CSI Linux: linux-дистрибутив для кибер-расследований и OSINT


    В начале этого года вышел в свет очередной линукс-дистрибутив для проведения кибер-расследований и OSINT под именем CSI Linux Investigator.

    Краткое описание


    CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения. Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box.

    Минимальные требования к аппаратному и программному обеспечению
    — 8 Гб RAM-памяти
    — 70 Гб свободного места на диске
    — 4-ядерный процессор
    — Установленный Oracle VM Virtual Box

    Данный linux-дистрибутив содержит программное обеспечение, необходимое для решения следующих задач:

    • OSINT
    • Digital Forensics
    • Incident Response
    • Malware Analysis

    Загрузить дистрибутив можно по ссылке с официального сайта. Там же размещены обзорные гайды и мануалы по работе с дистрибутивом.

    Структура и состав


    CSI Linux Investigator содержит в себе три виртуальные машины:
    CSI Linux Analyst
    CSI Linux Analyst — это «ядро» данного дистрибутива. Представляет собой виртуальную машину ubuntu-дистрибутива с большим количеством предустановленного программного обеспечения, сгруппированного по категориям:

    • OSINT/Online Investigations
    • Secure Comms
    • Encryption
    • Dark Web
    • Incident Response
    • Computer Forensics
    • Mobile Forensics
    • CSI Tools

    Подробный перечень установленного софта приведен на странице оф. сайта Tools List.


    CSI Linux Gateway
    CSI Linux Gateway представляет собой пользовательский шлюз TOR, работающий в «песочнице», с использованием таких утилит как Apparmor, Jailbreak и Shorewall Firewall.

    Как вы уже догадались данная виртуальная машина призвана повысить уровень анонимности и приватности при использовании дистрибутива CSI Linux Analyst.
    При использовании связки CSI Linux Analyst + CSI Linux Gateway весь траффик будет пропускаться через ноду TOR.

    CSI Linux SIEM
    CSI Linux SIEM еще одна виртуальная машина, входящая в состав рассматриваемого дистрибутива CSI Linux Investigator. По факту представляет собой ubuntu-дистрибутив, содержащий в себе настроенный Zeek IDS и ELK Stack (elasticsearch, logstash и kibana).
    Может использоваться как IDS для защиты других виртуальных машин (CSI Linux Analyst и CSI Linux Gateway), так и для работы с логами и выводом даннных на дашборды в CSI Linux Analyst.


    Личное мнение и полезные ссылки


    Обзорную статью на CSI Linux Investigator хотел бы завершить личным мнением и дать пару советов по работе с данным дистрибутивом.

    Сборка CSI Linux Investigator не первая в своем роде, у нее есть свои плюсы и минусы.
    В данном дистрибутиве мне понравилось разделение виртуальных машин на три составляющие — непосредственно дистрибутив, шлюз TOR и SIEM-сборку.

    С точки зрения наполнения сборки софтом — мнение двойственное, с одной стороны есть все необходимое, с другой стороны — много лишнего программного обеспечения, которое пагубно влияет на размер дистрибутива.

    Если проводить аналогии с другими дистрибутивами под данные цели, то получается следующее:

    CSI Linux Analyst получился комбинированной версией дистрибутивов SIFT, Buscador и Caine.

    CSI Linux SIEM по целям и задачам схож с Security Onion, а CSI Linux Gateway с Whonix Gateway.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 0

    Only users with full accounts can post comments. Log in, please.