T

surugi Linux jest dystrybucją typu DFIR (ang. Digital Forensic in Incident Response), czyli coś dla specjalistów informatyki śledczej zajmujących się wsparciem reakcji na incydenty. Został stworzony przez weteranów takich dystrybucji, jak Deft oraz Blacktrack jako w pełni darmowy, niezależny od komercyjnych marek projekt. Jego głównym celem jest dzielenie się wiedzą i “oddawanie jej społeczności”. Jego nazwa – Tsurugi (剣) – oznacza legendarny japoński miecz z podwójnym ostrzem używany przez starożytnych japońskich mnichów. Został podzielony na trzy typy:

• TSURUGI Linux [Lab] – pełna, wysoce spersonalizowana dystrybucja Linuksa, zaprojektowana w celu wspierania działań DFIR, analizy złośliwego oprogramowania i działań OSINT (Open Source INTelligence). W tym wydaniu znajdują się najnowsze wersje najsłynniejszych narzędzi potrzebnych do przeprowadzenia szczegółowej informatyki śledczej lub reakcji na incydenty oraz kilka specjalnych funkcji, takich jak blokowanie zapisu na poziomie jądra (wszystkie podłączone urządzenia w standardzie są w trybie tylko do odczytu), czy przełącznik profili DFIR/OSINT. Dystrybucja oparta jest na systemie Ubuntu w wersji LTS (Long Time Support).
• TSURUGI Acquire – to lekka wersja Tsurugi Lab, mająca na celu zapewnienie podstawowych narzędzi potrzebnych do uruchomienia komputera i uzyskania dostępu do urządzeń pamięci masowej. Posiada niewielki zestaw narzędzi, aby rozmiar obrazu ISO był odpowiednio mały, a jego głównym celem jest zmieszczenie się w pamięci RAM, szybkie uruchomienie i obsługa jak największej liczby architektur. Dzięki umieszczeniu całego obrazu w pamięci można usunąć pendrive / dysk DVDROM po uruchomieniu systemu i korzystać dalej z zaoszczędzonego portu USB lub optycznego czytnika w innym celu.
• BENTO – to przenośny zestaw narzędzi przeznaczony do prowadzenia działań śledczych i reagowania na incydenty. Oferuje ponad 300 przenośnych aplikacji w celu wsparcia prowadzenia cyfrowych dochodzeń kryminalistycznych i działań związanych z reagowaniem na incydenty na systemach operacyjnych takich jak: Windows, Linux i macOS. W celu ułatwienia pracy zawiera zautomatyzowane narzędzia przydatne do standaryzacji i ułatwiania zbierania cyfrowych dowodów z systemów objętych dochodzeniem.

Przed ściągnięciem obrazu z wybranego serwera lustrzanego należy pamiętać o jego weryfikacji kluczem GPG. Ściągamy klucz i importujemy go do naszego GPG:

wget https://tsurugi-linux.org/tsurugi_linux_pub_key_BC006C0D.asc
gpg --import tsurugi_linux_pub_key_BC006C0D.asc

gpg: key 4B608723BC006C0D: public key 
gpg: "Tsurugi Linux Core Develop <coredev@tsurugi-linux.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1

Następnie ściągamy plik z sygnaturą i weryfikujemy go za pomocą wcześniej pozyskanego klucza:

wget https://tsurugi-linux.org/hash_list.sha256
wget https://tsurugi-linux.org/hash_list.sha256.sig
gpg --verify hash_list.sha256.sig

gpg: assuming signed data in 'hash_list.sha256'
gpg: Signature made Thu 02 Jan 2020 10:47:54 CET
gpg:                using RSA key 4B608723BC006C0D
gpg: Good signature from "Tsurugi Linux Core Develop <coredev@tsurugi-linux.org>"
gpg:                 aka "Tsurugi Linux info <info@tsurugi-linux.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 11C8 A884 AA43 342F 150D  56AC 4B60 8723 BC00 6C0D

Teraz możemy pobrać obraz ISO (około 4GB) i zweryfikować jego sygnaturę. Zamiast bezpośredniego pobierania pliku lepiej zdecydować się na użycie protokołu BitTorrent i przy okazji zakończenia pobierania dalej “rozsiewać” dystrybucję, aby inni użytkownicy mogli uzyskać szybki dostęp do tego oprogramowania:

sha256sum -c hash_list.sha256

tsurugi_lab_2019.2.iso: OK

Po etapie pobrania i zweryfikowania obrazu ISO możemy go teraz nagrać na DVD / pendrive i użyć go jako dysku instalacyjnego na naszej stacji roboczej mającej służyć do kryminalistyki cyfrowej.

Więcej informacji: TSURUGI Linux Project