TSURUGI Linux: La Distro Italiana per la Cyber Security, DFIR, Malware Analysis e OSINT Avanzato con Computer Vision
In un’era in cui la sicurezza informatica e la protezione dei dati sono fondamentali, la necessità di strumenti affidabili e sicuri è più critica che mai. In questo contesto, la distribuzione Linux Tsurugi Linux si distingue come una risorsa essenziale per professionisti e appassionati di cybersecurity.
Sviluppata partendo dal kernel di Ubuntu e ricompilando sia il kernel che i moduli e customizzando l’intero sistema operativo anche graficamente, questa distribuzione offre, non solo un’ampia varietà di software Open Source per coprire molti domini della Cyber Security (Digital Forensic & Incident Response – Mobile Forensic – Malware Analisys – Osint anche con tool che sfruttano la Computer Vision anche sfruttando, a loro volta le caratteristiche di Deep Learning e Machine Learning).
Prevede inoltre un sicuro blocco di scrittura degli hard disk e delle eventuali memorie esterne collegate a livello kernel (Distro Linux unica nel suo genere) rispetto a blocchi di scrittura a livello di impostazioni di sistema, garantendo un elevato livello di sicurezza e non contaminando e modificando le eventuali memorie esterne o interne ispezionate, utilizzabile quindi anche in campi investigativi ufficiali del Law Enforcement e non solo in ambito Civile.
Tutte queste attività di Core Developer e customizzazioni sono curate dal Team Manager Giovanni “aka Sug4r” Rattaro Project founder – Tsurugi Linux and Tsurugi Acquire core developer – Tsurugi Linux team leader, Marco “aka Blackmoon” Giorgi Project founder – Tsurugi Linux and Tsurugi Acquire core developer, Massimiliano “aka YattaMax” Dal Cero New staff 2019! Tsurugi Linux and Tsurugi Acquire developer, pregevole ed importante anche il contributo degli altri componenti Francesco ‘aka dfirfpi’ Picasso Tsurugi Acquire develope e ultimo entrato nel Team ma non meno importante Mattia ‘MattiaEp’ Epifani: New staff 2023! Tsurugi Linux and Tsurugi Acquire core developer.
Tsurugi Linux non solo offre una vasta gamma di strumenti avanzati, ma garantisce anche che ogni software sia sviluppato e diffuso nel pieno rispetto delle normative sul copyright. Questo è possibile grazie al coinvolgimento di un avvocato dedicato (Avv. Costanza Matteuzzi) che supervisiona ogni fase della distribuzione, assicurando la conformità legale. Inoltre, tra gli otto sviluppatori del progetto, due membri appartengono alle forze dell’ordine italiane, portando con sé una preziosa esperienza sul campo.
Tra questi l’autore del presente articolo, Antonio “aka Visi@n” Broi New staff 2019! Digital Forensics, OSINT and Computer Vision specialist for Tsurugi Linux e Davide “aka Rebus” Gabrini Bento DFIR toolkit project leader, il cui contributo è stato fondamentale per rendere Tsurugi Linux una piattaforma di riferimento nel settore Cyber Security Pubblica e Privata più in generale.
Tsurugi Linux è disponibile per il download dal sito [https://tsurugi-linux.org] in due versioni principali: Tsurugi Laboratory e Tsurugi Acquire. La prima è disponibile sia in formato ISO che OVA, mentre la seconda, più leggera e minimale, è disponibile solo in formato ISO. Inoltre, è presente una nutrita raccolta di tools per attività di live forensic per i sistemi operativi Linux, Mac Apple e Windows, curata da Davide “Rebus” Gabrini, denominata Bento.
A seguito dello scarico dei file delle distro Linux in formato ISO o OVA o del pacchetto Bento, è possibile non soltanto verificare l’hash dei relativi file, ma anche scaricare l’intero file di testo contenente tutti gli hash e verificare l’autenticità di tale file di testo con la chiave pubblica GPG/PGP intestata al team TSURUGI-LINUX ed esposta sul relativo sito. Questa doppia sicurezza evita di scaricare cloni fake della distro.
Con il suo focus su DFIR, analisi del malware, OSINT, e computer vision, Tsurugi Linux rappresenta una soluzione completa e affidabile per affrontare le sfide della sicurezza informatica moderna “”UN ARSENALE COMPLETO DI SOFTWARE NELLA TUA CASSETTA DEGLI ATREZZI PER LA CYBER-SECURITY”.
Mentre gran parte degli strumenti sono sviluppati in diversi linguaggi, i programmi nell’area della Computer Vision, Object Detection e Facial Recognition sono scritti in Python 3 dal sottoscritto, offrendo avanzate capacità di riconoscimento facciale e comparazione di immagini da varie fonti, inclusi video e webcam, con la possibilità di creare database utilizzando le librerie pickle e KNN, unitamente ad alcuni programmi dell’area Mobile Forensic (adb2rec.py adb2recGUI.py) e O.C.R da video (video2ocr.py e video2ocrColor.py), unitamente ad altri tool riguardanti la Mobile forensic (adb2regGUI.PY) e le attività di Cloud Forensic (adb2regGUI.PY) e Osint (video2ocrCOLOR.PY).
In un periodo in cui la sicurezza dei dati è cruciale, Tsurugi Linux emerge come una distribuzione Linux sicura e versatile, pronta a supportare professionisti e organizzazioni nel loro impegno per la protezione e l’analisi dei dati digitali.
Download dell’immagine della Distro e del file di testo contenente i nomi file e i relativi algoritmi HASH e verifica del file tramite la chiave pubblica .key del Team tsurugi-linux.org
Per iniziare a utilizzare Tsurugi Linux, è fondamentale scaricare l’immagine della distribuzione e verificare la sua integrità per assicurarsi che non sia stata alterata. Dal sito [tsurugi-linux.org] e dai relativi mirror, è possibile scaricare agevolmente sia il file di testo certificato da GPG/PGP contenente gli hash delle versioni di Tsurugi Linux, sia le immagini delle distribuzioni Tsurugi Laboratory, Tsurugi Acquire o la raccolta di software freeware e Open Source “Bento”.
Scaricamento dei file
- Chiave pubblica PGP: [Scarica qui](https://tsurugi-linux.org/tsurugi_linux_pub_key.asc)
- File di testo con gli hash certificati PGP: [Scarica qui](https://tsurugi-linux.org/signed_hashes.sha512)
Verifica dell’integrità dei file
Per verificare l’integrità dei file scaricati, segui questi passaggi:
- Importare la chiave pubblica PGP del team Tsurugi Linux:
sh $ gpg --import tsurugi_linux_pub_key.asc
- Verificare il file di testo contenente gli hash con la chiave pubblica PGP:
sh $ gpg --verify signed_hashes.sha512
- Verificare l’hash SHA512 dei file ISO/OVA scaricati:
Per assicurarsi che i file scaricati non siano stati alterati, è necessario confrontare l’hash SHA512 del file scaricato con quello fornito nel file di testo verificato.
– Linux:
sh $ sha512sum tsurugi_linux_2023.2.iso
– Mac:
sh $ shasum -a 512 tsurugi_linux_2023.2.iso
– Windows:
Aprire il prompt dei comandi e digitare:
cmd CertUtil -hashfile tsurugi_linux_2023.2.iso SHA512
Con questi comandi, puoi garantire l’integrità e l’autenticità dei file scaricati. La verifica degli hash è una misura di sicurezza essenziale per prevenire l’utilizzo di versioni compromesse della distribuzione.
Scaricando e verificando correttamente le immagini di Tsurugi Linux, potrai beneficiare della sicurezza e delle funzionalità avanzate offerte da questa distribuzione sviluppata da un team di esperti italiani.
Acquisizioni DFIR (Digital Forensic e Incident Response)
In questo capitolo esploreremo le potenzialità del sistema operativo Tsurugi Linux per le attività di Digital Forensic e Incident Response (DFIR), sia installato su un personal computer che avviato in modalità live su un computer da acquisire con tecnica “post mortem”, cioè a PC spento e avviandolo esclusivamente dal sistema operativo Tsurugi Linux e non dal suo sistema operativo originario. Sebbene non approfondiremo gli aspetti legali alla base della digital forensics sia nell’ambito penale che civile, è importante menzionare che ci sono operazioni “ripetibili” e altre “irripetibili”, e la legge che regola tali operazioni e il ruolo dell’operatore (Law Enforcement, CTU, CTPM, CTP, consulente informatico in ambito civile, Specialista Digital Forensic, ecc.) sono di grande rilevanza.
Attività Ripetibili e Irripetibili
Un’attività è considerata ripetibile se, acquisendo lo stesso dispositivo informatico (hard disk, memoria, ecc.) più volte e ricalcolando l’hash dei dati, otteniamo sempre lo stesso valore. Tuttavia, anche su questo tema ci sono state discussioni tra esperti e sentenze che hanno messo in discussione questo paradigma, soprattutto nel contesto della Mobile Forensic, dove la distinzione tra contenuto e contenitore e la modificabilità dei dati sono questioni critiche e meriterebbero una intero capitolo a tale tema per la sua complessità, per questo motivo rimando a futura pubblicazione questo tema ed a quanti già si sono espressi su tale tematic.
Strumenti Disponibili
Comandi di Base e Software di Acquisizione
- dd e derivate: Utilizzati per creare immagini forensi bit-a-bit.
- Guymager: Programma GUI per l’acquisizione di immagini forensi e calcolo dell’hash.
- Autopsy: Strumento di analisi forense per il parsing dei dati digitali.
- ILear Aleap di Alex Brignoni e UFADE: Strumenti avanzati per analisi mobile e digital forensic.
Puoi trovare una lista completa degli strumenti disponibili sul sito Tsurugi Linux:
- Lista principale dei tool: [Tsurugi Linux Tools Listing](https://tsurugi-linux.org/documentation_tsurugi_linux_tools_listing.php)
- Lista dei tool per Tsurugi Lab 2023: [Tsurugi Linux Tools Listing 2023](https://tsurugi-linux.org/documentation_tsurugi_linux_tools_listing_2023.php)
Ugualmente elenchiamo una breve lista di alcuni tools disponibili nella tsurugi-linux.org, per aree e tipologia di software nell’ambito Cyber Security.
Aree di Acquisizione e Analisi
- Imaging: Acquisizione di immagini forensi.
- Hash: Calcolo degli hash per verificare l’integrità dei dati.
- Timeline: Analisi delle timeline per investigazioni cronologiche.
- Mount: Montaggio di dispositivi hardware o immagini forensi in vari formati.
- Artifacts Analysis: Analisi degli artefatti digitali.
- Data Recovery: Recupero di dati cancellati, orfani o eliminati.
- Memory Analysis: Analisi delle acquisizioni di RAM o memorie volatili.
- Mobile Forensic: Acquisizione e analisi di dispositivi mobili e alcuni IoT.
- Cloud Analysis: Analisi dei dati acquisiti dalle aree cloud.
- Crypto Currencies: Analisi delle blockchain.
- Virtual Forensic: Analisi delle copie di lavoro avviate in macchina virtuale.
- Password Recovery: Recupero di file o volumi di dati criptati.
- Reporting: Presentazione delle prove informatiche per dibattimento, contenzioso o presentazione al decision maker.
Questi strumenti e procedure ti permetteranno di eseguire acquisizioni DFIR con sicurezza e precisione, garantendo che i dati raccolti siano autentici e non alterati. Un’acquisizione e analisi forense di qualità, rispettosa delle normative vigenti e ben presentata, è cruciale per il successo in ambito investigativo, sia penale, civile che tributario.
Malware Analysis
Nel campo della sicurezza informatica, l’analisi del malware è una componente fondamentale, specialmente dopo un attacco di ransomware come il classico Crypto Locker. Anche se si dispone di ottimi backup “offline” e non semplicemente “off site”, e si ha la prudenza di non spegnere immediatamente tutti i server e computer, acquisire la RAM di qualche macchina o mandarla in ibernazione per una successiva acquisizione forense può fare la differenza. Questo approccio permette una comprensione più approfondita del ransomware e della chiave utilizzata per crittografare i dati.
Strumenti per l’Analisi del Malware
Tsurugi Linux offre una vasta gamma di strumenti per l’analisi del malware, sia per ambienti desktop che mobili. Ecco una panoramica degli strumenti e delle tecniche disponibili:
Analisi della RAM e dei File di Ibernazione
– **Volatility**: Uno dei tool principali per l’analisi della memoria.
– **Wireshark**: Per l’analisi delle connessioni di rete.
– **Elasticsearch e Suricata o Velociraptor**: Per analisi avanzate come IDS (Intrusion Detection Systems).
Analisi dei Backup dei Dispositivi Mobili
– **mvt-tools**: Ottimo per analizzare i backup di iTunes per dispositivi iOS e i backup Android.
– **ADB (Android Debug Bridge)**: Per analisi diretta sui dispositivi Android.
– **Wireshark e SpyGuard**: Per l’analisi del traffico di rete generato dai dispositivi mobili, spesso in combinazione con tecniche di white “man in the middle”.
Indici di Compromissione (IOC)
Gli strumenti come SpyGuard, fork di Tinycheck, utilizzano i famosi Indici di Compromissione (IOC). Questi strumenti sono mantenuti da Amnesty International Laboratory, importanti società francesi e Kaspersky Laboratory, e sono completamente open source.
Lista Completa degli Strumenti per Malware Analysis su Tsurugi Linux
Binary Analysis
- PEV:
- ofs2rva
- pedis
- pehash
- pepack
- peres
- pescan
- pesec
- pestr
- readpe
- rva2ofs
- RADARE2:
- cutter
- r2agent
- r2pm
- rabin2
- radare2
- radiff2
- rafind2
- ragg2
- rahash2
- rarun2
- rasm2
- rax2
- binwalk
- Bless Hex Editor
- cstool
- dwarfdump
- hashdeep
- ltrace
- objdump
- strace
- strace-log-merge
- vbindiff
- XELFViewer
Debugger
- gdb
- heaptrace
Decoder
- CyberChef
- rhino
- rhino-debugger
- rhino-jsc
Flash Analysis
- swfmill
JavaScript Analysis
- js-beautify
- rhino
- rhino-debugger
- rhino-jsc
Network Analysis
- hfinger
Office Document Analysis
- catdoc
- catppt
- docx2txt
- ezhexviewer
- ftguess
- mraptor
- msodde
- olebrowse
- oledir
- oledump
- olefile
- oleid
- olemap
- olemeta
- oleobj
- oletimes
- olevba
- pyxswf
- rtfdump
- rtfobj
- unoconv
- unrtf
- vba_extract
- wordview
- xls2csv
- XMLMacroDeobfuscator
PDF Analysis
- DiffPDF
- diffpdf
- pdf2dsc
- pdf2ps
- pdfattach
- pdfcrack
- pdfdetach
- pdffonts
- pdfgrep
- pdfimages
- pdfinfo
- pdfroff
- pdfseparate
- pdfsig
- pdftocairo
- pdftohtml
- pdftoppm
- pdftops
- pdftotext
- pdfunite
- peepdf
Sandbox
- firejail
- Firejail Configuration Wizard
- firetools
Scanner
- clamav
- chkrootkit
- fenrir
- hypernode-mwscan
- Lynis auditing tool
- mwscan
- pescan
- rkhunter
- vtscan
- vtTool
- yara (più occorrenze)
XOR Analysis
- xor_encrypt_file
- xor_key_recovery
- xortool
- xortool-xor
Other Tools
- trid
- upx_dec
- upx-ucl
- colorize
- filecompare
- pyWhat
Questi strumenti, combinati con le tecniche di analisi forense e di rete, offrono una soluzione completa per l’analisi del malware. Gli strumenti che non sono preinstallati possono essere facilmente scaricati da GitHub e installati poiché sono completamente open source.
OSINT “Open Source Intelligence con Tsurugi Linux”
La necessità di acquisire nuove capacità di OSINT (Open Source Intelligence) è sempre più rilevante non solo per gli attori istituzionali, ma anche per investigatori privati e giornalisti investigativi e piu’ in generale nell’eco sistema Cyber in quanto le entità possono essere rappresentate anche ad esempio esemplificativo e non esaustivo da :hardware, luoghi geografici o eventi nel tempo, non solo società o persone. La potenza derivante dall’acquisizione di capacità avanzate e metodologie di ricerca, validazione, analisi e disseminazione è inestimabile. Queste competenze permettono di creare report dettagliati, che vanno dalla link analysis alla timeline report, fino alla verbalizzazione e spiegazione delle connessioni di vario tipo.
Tipologie di OSINT
Le varie tipologie di OSINT comprendono:
- Ricerca Avanzata con Strumenti da Browser: Customizzazione delle postazioni di ricerca tramite VPN e proxy.
- Strumenti Enterprise: Framework a pagamento come Paterva Maltego.
- Framework e Programmi Open Source: OSINT Online e OSINT Offline. Ad esempio, scaricando dati localmente e poi analizzandoli, come con la Wayback Machine che conserva dati eliminati dal web, o Shodan.io che raccoglie continuamente informazioni e vulnerabilità dai dispositivi informatici.
- OSINT su Stringhe e Dati: Analisi di file particolari come immagini, video, file binari, PDF, DOCX, XLSX, ecc.
Le attività OSINT riguardano, piu’ in generale, dei veri e propri cicli di Intelligence da fonti disponibili sul WEB e che vanno sempre controllate e validati prima di poterle considerare “informazioni vere e attendibili” e quindi disseminate, in particolare è una ricerca che riguarda entità e la loro validità, seguita da analisi e disseminazione al “Decision Maker”. L’informazione acquisita velocemente è fondamentale poiché, se diffusa troppo tardi, potrebbe perdere la sua valenza operativa, ma altrettanto importante è la veridicità dell’informazioni e la controprova a prova di fake news vista la forte diffusione di tali info alterate per vari motivi, politici, economici, militari, etc. etc. che incidono nella vita delle persone e degli Stati.
Lingue e Tipologie di Ricerca
L’OSINT richiede spesso l’acquisizione di informazioni in lingue diverse dalla propria. È cruciale comprendere come e dove ricercare le informazioni, che variano in base alla lingua e alla tipologia, come il Social Media Monitoring rispetto al Business Tracking o al Company Tracking. Inoltre, la Blockchain Analysis per le transazioni digitali moderne richiede strumenti specifici a causa della complessità delle diverse blockchain.
Utilizzo di Machine Learning e AI
Tsurugi Linux offre strumenti come whisper-openai per la trascrizione di audio e video in testo e per la traduzione in inglese. Sebbene questi modelli di Machine Learning possano essere utilizzati offline, presentano alcune limitazioni, come l’accuratezza dell’audio e la pronuncia degli interlocutori. Nonostante ciò, rappresentano un valido aiuto investigativo, anche se richiedono convalida umana per essere presentati in tribunale (ad esempio).
OSINT su Immagini e Video
L’analisi delle immagini e dei video include la picture analysis tramite strumenti come exiftools per la lettura dei metadati e la steganografia. Ecco un elenco dei tool disponibili su Tsurugi Linux per l’analisi delle immagini:
- Darktable
- Sherloq
- Depix
- Driftnet
- ExifRead
- exif
- exifprobe
- exiftime
- exiftool
- exiv2
- findimagedupes
- ForensicPlate
- GenPixed
- imageDifferenceHash_dirlist
- jpeg_extract
- mat2
- outguess
- outguess-extract
- pngcheck
- pngcrush
- pngsplit
- recoverjpeg
- seek_script
- searchScreenshots
- stegtools
- steghide
- stegsnow
- stegosuite
- stegoveritas
- stegoveritas_hide_lsb
- vinetto
Conclusione
L’OSINT con Tsurugi Linux offre un insieme potente di strumenti e tecniche per l’acquisizione, analisi e disseminazione di informazioni. Questi strumenti sono essenziali per ottenere informazioni tempestive e precise, supportando investigazioni in ambiti istituzionali, privati e giornalistici. La combinazione di tecniche avanzate e strumenti open source rende Tsurugi Linux una scelta eccellente per chiunque necessiti di capacità di intelligence all’avanguardia.
Computer Vision e Picture Analysis per OSINT avanzato, analisi di immagini, audio e video
Tsurugi Linux offre una vasta gamma di strumenti avanzati per l’analisi di immagini, audio e video, che possono essere utilizzati sia per attività di OSINT che per la mobile forensic. Questi strumenti sono progettati per eseguire compiti complessi e fornire risultati accurati e dettagliati. Di seguito sono descritti alcuni dei principali programmi e tool inclusi nella distribuzione.
Programmi per l’analisi di immagini e video
- adb2recGUI.py
Funzione: Questo strumento consente di eseguire screenshot e/o screen recording direttamente da un telefono cellulare Android. È particolarmente utile sia per la mobile forensic che per l’OSINT.
Caratteristiche:
- Salvataggio automatico delle schermate o registrazioni video.
- Scorrimento automatico verso l’alto o verso il basso.
- Riconoscimento delle targhe delle autovetture da video dato in input, con 4 (quatto) numeri di targa ipotizzati per ogni frame di targa, questo in quanto ogni nazione ha una diversa tipologia di font ed il frame e quadratino individuato contenente il numero di targa potrebbe essere non di risoluzione ottimale.
- Applicazione di compressione e calcolo dell’algoritmo hash al termine delle operazioni.
- video2ocrColor.py
Funzione: Questo tool, dotato di GUI, permette di analizzare video registrati e altri video provenienti da attività di Digital Forensic o OSINT.
Caratteristiche:
- Estrazione frame per frame dai video.
- Creazione di report in formato HTML con i frame cliccabili e il contenuto sottoposto a OCR.
- Possibilità di tradurre i file di testo generati utilizzando il comando “translate” della libreria Python `googletrans`.
- Object Detection
object_detectionGUI.py
Funzione: Strumento per la rilevazione di oggetti in video o tramite webcam.
Caratteristiche:
- Salvataggio degli oggetti rilevati in directory specifiche.
- Classificazione degli oggetti rilevati in categorie come “persons”, “cats”, “dogs”, “cars”, “bicycles”, ecc.
Riconoscimento Facciale
Un’area dedicata al riconoscimento facciale è presente nella directory `/opt/computer_vision` e nel menu dedicato all’interfaccia grafica del sistema operativo. Questi strumenti sono progettati per eseguire riconoscimenti facciali accurati utilizzando tecnologie avanzate di Deep Learning e Machine Learning.
Strumento di Riconoscimento Facciale 1 a 1
il programma permetterà il riconoscimento accurato tra due immagini di visi.
Caratteristiche:
- Individuazioni dei Key point e calcolo dell’embedding di ogni viso e comparazione tra i volti, oltre al calcolo dell’hash delle immagini confrontate.
- Pubblicazione dell’hash nella blockchain utilizzando l’eseguibile OST (Open Time Stamps).
Strumento di Riconoscimento Facciale N:M
il programma permetterà il riconoscimento facciale accurato tra le immagini posizionate dall’investigatore nelle due directory della home “known” e “unknown” ed attraverso il programma facerec_webGUI.py con un semplice click averrà il riconoscimento facciale tra tante immagini con visi conosciuti e tante immagini di visi sconosciuti in apposito report in formato html con le immagini cliccabili e la percentuale di comparazione per ogni raffronto, tale programma prevede la comparazione di un viso per ogni immagine quindi dovranno essere effettuati dei tagli in caso di immagini con piu’ visi.
Strumento di Riconoscimento Facciale N volti su N immagini anche con più visi sulle immagini da ricercare con apposito database python KNN (Convolution Neural Network), addestrato ad ogni nuovo inserimento di nominativi in directory relativi al soggetto, tale programma permette di creare un vero e proprio database in directory per nominativo e l’addestramento “trainning” dell’intero dbase per la successiva comparazione di tutte le immagini posizionate in qualsiasi directory e contenenti immagini con diversi visi.
La directory /opt/computer_vision contiene numerosi altri programmi python per la comparazione e identificazione facciale, da utilizzare nelle investigazioni a norma di legge, che non saranno trattate in questa pubblicazione ma che ad ogni modo verranno elencate di seguito:
FACE DETECT LANDMARKS
- Face Detection
- Face Detect Tsurugi
- Face Detect Landmarks Tsurugi
- Face Landmarks Tsurugi
- Face Recognition
- FACE RECOGNITION WEB GUI
- Facerec Web GUI
- FACE RECOGNITION KNN
- Facerec KNN GUI
- LearnArgs KNN
- Learn RecognizeArgs KNN
- RecognizeArgs KNN
- FACE ENCODING
- Build Face Dataset
- Encode Faces Dataset
- Face Recognition Encoding
- Facerec Dataset Encoding GUI
- FACE DIRLIST
- Facerec DirList Image
- FACE RECOGNITION VIDEO
- Facerec video2video (Facerec from video save Video & Image)
- OBJECT DETECTION
- Object detection live write video
- Object detection live
- Object detection video write video
- Object detection video
- Object detection GUI
L’utilizzo di Tsurugi Linux in modalità live, caricandola da una chiavetta USB, consente di eseguire attività investigative mantenendo la privacy e la sicurezza dei dati. Al termine delle operazioni, tutti i dati e i file temporanei vengono cancellati semplicemente riavviando il sistema operativo, poiché questi vengono caricati temporaneamente in area temp e in RAM. Questo approccio è conforme al GDPR e alle normative sulla protezione dei dati personali, a meno che le attività non siano autorizzate dall’Autorità Giudiziaria o rientrino nei poteri di iniziativa della Polizia Giudiziaria o nelle autorizzate attività d’istituto.
Altri Tool di Analisi
Tsurugi Linux include numerosi altri strumenti per la computer vision e l’analisi delle immagini, come ad esempio:
- ExifTools: Per la lettura dei metadati.
- Steganografia: Strumenti come steghide, stegsnow, stegosuite per rilevare informazioni nascoste nelle immagini.
Ecco un elenco non esaustivo dei tool disponibili:
- Darktable
- Sherloq
- Depix
- Driftnet
- ExifRead
- exif
- exifprobe
- exiftime
- exiftool
- exiv2
- findimagedupes
- ForensicPlate
- GenPixed
- imageDifferenceHash_dirlist
- jpeg_extract
- mat2
- outguess
- outguess-extract
- pngcheck
- pngcrush
- pngsplit
- recoverjpeg
- seek_script
- searchScreenshots
- stegtools
- steghide
- stegsnow
- stegosuite
- stegoveritas
- stegoveritas_hide_lsb
- vinetto
Utilizzo Responsabile e Legale
Tutti questi strumenti sono progettati per eseguire calcoli matematici e biometrici avanzati senza memorizzare immagini o database di immagini. È fondamentale che l’uso di questi strumenti avvenga sempre nell’ambito delle attività legali e con le adeguate coperture di legge, tenendo conto della privacy e del GDPR. È inoltre essenziale che l’utilizzo dei tool di cybersecurity e analisi forense avvenga in modo etico e responsabile.
Tsurugi Linux fornisce potenti strumenti che, se usati correttamente, possono significativamente migliorare le capacità di investigazione e analisi in vari campi nonche la protezione delle infrastrutture informatiche grazie anache alla presenza di importanti programmi come Suricata, Velociraptor, Yara e molti altri che utilizzano gli indicatori MISP (Malware Information Sharing Platform & Threat Sharing) oltre ai già citati IOCs (Indicators of Compromise) già sopra citati ed utilizzati in altri programmi, assicurando allo stesso tempo il rispetto delle normative vigenti e degli standard etici.
Conclusioni
Tsurugi Linux si afferma come un sistema operativo di alta sicurezza, essenziale non solo per il sistema Italia, ma anche per l’Europa e tutti gli utilizzatori globali. La distribuzione garantisce la sicurezza dei programmi e dell’intera piattaforma, offrendo un supporto robusto per numerose attività di cybersecurity.
L’utilizzo di software open source, come quello offerto da Tsurugi Linux, presenta vantaggi significativi. La possibilità di verificare la genuinità del codice da parte di chiunque ne accresce la trasparenza e la sicurezza. Questo approccio open source consente una continua evoluzione del software, anche se la perfettibilità dei prodotti richiede un grande impegno da parte degli sviluppatori, i quali dedicano il loro tempo libero al progetto senza alcun contributo economico o legale.
Tsurugi Linux è dotato di strumenti avanzati per operare in diversi ambiti della cybersecurity, dalla DFIR (Digital Forensics and Incident Response) all’analisi del malware, dall’OSINT (Open Source Intelligence) alla computer vision e picture analysis. Tuttavia, oltre alla capacità di utilizzare questi strumenti, è sempre più importante acquisire competenze di programmazione e sviluppo di software. Questo permette di controllare meglio il software utilizzato e di creare programmi personalizzati per esigenze specifiche.
Questa pubblicazione rappresenta una semplice sintetica descrizione delle potenzialità di un intero sistema operativo con innumerevoli applicativi e programmi che coprono una vasta gamma di aree della Cyber Security (anche se non tutti sicuramente) e su ulteriori pubblicazioni saranno approfondite le varie aree e programmi in modo piu’ dettagliato e specifico con esempi da applicare sul campo e molto pragmatici.
Lo scrivente ha inserito numerosi programmi per semplificare operazioni complesse e molti altri verranno aggiunti, in particolare per la trascrizione e traduzione automatica e per l’analisi della blockchain, con l’obiettivo di ricostruire le transazioni delle blockchain pubbliche come Bitcoin, Ethereum, USDT, USDC e altre. Questi programmi sono in fase di debug e miglioramento, ma il tempo libero è prezioso e il progresso procede più lentamente rispetto ai progetti closed source.
Con il progetto Tsurugi Linux, si spera di offrire un contributo significativo alla cybersecurity italiana ed europea, pubblica e privata, senza escludere nessuno ed anche a quella Mondiale visto che la sicurezza informatica di ognuno riguarda tutti in un eco-sistema informatico sempre piu’ intrecciato e complesso a livello Globale. L’obiettivo è supportare un ecosistema sicuro e trasparente, dove la sicurezza informatica sia accessibile e verificabile da tutti, promuovendo la collaborazione e l’innovazione nel campo della cybersecurity.
Articolo a cura di Antonio ‘Visi@n’ Broi
"Antonio "aka" Vision" Broi" sviluppatore nella Distro Linux Tsurugi-Linux.org
Socio fondatore e formatore Osint e Digital Forensic nell'associazione lab4int.org