Цей матеріал – не редакційний
Це – особиста думка його автора. Редакція може не розділяти цю думку.
У сучасному світі, де кіберзлочини стають все більш поширеними, важливо мати доступ до ефективних інструментів для розслідування та протидії цим загрозам. Одним з таких інструментів є операційна система CSI Linux, яка спеціально розроблена для потреб кібербезпеки та кібердосліджень. CSI Linux ставить своїм завданням надати користувачам інструменти для швидкого і точного виявлення цифрових слідів і доказів, які можуть бути використані для розслідування кримінальних справ або для забезпечення кібербезпеки в організаціях. Розробники цієї операційної системи стверджують, що вона спрощує процес роботи зі збиранням, аналізом та інтерпретацією цифрових даних, що робить її важливим інструментом для професіоналів в галузі кібербезпеки та кібердосліджень. Але чи справді це так? Давайте розбиратися…
Для початку, я хотів би навести трохи базової інформації стосовно цього дистрибутиву.
Офіційний веб-сайт: https://csilinux.com/
На день написання цією статті, як базову платформу CSI Linux використовує Ubuntu 22.04 LTS.
CSI Linux це опенсорс проект, тому всі бажаючи можуть допомагати робити його кращим.
Інсталяція досить проста і є багато відео на цю тему, наприклад, це. Хоча зараз процес трохи змінився, і після завантаження образу диску, для запуску в VirtualBox просто потрібно додати (Machine -> Add) файл віртуального диску у форматі vbox.
Для входу в систему за замовчуванням використовуються користувач – csi, пароль – csi.
Також є ціла книга присвячена роботі з CSI Linux, яку можна купити тут.
Термінологія, список всього доступного програмного забезпечення в CSI Linux та інша документація доступна за цим посиланням.
Раніше CSI Linux мав три різних пакети на платформі CSI Linux Investigator, але зараз CSI Linux Gateway та CSI Linux Analyst об’єднані в один пакет, а CSI Linux SIEM тепер доступний як окремий образ на офіційному сайті. Скачати всі дистрибутиви можна також на офіційному сайті.
Для більшого розуміння опишу згадані вище три складові частини CSI Linux:
CSI Linux SIEM: Це одна віртуальна машина, що входить до складу дистрибутиву CSI Linux Investigator. Фактично, це Ubuntu-дистрибутив, який містить налаштований Zeek IDS та ELK Stack (Elasticsearch, Logstash і Kibana). Використовується як система виявлення вторгнень для захисту інших віртуальних машин (CSI Linux Analyst та CSI Linux Gateway), а також для обробки журналів та відображення даних на панелях управління CSI Linux Analyst.
CSI Linux Gateway: Це користувацький шлюз TOR, який працює в “пісочниці” за допомогою таких утиліт, як Apparmor, Jailbreak і Shorewall Firewall. При використанні CSI Linux Analyst + CSI Linux Gateway весь трафік буде пропускатися через вузол TOR.
CSI Linux Analyst: Це “ядро” даного дистрибутива. Він представляє собою віртуальну машину Ubuntu з великою кількістю передвстановленого програмного забезпечення, згрупованого за категоріями. Список категорій ми розглянемо пізніше.
Варто зазначити, що в меню Incident Response є розділ CSI SIEM, але він не активний і видає CSI SIEM Installer and Launch utility coming soon… Що, вірогідно, свідчить про бажання об’єднати і з третім дистрибутив Проте в будь-якому випадку можна через віртуалізацію інсталювати і запустити в системі VirtulBox та запустити SIEM окремою віртуальною машиною, що дозволить мати повний набір пакетів на тому ж самому сервері.
Давайте тепер трошки ближче познайомимось з вищезгаданою операційною системою.
Для початку роботи створюємо кейс (Іконка Start a Case на робочому столі або через Меню -> CSI Linux Tools -> Start a Case). Далі всі наступні операції можна виконувати в рамках створеного кейсу, де будуть зберігатися результати. Відразу при створенні пропонується почати роботу і є декілька опцій у CSI Case Management Menu.
Важливо знати, що більшість програмного забезпечення не встановлено наперед, і при виборі програми запускається автоматичний інсталяційний скрипт. Тепер давайте швидко розглянемо список програм (всіх предвстановлених та ні) в кожній доступній категорії:
CSI Linux Tools:
Набір програм для оновлення системи, управління CSI Tor VPN та Whonix Gateway для маршрутизації трафіку, робота з API ресурсів, що використовуються в CSI Linux, скачування відео та створення скріншотів з різних онлайн ресурсів та багато іншого;
Secure Comms:
В цій категорії доступні “безпечні” онлайн-месенджери;
Encryption:
Все для розшифрування хешів, підбору паролів, зберігання паролів та особистих даних;
OSINT/Online Investigations:
Досить велика категорія, в якій кожен знайде потрібні інструменти для завдань OSINT. З найцікавіших: пошук по соціальних мережах, телефоні, електронній пошті;
Dark Web:
Якщо у дослідника проблеми з підключенням, то ця категорія йому підходить. ‘TOR > VPN’, ‘WHONIX’ і так далі, все для приємного серфінгу;
Incident Response:
Все для розслідування інцидентів, сканери для шкідливого ПО, аналіз мережі (Wireshark) і інше;
Computer Forensics:
Комп’ютерна криміналістика (відновлення втрачених даних та аналіз файлів);
Mobile Forensics:
Мобільна криміналістика (інструменти для аналізу та роботи з мобільними телефонами);
Vehicle Forensics:
Автомобільна криміналістика. Набір утиліт для роботи з CAN (Controller Area Network) протоколом. CAN — це мережева технологія, що широко використовується в автоматизації, вбудованих пристроях і автомобільній галузі;
Malware Analysis and Reverse Engineering:
Для аналізу шкідливих скриптів і програм, реверс-інженерія;
SIGINT:
Набір програм для аналізу, взлому та програмування радіоканалу (FM, WiFi, тощо);
Virtualization:
Набір менеджерів для роботи з віртуалізацією;
Threat Intelligence:
Розвідка про загрози, мапи кіберзлочинів по всьому світу та інше.
Нижче кілька скріншотів роботи в CSI Linux та спроби пошуку по юзернейму, електронній пошті.
ВИСНОВОК:
Після базового ознайомлення з системою та проведення декількох тестів пошуку за телефоном, поштою та юзернеймом, можу сказати, що CSI Linux частково працює з коробки, але в більшості випадків потрібно налаштовувати саме програмне забезпечення, яким ви намагаєтеся щось досліджувати. Є проблема з блокуванням бота, через який виконується криміналізація, оскільки IP-адреси tor VPN, мають погану репутацію або можливо сайти ідентифікують його як роботу бота і тому швидко блокують конекти. В системі відчутне спрямування до роботи з найвідомішими у світі ресурсами та соцмережами, але не має підтримки “з коробки” до локальних, що можуть бути найбільшими в тій чи іншій країні світу. Однозначно, набір програм досить цікавий, хоча не все працює одразу, як вже зазначено. Для прикладу, коли я шукав дані за своєю електронною поштою, через buster знайшло статтю 15-річної давнини на “Економічній правді” зі згадкою моєї адреси та Skype-аккаунта. Проте, через звичайний пошук Google можна знайти все те ж саме та навіть більше. Далі, ще по нікнейму пошук видав просто купу непотрібної та недостовірної інформації, яка, в теорії, може бути корисною, якщо відфільтрувати її вручну.
Тепер я хотів би додати трохи порівняння з конкуруючою до CSI Linux і більш відомою операційною системою. У кіберспільноті користується популярністю дистрибутив Linux під назвою Kali Linux, і він є базовим серед багатьох спеціалістів в галузі кібербезпеки. Однак, порівнюючи ці дві системи, можна сказати, що програмне забезпечення, яке пропонується за замовчуванням в кожній з них, досить сильно відрізняється. Важливо розуміти, що весь софт, представлений в CSI Linux, може бути встановлений на Kali Linux та навпаки, оскільки обидва базуються на Ubuntu/Debian і по суті є розширенням до бази. Як заявляють самі розробники, Kali Linux зі своїм набором програм призначений більше для завдань, таких як тестування на проникнення, дослідження безпеки, комп’ютерна експертиза та реверс-інженерія. Як тільки залогінитесь в систему і проглянете основне меню, то знайдете в основному софт для тестування сайтів, соцмереж або серверів на вразливості чи взлом. Там дуже багато різних ботів, атакерів, програм для аналізу мереж і тому подібне.
Отже, ці дві системи на одній базі, але створені та налаштовані для різних завдань, хоча і можуть взаємозаміняти одна одногу. У CSI Linux є право на існування і вона точно розвивається на краще, але багато чого треба “доробляти” під свої потреби і до цього варто бути готовим. “Пробив” через набір програм є, але не має якогось вау-ефекту і достатньо багато нестиковок.
Сподіваюсь ви знайшли цю статтю цікавою для себе. Доречі, маю відмітити що спільноти CSI є своя академія, де можна пройти курс по тій чи іншій частині проекту. Подробиці за посиланням CSI Linux Academy
Цей матеріал – не редакційнийЦе – особиста думка його автора. Редакція може не розділяти цю думку.
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: