CSI Linux: linux-дистрибутив для кибер-расследований и OSINT

 

CSI Linux: linux-дистрибутив для кибер-расследований и OSINT

By
 
Habr
2 min

В начале этого года вышел в свет очередной линукс-дистрибутив для проведения кибер-расследований и OSINT под именем CSI Linux Investigator.

Краткое описание


CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения. Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box.

Минимальные требования к аппаратному и программному обеспечению
— 8 Гб RAM-памяти
— 70 Гб свободного места на диске
— 4-ядерный процессор
— Установленный Oracle VM Virtual Box

Данный linux-дистрибутив содержит программное обеспечение, необходимое для решения следующих задач:
  • OSINT
  • Digital Forensics
  • Incident Response
  • Malware Analysis

Загрузить дистрибутив можно по ссылке с официального сайта. Там же размещены обзорные гайды и мануалы по работе с дистрибутивом.

Структура и состав


CSI Linux Investigator содержит в себе три виртуальные машины:
CSI Linux Analyst
CSI Linux Analyst — это «ядро» данного дистрибутива. Представляет собой виртуальную машину ubuntu-дистрибутива с большим количеством предустановленного программного обеспечения, сгруппированного по категориям:
  • OSINT/Online Investigations
  • Secure Comms
  • Encryption
  • Dark Web
  • Incident Response
  • Computer Forensics
  • Mobile Forensics
  • CSI Tools

Подробный перечень установленного софта приведен на странице оф. сайта Tools List.


CSI Linux Gateway
CSI Linux Gateway представляет собой пользовательский шлюз TOR, работающий в «песочнице», с использованием таких утилит как Apparmor, Jailbreak и Shorewall Firewall.

Как вы уже догадались данная виртуальная машина призвана повысить уровень анонимности и приватности при использовании дистрибутива CSI Linux Analyst.
При использовании связки CSI Linux Analyst + CSI Linux Gateway весь траффик будет пропускаться через ноду TOR.

CSI Linux SIEM
CSI Linux SIEM еще одна виртуальная машина, входящая в состав рассматриваемого дистрибутива CSI Linux Investigator. По факту представляет собой ubuntu-дистрибутив, содержащий в себе настроенный Zeek IDS и ELK Stack (elasticsearch, logstash и kibana).
Может использоваться как IDS для защиты других виртуальных машин (CSI Linux Analyst и CSI Linux Gateway), так и для работы с логами и выводом даннных на дашборды в CSI Linux Analyst.


Личное мнение и полезные ссылки


Обзорную статью на CSI Linux Investigator хотел бы завершить личным мнением и дать пару советов по работе с данным дистрибутивом.

Сборка CSI Linux Investigator не первая в своем роде, у нее есть свои плюсы и минусы.
В данном дистрибутиве мне понравилось разделение виртуальных машин на три составляющие — непосредственно дистрибутив, шлюз TOR и SIEM-сборку.

С точки зрения наполнения сборки софтом — мнение двойственное, с одной стороны есть все необходимое, с другой стороны — много лишнего программного обеспечения, которое пагубно влияет на размер дистрибутива.

Если проводить аналогии с другими дистрибутивами под данные цели, то получается следующее:

CSI Linux Analyst получился комбинированной версией дистрибутивов SIFTBuscador и Caine.

CSI Linux SIEM по целям и задачам схож с Security Onion, а CSI Linux Gateway с Whonix Gateway.

Просмотры:

Коментарі

Популярні публікації