CSI Linux: linux-дистрибутив для кибер-расследований и OSINT

В начале этого года вышел в свет очередной линукс-дистрибутив для проведения кибер-расследований и OSINT под именем CSI Linux Investigator ^[1].

Краткое описание

CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения. Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box ^[2].

Данный linux-дистрибутив содержит программное обеспечение, необходимое для решения следующих задач:
— OSINT
— Digital Forensics
— Incident Response
— Malware Analysis
Загрузить дистрибутив можно по ссылке ^[3] с официального сайта. Там же размещены обзорные гайды и мануалы ^[4] по работе с дистрибутивом.

Структура и состав

CSI Linux Investigator содержит в себе три виртуальные машины:

CSI Linux Analyst

CSI Linux Analyst — это «ядро» данного дистрибутива. Представляет собой виртуальную машину ubuntu-дистрибутива с большим количеством предустановленного программного обеспечения, сгруппированного по категориям:
— OSINT/Online Investigations
— Secure Comms
— Encryption
— Dark Web
— Incident Response
— Computer Forensics
— Mobile Forensics
— CSI Tools
Подробный перечень установленного софта приведен на странице оф. сайта Tools List ^[5].

CSI Linux Gateway

CSI Linux Gateway представляет собой пользовательский шлюз TOR, работающий в «песочнице», с использованием таких утилит как Apparmor, Jailbreak и Shorewall Firewall.

Как вы уже догадались данная виртуальная машина призвана повысить уровень анонимности и приватности при использовании дистрибутива CSI Linux Analyst.
При использовании связки CSI Linux Analyst + CSI Linux Gateway весь траффик будет пропускаться через ноду TOR.

CSI Linux SIEM

CSI Linux SIEM еще одна виртуальная машина, входящая в состав рассматриваемого дистрибутива CSI Linux Investigator. По факту представляет собой ubuntu-дистрибутив, содержащий в себе настроенный Zeek IDS и ELK Stack (elasticsearch, logstash и kibana).
Может использоваться как IDS для защиты других виртуальных машин (CSI Linux Analyst и CSI Linux Gateway), так и для работы с логами и выводом даннных на дашборды в CSI Linux Analyst.

Личное мнение и полезные ссылки

Обзорную статью на CSI Linux Investigator хотел бы завершить личным мнением и дать пару советов по работе с данным дистрибутивом.
Сборка CSI Linux Investigator не первая в своем роде, у нее есть свои плюсы и минусы.
В данном дистрибутиве мне понравилось разделение виртуальных машин на три составляющие — непосредственно дистрибутив, шлюз TOR и SIEM-сборку.
С точки зрения наполнения сборки софтом — мнение двойственное, с одной стороны есть все необходимое, с другой стороны — много лишнего программного обеспечения, которое пагубно влияет на размер дистрибутива.
Если проводить аналогии с другими дистрибутивами под данные цели, то получается следующее:
CSI Linux Analyst получился комбинированной версией дистрибутивов SIFT ^[6], Buscador ^[7] и Caine ^[8].
CSI Linux SIEM по целям и задачам схож с Security Onion ^[9], а CSI Linux Gateway с Whonix Gateway ^[10].

Автор: Александр

Источник ^[11]