CSI Linux: linux-дистрибутив для кібер-розслідувань і OSINT

Apr. 5th, 2020

На початку цього року вийшов у світ черговий лінукс-дистрибутив для проведення кібер-розслідувань і OSINT під ім’ям CSI Linux Investigator.

Короткий опис

CSI Linux Investigator являє собою збірку linux-дистрибутивів, що базуються на операційній системі Ubuntu, з предустановлеными пакетами спеціалізованого програмного забезпечення. Поширюється збірка у вигляді OVA-файлу, який без проблем імпортується в Oracle VM Virtual Box.

Мінімальні вимоги до апаратного та програмного забезпечення

— 8 Гб RAM-пам’яті — 70 Гб вільного місця на диску — 4-ядерний процесор

— Встановлений Oracle VM Virtual Box

Даний linux-дистрибутив містить програмне забезпечення, необхідне для вирішення наступних завдань: — OSINT — Digital Forensics — Incident Response — Malware Analysis

Завантажити дистрибутив можна за посиланням з офіційного сайту. Там же розміщені оглядові гайди та мануали по роботі з дистрибутивом.

Структура і склад

CSI Linux Investigator містить у собі три віртуальні машини:

CSI Linux Analyst

CSI Linux Analyst — це «ядро» даного дистрибутива. Являє собою віртуальну машину ubuntu-дистрибутива з великою кількістю попередньо встановленого програмного забезпечення, згрупованого за категоріями: — OSINT/Online Investigations — Secure Comms — Encryption — Dark Web — Incident Response — Computer Forensics — Mobile Forensics — CSI Tools

Докладний перелік встановленого софта наведено на сторінці оф. сайту Tools List.

CSI Linux Gateway

CSI Linux Gateway являє собою інтерфейс шлюз TOR, працює в «пісочниці», з використанням таких утиліт як Apparmor, Jailbreak і Shorewall Firewall.
 Як ви вже здогадалися дана віртуальна машина покликана підвищити рівень анонімності і конфіденційності при використанні дистрибутива CSI Linux Analyst.

При використанні зв’язки CSI Linux Analyst + CSI Linux Gateway весь трафік буде пропускатися через ноду TOR.

CSI Linux SIEM

CSI Linux SIEM ще одна віртуальна машина, що входить до складу даного дистрибутива CSI Linux Investigator. За фактом являє собою ubuntu-дистрибутив, який містить в собі налаштований Zeek IDS і ELK Stack (elasticsearch, logstash і kibana). Може використовуватися як IDS для захисту інших віртуальних машин (CSI Linux Analyst і CSI Linux Gateway), так і для роботи з балками і виведенням даних на дашборды в CSI Linux Analyst.

Особиста думка і корисні посилання

Оглядову статтю на CSI Linux Investigator хотів би завершити особистою думкою і дати кілька порад по роботі з цим дистрибутивом. Збірка CSI Linux Investigator не перша у своєму роді, у неї є свої плюси і мінуси. В цьому дистрибутиві мені сподобалося поділ віртуальних машин на три складові — безпосередньо дистрибутив, шлюз TOR і SIEM-складання. З точки зору наповнення збірки софтом — думка двоїсте, з одного боку, є все необхідне, з іншого боку — багато зайвого програмного забезпечення, яка згубно впливає на розмір дистрибутива. Якщо проводити аналогії з іншими дистрибутивами під ці цілі, то виходить наступне:

CSI Linux Analyst вийшов комбінованої версією дистрибутивів SIFT, Buscador і Caine.

CSI Linux SIEM по цілям і завданням схожий з Security Onion, а CSI Linux Gateway з Whonix Gateway.