Il team Tsurugi ha pubblicato la versione 2020.5 del 21 maggio 2020 del toolkit per DFIR “Bento”, ormai parte fondamentale della suite di security, malware analysis e digital forensics Tsurugi Linux.
La raccolta di strumenti per la digital forensics e incident response viene distribuita per il download in un archivio 7z “bento_2020.5.7z” pubblicato su diversi link ospitati nei vari mirror Tsurugi.
Bento è un insieme di software per portabili (che quindi non richiedono installazione) principalmente per Windows ma con alcuni strumenti anche per Linux e Mac OS, raccolti e finalizzati a un uso in ambito digital forensics e incident response in modalità live, cioè con il sistema operativo Windows, Mac OS o Linux avviato.
Durante le indagini digitali preliminari sulla scena del crimine, Bento permette a coloro che intervengono per primi di gestire in modo veloce e sicuro le principali attività di risposta all’incidente informatico, come identificazione, triage, preview, estrazione, raccolta delle informazioni, acquisizione e conservazione delle evidenze digitali.
Importante distinguere Bento dalla distribuzione forense Tsurugi Linux perché Bento è destinato a un utilizzo “a caldo” sul sistema, cioè con il sistema avviato e quindi in attività d’incident response, per procedure di triage, preview, preanalisi, analisi sul campo e acquisizione preliminare di prove informatiche. Tsurugi Linux è una distribuzione forense che permette invece l’avvio in live su un PC senza che questo esegua il sistema operativo su di esso installato, non andando quindi in alcun modo ad alterare il contenuto di eventuali dischi collegati al sistema e permettendo di fare copie forensi dei dati e dei dispositivi senza alterarne il contenuto. L’utilizzo di Bento in attività di Digital Response e Digital Forensics in ambito di perizia informatica forense va sempre quindi pesato in base alla necessità di preservare o meno prove digitali e all’esigenza temporale di ottenere dati per un triage veloce e immediato sul campo.
Si ricorda che alcuni software presenti nella collezione Bento per Digital Forensics e Incident Reponse possono essere identificati dagli antivirus come malevoli, in realtà sono strumenti d’informatica forense, pentest, hacking, password recovery o simili che diversi produttori di antimalware considerano dannosi o potenzialmente pericolosi ma sono ampiamente utilizzati in ambito di computer e network security.
Alcuni software, per quanto gratuiti e scaricabili pubblicamente dai siti dei produttori, non possono essere distribuiti all’interno della raccolta Bento, vengono perciò incluse nell’archivio 7Z alcune procedure che permettono di scaricare in modo veloce e integrare nella suite gli strumenti che non sono stati inseriti.
Con un tweet dall’account ufficiale il Team Tsurugi ha fatto sapere che da oggi è disponibile per il download la nuova release della distribuzione per informatica forense, incident response, OSINT e malware analysis “Tsurugi Linux Lab” in versione 2019.1.
Nove mesi dopo la pubblicazione della prima versione della distribuzione Tsurugi Linux – dal nome giapponese ma prodotta da un team di sviluppatori italiani – è scaricabile la versione “Lab” della suite Tsurugi con grandi novità, ottimizzazione di spazio occupato e memoria, maggiore velocità di esecuzione e bugfix.
Di rilevanza la sezione “Computer Vision“, curata da Antonio Broi, con la suite di “face recognition” e “object detection” dedicata al riconoscimento automatico di volti umani e oggetti. La sezione “Computer Vision” è raggiungibile dal menù “TSURUGI->Picture Analysis->Computer Vision” e contiene diversi tool per riconoscimento facciale e di oggetti, configurati e pronti per l’uso.
Anche la sezione OSINT della suite Tsurugi è stata arricchita con decine di tool e strumenti per attività di Open Source Intelligence, configurati e pronti per l’utilizzo immediato, così da far risparmiare tempo a chi intende utilizzarli senza doverli scaricare, testare, configurare e installare.
Ricordiamo che l’opzione OSINT Switcher – presente sia nel menù sia sul desktop – oscura temporaneamente da Tsurugi le voci di menù relative a digital forensics, incident response e malware analysis, lasciando esclusivamente i menù OSINT, Artifacts Analysis, Network Analysis, Picture Analysis, Crypto Currency e Other Tools, modificando anche lo sfondo del desktop per rendere evidente il passaggio alla modalità “OSINT”.
Anche i menù dedicati alla digital forensics e incident response sono degni di nota, disposti indicativamente nell’ordine tipico con il quale si procede durante un’indagine informatica: Imaging, Hashing, Mount, Timeline, Artifacts Analisys, Data Recovery, Memory Forensics, Malware Analysis, Password Recovery, Network Analysis, Picture Analysis, Mobile Forensics, Cloud Analysis, Virtual Forensics, Crypto Currency, Other Tools e Reporting.
Nella sezione “Imaging” sono contenuti i tool per eseguire immagini, copie e acquisizioni forensi, con strumenti come Guymager, ewfacquire, dcfldd, dc3dd, esximager, cyclone, la suite afflib ed ewftools e gli strumenti per recupero dati come ddrescue e dd_rescue. Nella sezione “Hashing” osserviamo i tradizionali tool per generare diversi tipi di hash, inclusi i fuzzy hash mediante il tool “ssdeep”, utili quando gli oggetti da confrontare non sono proprio identici bit a bit. Nella sezione “Mount” risiedono i programmi per montare diversi filesystem e dispositivi, incluse macchine virtuali disci cifrati con bitlocker, shadow copy, il nuovo filesystem di Apple APFS e il coltellino svizzero xmount, che permette di montare – anche in modalità read-write – immagini forensi e convertirle “on the fly”. Il menù “Timeline” contiene i vari software per generare timeline e supertimeline con PLASO, log2timeline, TimeSketch, Yarp-timeline e il “The Sleuth Kit”, provvisto di tutti i tool da linea di comando oltre che della versione “Autopsy” con interfaccia grafica. La voce “Artifacts Analysis” è suddivisa per tipologia di artefatto e sistema operativo, spaziando da Mac/Apple a Boot Code, Browser, Email, Files, File System Google Takeout, Jump List, Metadata, Office Documents, P2P, Registry, Trash e Windows Logs. Decine di tool per esaminare artefatti EXIF ma anche tracce lasciate dagli strumenti di File Sharing Peer to Peer come Torrent ed Emule, registro, cestino, jump list ed eventi di Windows. “Data Recovery” contiene un’intera collezione di tool e script per il recupero dati, immagini, filesystem e artefatti con tool come Bulk Extractor e la sua GUI BEViewer, foremost, scalpel, photorec con la GUI qphotorec, testdisk, RecuperaBit e tanti altri. La sezione “Memory Forensics” raccoglie strumenti per acquisizione e analisi/parsing della RAM come lime, rekall, volatility e tanti altri. “Malware Analysis” è una categoria a sé, con diversi sottomenù contenenti strumenti per analisi di binari, debugger, decoder, analisi Flash, Java e Javascript, memoria, Office e PDF, sandbox, scanner e XOR e tantissimi altri strumenti. Il menù “Password Recovery” contiene tool per recuperare e decifrare/forzare password di file, archivi, pdf, wifi e persino wallet Bitcoin. La sezione “Network Analysis” contiene tutti gli strumenti utili per lavorare in rete e analizzare la rete, a partire da strumenti per raccolta e analisi log, PCAP, portscan, hping, map, scapy, ssldump, torify, Zenmap e tanti altri. Il menù “Picture Analysis” raccoglie strumenti per analisi forensi su immagini, steganografia, analisi exif ma anche la sottosezione “Computer Vision”. La categoria “Mobile Forensics” raccoglie invece tutti gli strumenti utili per acquisizioni e analisi di smartphone e cellulari, suddivisi per sistema operativo con tool per acquisire analizzare iPhone, iPad e tablet Apple con iOS, Android e Blackberry, con alcuni tool per parsing e analisi dei database Whatsapp e un browser per database SQLite, sempre utile quando si analizza il contenuto di copie forensi di smartphone. La voce “Cloud Analysis” contiene strumenti per cloud forensics o analysis, con tool come aws_ir e aws_respond, sshfs, s3fs, margaritashotgun e Turbinia. “Virtual Forensics” contiene i tool per analisi forense e conversione di macchine virtuali in diversi formati, oltre a docker. La sezione “Crypto Currency” contiene strumenti per attività di bitcoin forensics, utili ad esempio per generare, aprire, analizzare wallet Bitcoin, ricercare indirizzi bitcoin, transazioni, chiavi private su copie forensi o hard disk e forzare password dei più svariati wallet. La sezione “Other Tools” contiene strumenti non classificabili direttamente nelle sezioni precedenti, come tool per NFC, strumenti di auditing come Lynis, multidiff, TCHunt-ng o USBGuard. Infine, la sezione “Reporting” contiene software utile per la parte di raccolta delle evidenze, reportistica e redazione della relazione tecnica forense.
Fuori dal menù TSURUGI sono presenti strumenti di word processing e fogli di calcolo con tutta la suite LibreOffice, strumenti di grafica, analisi video, foto e audio, VPN, Remote Desktop e centinaia di tool di uso comune in ambito di computer e digital forensics, incident response, OSINT e malware analysis.
Altre feature spesso sottovalutate sono la tastiera e il mouse virtuale, che permettono di utilizzare la distribuzione live anche su dispositivi con porte USB occupate, poche porte USB (es. il Macbook Air con una sola porta USB) e indisponibilità di hub o su piattaforme dove mouse e tastiera hardware non vengono correttamente riconosciuti.
Da segnalare infine – elemento essenziale per attività di digital forensics – come dalla release di Tsurugi Linux Lab 2019.1 viene assicurata la funzionalità di write blocking anche nella versione installata, che nella release precedente era prerogativa solamente della distribuzione avviata in modalità “live”.
La suite Tsurugi è prodotta attraverso lo sviluppo di tre diversi componenti, tutti distribuiti gratuitamente, scaricabili dal sito Tsurugi-Linux.org e progettati per diverse esigenze:
Tsurugi Acquire (versione a 32 bit, limitata ai soli tool per acquisizione forense e triage/live preview, ideale per avvio in ram tramite modalità kernel “toram”);
Bento (portable toolkit per DFIR, raccolta di strumenti per attività di digital forensics e incident response).
La nuova release 2019.1 di Tsurugi Lab è scaricabile liberamente dal sito ufficiale Tsurugi Linux, direttamente dalla pagina Downloads alla quale si trovano i vari mirror. L’immagine ISO tsurugi_lab_2019.1.iso ha dimensione 4,152,360,960 byte e si può avviare in macchina virtuale, installare sul disco di un PC, masterizzare su DVD o riversare su pendrive USB tramite i tool UnetBootIn o Rufus.
Rispetto all’edizione precedente, ci sono novità anche nel Team Tsurugi, che dal 2019 vede nello staff, oltre a Giovanni Rattaro, Marco Giorgi e Davide Gabrini anche Francesco Picasso, Massimiliano Dal Cero e Antonio Broi.
Consigliamo, dopo il download della ISO di Tsurugi Lab, di verificare la signature GPG “tsurugi_lab_2019.1.iso.sha256.sig” del file contenente il valore hash SHA256 “tsurugi_lab_2019.1.iso.sha256” apposta dal Team Tsurugi tramite la chiave pubblica ufficiale del “tsurugi_linux_pub_key_BC006C0D.asc“, con il seguente procedimento:
E’ importante ottenere il seguente messaggio di conferma di validità della firma GPG, per essere certi che l’immagine ISO scaricata si quella originale prodotta dagli sviluppatori:
gpg: Good signature from "Tsurugi Linux Core Develop <[email protected]>" [sconosciuto] gpg: aka "Tsurugi Linux info <[email protected]>" [sconosciuto]
E’ comunque sempre possibile – per quanto il procedimento migliore sia la verifica della firma gpg – calcolare i valori hash MD5 e SHA256 dell’immagine in download e verificarli rispetto a una fonte affidabile, che dovrebbe essere in generale il sito degli sviluppatori o frutto di una ricerca su Google.
Una nuova distribuzione forense si affaccia nel panorama italiano, per fornire strumenti e supporto durante le attività di perizia informatica svolte dai consulenti informatici forensi e degli esperti d’informatica forense che operano all’interno delle Forze dell’Ordine. A discapito del nome – che di italiano ha poco – la distribuzione “Tsurugi Linux” – scaricabile gratuitamente dal sito tsurugi-linux.org e con il logo mostrato qui a destra – è nata dalle tastiere di Giovanni ‘sug4r’ Rattaro e Marco ‘blackmoon’ Giorgi, che hanno realizzato le versioni “Tsurugi Lab” e “Tsurugi Acquire” con l’integrazione del lavoro svolto da Davide ‘rebus’ Gabrini, che ha realizzato la piattaforma “Bento”, distribuita sul sito di Tsurugi ma separata dal sistema mainstream.
La presentazione ufficiale della distro forense è avvenuta durante la conferenza AvTokio in Giappone, con il talk “TSURUGI Linux – the sharpest weapon in your DFIR arsenal” durante il quale l’autore della piattaforma, Giovanni Rattaro, ne ha illustrato le principali caratteristiche.
Come tutte le distribuzioni forensi basate su Linux, Tsurugi Linux è un ambiente costituito da un Sistema Operativo Linux sviluppato in modo da poter essere avviato direttamente su di un computer in modalità “live”, senza intaccare il sistema preesistente sul PC, oppure installato sul disco di un proprio computer o ancora su di una macchina virtuale.
Il fine di una distribuzione forense è quello di fornire un ambiente di lavoro predisposto per attività operative di acquisizione forense e di analisi, con gli strumenti testati, aggiornati e pre-configurati in modo tale da non richiedere procedure d’installazione e, se possibile, con le proprietà di write-blocking atte a non impattare su eventuali dispositivi esistenti sul PC su cui si opera o connessi successivamente.
Tsurugi-Linux viene distribuita in due versioni distinte, con finalità diverse, integrate da una raccolta di strumenti destinati ad attività incident response:
Tsurugi Lab: piattaforma dedicata all’informatica forense (acquisizione e analisi), OSINT e analisi malware, avviabile direttamente su DVD o su pendrive, distribuita come ISO ma, potenzialmente, installabile su un PC o su di una macchina virtuale, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 64 bit;
Tsurugi Acquire: sistema dedicato alla sola fase di acquisizione forense, con possibilità di eseguire limitati triage e verifiche di copie forensi, basata su Linux Ubuntu Mate LTS con Kernel 4.18.5 a 32 bit per maggiore compatibilità con dispositivi obsoleti;
Bento: raccolta di tool per Windows, Mac e Linux, da utilizzare su sistemi accesi e avviati per attività d’incident response o analisi forense sul campo.
Quelli che sembrano, per ora, essere i punti di forza di questa nuova distribuzione forense sono i seguenti:
un menù completo di numerosissimi tool per la digital forensics e ordinato secondo i tipici step di un’analisi forense: imaging, hashing, mount, timeline, artifacts analysis, data recovery, memory forensics, malware analysis, password recovery, network analysis, picture analysis, mobile forensics, OSINT, virtual forensics, crypto currency, other tools e reporting, con gli strumenti riportati anche più di una volta nelle sezioni all’interno delle quali ha senso che vengano utilizzati;
un aggiornamento (che speriamo continui anche in futuro) alle versioni più recenti di kernel e driver (a supporto dei tipi più svariati di schede video, audio, SATA, IDE, RAID, etc…) per poter avviare il maggior numero di PC e possibili, anche obsoleti;
possibilità di utilizzare la distribuzione sia in modalità live, con garanzie di blocco scrittura sui dischi, inibizione dell’automount e possibilità di montare in sola lettura i dispositivi, sia d’installare la piattaforma di analisi forense su PC o su di una macchina virtuale;
riduzione della dimensione occupata dall’immagine della distribuzione forense, limitata a 3.8 GB per la versione “full” Tsurugi Lab e poco più di 1GB per la versione “light” Tsurugi Acquire;
un team di sviluppo pronto a integrare nuovi strumenti di acquisizione e analisi;
una comunità che già pochi giorni dopo la pubblicazione sta crescendo in modo esponenziale, non soltanto in Italia ma anche in tutto il resto del mondo, e che sta pubblicando articoli sulla piattaforma e integrandola con script per configurare nuovi applicativi.
Tsurugi Linux entra in un contesto nel quale esistono già diverse distribuzioni dedicate all’informatica forense, a partire dalle ottime DEFT Linux (declinata nelle due versioni DEFT XVA come Virtual Appliance e DEFT Zero per le acquisizioni forensi) e CAINE, entrambe italiane, per arrivare alle straniere Paladin, Raptor e SIFT, ma anche in misura minore Kali Linux, Parrot e BackBox.
Ogni distro forense ha diverse modalità operative, strumenti, aggiornamenti e driver, per questo motivo il consiglio è di tenere una copia di tutte le distribuzioni d’informatica forense e utilizzarle in base al contesto. Non di rado, infatti, su particolari hardware una live distro risulta compatibile mentre un’altra non lo è, oppure una riesce a portare a termine un’attività di copia forense e l’altra può avere dei problemi.
Di seguito riportiamo alcune screenshot rappresentative di Tsurugi Linux, iniziando dalle scelte di avvio di Tsurugi Lab che al boot permette di avviare la forensic distro con interfaccia grafica attingendo alla pendrive/DVD che deve quindi rimanere inserita oppure caricandone il contenuto in RAM e permettendone quindi la rimozione, disabilitando in caso di necessità la grafica operando su display testuale. In caso di problemi al boot, è possibile disabilitare i driver nVidia e ATI, che su alcuni notebook interrompono l’avvio o non permettono di caricare l’interfaccia grafica.
La schermata di Tsurugi Linux in versione Lab Edition contiene l’icona per l’installazione su PC o Macchina Virtuale, un OSINT Switcher, un Device Unlocker e le informazioni in tempo reale sul sistema (RAM, CPU, rete, upload/download, etc…).
Novità per una distribuzione forense è l’introduzione di una sezione di Crypto Currency Forensics, in particolare bitcoin forensics, dedicata alle indagini digitali sulle criptomonete, con software come BTCRecover, BTCScan, BX Bitcoin Explorer, BitAddress, Bitcoin Bash Tools, Bitcoin-Tool, Bruteforce-Wallet, CoinBin, KeyHunter ed il wallet Electrum, che è possibile utilizzare anche in combinazione con la rete anonima Tor.
Per chi desidera operare in ambito di ricerche online mediante tecniche OSINT, è disponibile il Tsurugi OSINT Profile Switcher, che disabilita i menù contenenti i tool di digital forensics mostrando solamente la sezione OSINT.
Per poter abilitare la scrittura sui dispositivi connessi al sistema, viene fornito un “Tsurugi Device Unlocker” grafico.
Infine, per chi ha necessità di eseguire copie forensi, attività di hashing o verifica di immagini forensi, la distribuzione Tsurugi Acquire permette di aumentare la velocità di avvio con la possibilità di caricare in RAM l’intera immagine poiché la dimensione della ISO è di circa 1GB, contro i quasi 4 della versione Tsurugi Lab.
Si consiglia di prestare attenzione al fatto che la versione Tsurugi Lab, se installata su PC o macchina virtuale, non blocca correttamente da scrittura i dischi collegati al sistema. Gli sviluppatori stanno lavorando per fixare questo problema, derivato dall’aggiornamento del kernel.
