Una nueva distribución forense aparece en la escena italiana, para proporcionar herramientas y soporte durante las actividades de pericia de TI realizadas por consultores forenses de TI y expertos forenses de TI que trabajan dentro de las Fuerzas de la Orden. En detrimento del nombre – que tiene poco italiano – la distribución ” Tsurugi Linux ” – descarga gratuita desde el sitio tsurugi-linux.org  y con el logotipo que se muestra a la derecha – nació de Giovanni ‘sug4r’ Rattaro and Marco ‘blackmoon keyboards ‘Giorgi, quien hizo las versiones “Tsurugi Lab” y “Tsurugi Acquire” con la integración del trabajo realizado por Davide’ rebus ‘Gabrini, quien creó la plataforma “Bento”, distribuida en el sitio de Tsurugi pero separada del sistema principal .

La presentación oficial de la angustia forense tuvo lugar durante la conferencia AvTokio en Japón, con la charla ” TSURUGI Linux, el arma más afilada de su arsenal DFIR “, durante la cual el autor de la plataforma, Giovanni Rattaro, ilustró sus características principales.

Tsurugi Linux en la conferencia AVTokio en Japón

Al igual que todas las distribuciones forenses basadas en Linux, Tsurugi Linux es un entorno que consiste en un sistema operativo Linux desarrollado para que pueda iniciarse directamente en una computadora en modo “en vivo”, sin afectar el sistema existente en la PC, o instalado en el disco. de una computadora o una máquina virtual.

El propósito de una distribución forense es proporcionar un entorno de trabajo configurado para operaciones de adquisición forense y analítica, con las herramientas probadas, actualizadas y preconfiguradas para no requerir procedimientos de instalación y, si es posible, con propiedades de bloqueo de escritura que no afectan a ningún dispositivo existente en la PC en la que opera o se conecta posteriormente.

Tsurugi-Linux se distribuye en dos versiones diferentes , con diferentes propósitos, integradas por una colección de herramientas para actividades de respuesta a incidentes :

  • Tsurugi Lab : plataforma dedicada a la informática forense (adquisición y análisis), OSINT y análisis de malware, se puede iniciar directamente en DVD o pendrive, distribuido como ISO pero, potencialmente, puede instalarse en una PC o en una máquina virtual, basada en Linux Ubuntu Mate LTS con Kernel de 64.5 bits 4.18.5;
  • Tsurugi Acquire : sistema dedicado a la única fase de adquisición forense, con la posibilidad de realizar una selección y verificación limitadas de copias forenses, basado en Linux Ubuntu Mate LTS con Kernel 4.18.5 32 bit para una mayor compatibilidad con dispositivos obsoletos;
  • Bento : colección de herramientas para Windows, Mac y Linux, que se utilizará en los sistemas que están encendidos e iniciados para la respuesta a incidentes o el análisis forense en el campo.

Los que parecen, por ahora, ser los puntos fuertes de esta nueva distribución forense son los siguientes:

  • un menú completo de numerosas herramientas para análisis forense digital y ordenadas según los pasos típicos de un análisis forense: creación de imágenes, hashing, montaje, línea de tiempo, análisis de artefactos, recuperación de datos, análisis forense de memoria, análisis de malware, recuperación de contraseñas, análisis de redes, análisis de imágenes , análisis forense móvil, OSINT, análisis forense virtual, moneda criptográfica, otras herramientas e informes, con las herramientas reportadas más de una vez en las secciones en las que tiene sentido que se utilicen;
  • una  actualización  (que esperamos que continúe en el futuro) a las últimas versiones de kernels y controladores (para admitir los más variados tipos de tarjetas de video, audio, SATA, IDE, RAID, etc.) para iniciar la mayor cantidad posible de PC , incluso obsoleto;
  • posibilidad de utilizar la distribución en modo directo , con garantías de bloqueo de escritura en los discos, inhibición del autómata y posibilidad de montar los dispositivos en solo lectura, e instalar la plataforma de análisis forense en una PC o en una máquina virtual ;
  • reducción del tamaño ocupado por la imagen de la distribución forense, limitada a 3.8 GB para la versión “completa” de Tsurugi Lab y un poco más de 1 GB para la versión “ligera” de Tsurugi Acquire;
  • un equipo de desarrollo listo para integrar nuevas herramientas de adquisición y análisis;
  • una comunidad  que, pocos días después de la publicación, está creciendo exponencialmente, no solo en Italia sino también en el resto del mundo, y está publicando artículos en la plataforma e integrándolos con scripts para configurar nuevas aplicaciones.

Tsurugi Linux entra en un contexto en el que ya existen varias distribuciones dedicadas a la informática forense , a partir del excelente DEFT Linux (declinado en las dos versiones DEFT XVA como Virtual Appliance y DEFT Zero para adquisiciones forenses) y CAINE, ambas italianas, que llegarán a Paladin extranjero, Raptor y SIFT, pero también en menor medida a Kali Linux, Parrot y BackBox.

Cada distribución forense tiene diferentes modos de funcionamiento, herramientas, actualizaciones y controladores, por esta razón, el consejo es mantener una copia de todas las distribuciones de informática forense y usarlas según el contexto . No es infrecuente, de hecho, en un hardware en particular, una distribución en vivo es compatible mientras que otra no lo es, o una puede completar una actividad de copia forense y la otra puede tener problemas.

A continuación se muestran algunas capturasde pantalla representativas de Tsurugi Linux, a partir de las opciones de inicio de Tsurugi Lab que al inicio le permite iniciar la distribución forense con una interfaz gráfica dibujando en el pendrive / DVD que debe permanecer insertado o cargar el contenido en la RAM y luego permitir que eliminación, deshabilitando los gráficos en caso de necesidad operando en la pantalla de texto. En caso de problemas durante el arranque, puede deshabilitar los controladores nVidia y ATI, que en algunos portátiles interrumpen el inicio o no permiten cargar la GUI.

Distribución forense Tsurugi Linux y Boot

La pantalla de Tsurugi Linux en Lab Edition contiene el ícono para la instalación en una PC o máquina virtual, un OSINT Switcher, un Device Unlocker e información en tiempo real en el sistema (RAM, CPU, red, carga / descarga, etc.) …).

Tsurugi Linux Lab - Digital Forensics Distro

Lo nuevo para una distribución forense es la introducción de una sección de Crypto Currency Forensics, en particular bitcoin forensics , dedicada a las encuestas digitales en cryptomonete, con software como BTCRecover, BTCScan, BX Bitcoin Explorer, BitAddress, Bitcoin Bash Tools, Bitcoin-Tool, Bruteforce-Wallet, CoinBin, KeyHunter y la billetera Electrum, que también se pueden usar en combinación con la red Tor anónima.

Bitcoin Forensics con Tsurugi LinuxPara aquellos que deseen operar en el campo de las búsquedas en línea utilizando las técnicas OSINT, el conmutador de perfiles OSINT de Tsurugi está disponible, lo que desactiva los menús que contienen las herramientas forenses digitales que muestran solo la sección OSINT.

Tsurugi Linux Lab - OSINT Profile Switcher

Para habilitar la escritura en dispositivos conectados al sistema, se proporciona un gráfico “Desbloqueador de dispositivo Tsurugi”.

Dispositivo Tsurugi Linux Unlocker

Finalmente, para aquellos que necesitan hacer copias forenses , hash o imágenes forenses, la distribución Tsurugi Acquire permite aumentar la velocidad de inicio con la posibilidad de cargar en la memoria RAM toda la imagen porque el tamaño ISO es aproximadamente 1GB, contra casi 4 de la versión de Tsurugi Lab.

Tsurugi Acquire, distro forense en vivo para copias forenses

Es recomendable prestar atención al hecho de que la versión de Tsurugi Lab, si está instalada en una PC o máquina virtual, no bloquea correctamente los discosconectados al sistema al escribir . Los desarrolladores están trabajando para solucionar este problema, derivado de la actualización del kernel.

Fuente:https://www.dalchecco.it

Si te gusta nuestro contenido, nos puedes ayudar compartiendo, también puedes seguir nuestras redes sociales ..

Y no te olvides de registrarte 😉 para que seas el primero en ver nuestro contenido. Sd de parte de todo el equipo de computaxion