Tsurugi Linux è un progetto open source di digital forensics e incident response basato su Ubuntu Linux. Scopri come utilizzare questa distribuzione come una macchina virtuale sul tuo sistema operativo.
Tsurugi Linux è disponibile in diverse versioni:
- Una distribuzione completa per l’uso o l’installazione live completi.
- Una macchina virtuale pronta per essere installata sul tuo sistema operativo host, indipendentemente da quale utilizzi: Windows, Mac o Linux.
- Una versione più leggera a 32 bit dedicata solo all’acquisizione di dischi live.
- Un toolkit forense portatile creato per aiutare a svolgere indagini in tempo reale.
L’utilizzo principale di tale distribuzione è quello di essere utilizzata come macchina virtuale dedicata all’esecuzione di tutte le indagini necessarie. Pertanto, mostreremo come usarlo in questo modo.
Di cosa avrai bisogno
Oltre a un computer con sistema operativo Windows, Mac o Linux, è necessario un software di virtualizzazione. Tra i tanti, abbiamo scelto VirtualBox perché è un software open source molto popolare e facile da usare.
È inoltre necessario scaricare l’appliance virtuale di Tsurugi Linux tramite uno dei mirror dalla sua pagina di download . Nella pagina, scegli un mirror e inizia a scaricare il file che termina con .ova ( Figura A ).
Figura A
Il file Tsurugi Linux .ova per il download su uno dei mirror ufficiali.
Come installare l’appliance virtuale
Apri VirtualBox e scegli File/Importa appliance, quindi seleziona il file dell’appliance virtuale locale appena scaricato ( Figura B ).
Figura B
Seleziona il file dell’appliance virtuale per l’installazione in VirtualBox.
Fare clic su Avanti, quindi su Importa, leggere e accettare il contratto di licenza del software. È in corso l’installazione dell’appliance virtuale ( Figura C ).
Figura C
Importazione dell’appliance virtuale.
Come avviare l’appliance virtuale
Seleziona la macchina virtuale Tsurugi in VirtualBox e fai clic su Avvia. La macchina virtuale viene avviata e visualizza la pagina di accesso dell’utente predefinito, tsurugi ( Figura D ).
Figura D
La pagina di accesso per l’utente tsurugi predefinito.
Inserisci la password predefinita, tsurugi. La distribuzione Linux è ora pronta per il lavoro.
Come impostare l’ambiente
Ora è il momento di installare VirtualBox Guest Additions, che consentirà alla macchina virtuale di funzionare a schermo intero, condividere gli appunti o le cartelle tra le macchine host e guest e migliorare le sue prestazioni.
Seleziona Dispositivi/Inserisci immagine CD Guest Additions in VirtualBox.
Viene visualizzata un’icona del CD, che prende il nome dalla versione delle aggiunte guest di VirtualBox ( Figura E ).
Figura E
Viene visualizzato il CD delle aggiunte guest di VirtualBox.
Fare doppio clic sul CD, quindi fare clic con il pulsante destro del mouse su VBoxLinuxAdditions.run e selezionare Esegui come amministratore ( Figura F ).
Figura F
Esecuzione dell’installazione delle aggiunte guest di VirtualBox.
Dopo che l’installazione è stata eseguita, riavvia la macchina virtuale e goditi il comfort della macchina virtuale con le aggiunte guest ( Figura G ).
Figura G
Desktop Linux Tsurugi.
Caratteristiche principali di Tsurugi Linux
Tsurugi Linux è basato sulla famosa distribuzione Ubuntu LTS (64 bit) con un kernel patchato, che implementa alcune caratteristiche interessanti.
Blocco scrittura kernel
Per impostazione predefinita, tutti i dispositivi collegati al sistema sono montati in modalità di sola lettura. Questa è una caratteristica necessaria per qualsiasi investigatore che voglia eseguire un’analisi su un dispositivo che non vuole alterare in alcun modo, preservando quindi tutte le prove sul dispositivo.
Commutatore profilo OSINT
Questa funzionalità può essere attivata con un doppio clic dal desktop e consente di alternare tra due diversi profili utente: uno è impostato per l’analisi forense digitale e la risposta agli incidenti, mentre il secondo è impostato per scopi di Open-Source Intelligence.
Centinaia di strumenti DFIR
Gli strumenti DFIR sono classificati in modo intelligente in Tsurugi Linux, in modo che qualsiasi ricercatore o accademico possa facilmente trovare lo strumento appropriato che serva al suo scopo ( Figura H ).
Figura H
Categorie di strumenti, come mostrato in Tsurugi Linux.
La distribuzione Tsurugi Linux mostra capacità impressionanti per qualsiasi professionista DFIR che desidera avere tutto ciò di cui ha bisogno a portata di mano, in un’unica distribuzione. Potrebbe anche essere una distribuzione di scelta per accademici e studenti che potrebbero voler controllare diversi strumenti DFIR o OSINT durante i loro studi o ricerche.
A parte la distribuzione completa Tsurugi Linux, la versione più leggera creata per l’acquisizione di dischi live potrebbe essere interessante anche per i professionisti DFIR, poiché consente di acquisire diversi