alcuni aspetti:
è necessario innanzitutto operare l’importazione del file OVA su di una macchina virtuale, così da generare una VM avviabile in modo indipendente;
la password dell’utente “tsurugi” su host “forensiclab” della macchina virtuale Tsurugi Linux VM è “tsurugi”: per elevare la shell a root è necessario digitare “sudo su” e inserire tale password;
è necessario installare le guest additions, in base al proprio strumento di virtualizzazione: su VMWare, ad esempio, si possono installare le open-vm-tools e tramite “sudo apt-get open-vm-tools open-vm-tools-desktop” oppure le VMWare Tools tramite il menù Virtual Machine -> Install VMWare Tools;
la lingua preimpostata è inglese, con alcune applicazioni in francese, è quindi necessario operare a livello di terminal (con setxkbmap it oppure loadkeys it) oppure a livello di sistema (utilizzando l’icona a forma di tastiera sul desktop e accedendo a System -> Control Center -> Language Support per impostare la propria lingua;
le chiavi SSH del server sono state cancellate e per reimpostarle è sufficiente resettare la configurazione di openssh-server tramite il comando “sudo dpkg-reconfigure openssh-server”;
se la risoluzione del monitor è FULL HD (> 2.560 px) è disponibile uno script sul desktop chiamato “Hi-DPI Zoom” che provvede a regolare la dimensione dei font e delle icone;
se durante l’importazione del file OVA della Tsurugi VM in VMWare compaiono errori di conformità con le specifiche OVF, si possono ignorare, una volta insallate le VMWare Tools, il problema non si porrà.
