У сучасному світі, де кіберзлочини стають все більш поширеними, важливо мати доступ до ефективних інструментів для розслідування та протидії цим загрозам. Одним з таких інструментів є операційна система CSI Linux, яка спеціально розроблена для потреб кібербезпеки та кібердосліджень. CSI Linux ставить своїм завданням надати користувачам інструменти для швидкого і точного виявлення цифрових слідів і доказів, які можуть бути використані для розслідування кримінальних справ або для забезпечення кібербезпеки в організаціях. Розробники цієї операційної системи стверджують, що вона спрощує процес роботи зі збиранням, аналізом та інтерпретацією цифрових даних, що робить її важливим інструментом для професіоналів в галузі кібербезпеки та кібердосліджень. Але чи справді це так? Давайте розбиратися…

Для початку, я хотів би навести трохи базової інформації стосовно цього дистрибутиву.
Офіційний веб-сайт: https://csilinux.com/
На день написання цією статті, як базову платформу CSI Linux використовує Ubuntu 22.04 LTS.
CSI Linux це опенсорс проект, тому всі бажаючи можуть допомагати робити його кращим.
Інсталяція досить проста і є багато відео на цю тему. Хоча зараз процес трохи змінився, і після завантаження образу диску, для запуску в VirtualBox просто потрібно додати (Machine -> Add) файл віртуального диску у форматі vbox.
Для входу в систему за замовчуванням використовуються користувач – csi, пароль – csi.
Також є ціла книга присвячена роботі з CSI Linux, яку можна купити.
Термінологія, список всього доступного програмного забезпечення в CSI Linux та інша документація доступна.

Раніше CSI Linux мав три різних пакети на платформі CSI Linux Investigator, але зараз CSI Linux Gateway та CSI Linux Analyst об’єднані в один пакет, а CSI Linux SIEM тепер доступний як окремий образ на офіційному сайті. Скачати всі дистрибутиви можна також на офіційному сайті.

Для більшого розуміння опишу згадані вище три складові частини CSI Linux:

CSI Linux SIEM: Це одна віртуальна машина, що входить до складу дистрибутиву CSI Linux Investigator. Фактично, це Ubuntu-дистрибутив, який містить налаштований Zeek IDS та ELK Stack (Elasticsearch, Logstash і Kibana). Використовується як система виявлення вторгнень для захисту інших віртуальних машин (CSI Linux Analyst та CSI Linux Gateway), а також для обробки журналів та відображення даних на панелях управління CSI Linux Analyst.

CSI Linux Gateway: Це користувацький шлюз TOR, який працює в “пісочниці” за допомогою таких утиліт, як Apparmor, Jailbreak і Shorewall Firewall. При використанні CSI Linux Analyst + CSI Linux Gateway весь трафік буде пропускатися через вузол TOR.

CSI Linux Analyst: Це “ядро” даного дистрибутива. Він представляє собою віртуальну машину Ubuntu з великою кількістю передвстановленого програмного забезпечення, згрупованого за категоріями. Список категорій ми розглянемо пізніше.

Варто зазначити, що в меню Incident Response є розділ CSI SIEM, але він не активний і видає CSI SIEM Installer and Launch utility coming soon… Що, вірогідно, свідчить про бажання  об’єднати і з третім дистрибутив  Проте в будь-якому випадку можна через віртуалізацію інсталювати і запустити в системі VirtulBox та запустити SIEM окремою віртуальною машиною, що дозволить мати повний набір пакетів на тому ж самому сервері. 

Давайте тепер трошки ближче познайомимось з вищезгаданою операційною системою.
Для початку роботи створюємо кейс (Іконка Start a Case на робочому столі або через Меню -> CSI Linux Tools -> Start a Case). Далі всі наступні операції можна виконувати в рамках створеного кейсу, де будуть зберігатися результати. Відразу при створенні пропонується почати роботу і є декілька опцій у CSI Case Management Menu.

Важливо знати, що більшість програмного забезпечення не встановлено наперед, і при виборі програми запускається автоматичний інсталяційний скрипт. Тепер давайте швидко розглянемо список програм (всіх предвстановлених та ні) в кожній доступній категорії:

CSI Linux Tools:

Набір програм для оновлення системи, управління CSI Tor VPN та Whonix Gateway для маршрутизації трафіку, робота з API ресурсів, що використовуються в CSI Linux, скачування відео та створення скріншотів з різних онлайн ресурсів та багато іншого;

Secure Comms:

В цій категорії доступні “безпечні” онлайн-месенджери;

Encryption:

Все для розшифрування хешів, підбору паролів, зберігання паролів та особистих даних;

OSINT/Online Investigations:

Досить велика категорія, в якій кожен знайде потрібні інструменти для завдань OSINT. З найцікавіших: пошук по соціальних мережах, телефоні, електронній пошті;

Dark Web:

Якщо у дослідника проблеми з підключенням, то ця категорія йому підходить. ‘TOR > VPN’, ‘WHONIX’ і так далі, все для приємного серфінгу;

Incident Response:

Все для розслідування інцидентів, сканери для шкідливого ПО, аналіз мережі (Wireshark) і інше;

Computer Forensics:

Комп’ютерна криміналістика (відновлення втрачених даних та аналіз файлів);

Mobile Forensics:

Мобільна криміналістика (інструменти для аналізу та роботи з мобільними телефонами);

Vehicle Forensics:

Автомобільна криміналістика. Набір утиліт для роботи з CAN (Controller Area Network) протоколом. CAN — це мережева технологія, що широко використовується в автоматизації, вбудованих пристроях і автомобільній галузі;

Malware Analysis and Reverse Engineering:

Для аналізу шкідливих скриптів і програм, реверс-інженерія;

SIGINT:

Набір програм для аналізу, взлому та програмування радіоканалу (FM, WiFi, тощо);

Virtualization:

Набір менеджерів для роботи з віртуалізацією;

Threat Intelligence:

Розвідка про загрози, мапи кіберзлочинів по всьому світу та інше.

Нижче кілька скріншотів роботи в CSI Linux та спроби пошуку по юзернейму, електронній пошті.

ВИСНОВОК:

Після базового ознайомлення з системою та проведення декількох тестів пошуку за телефоном, поштою та юзернеймом, можу сказати, що CSI Linux частково працює з коробки, але в більшості випадків потрібно налаштовувати саме програмне забезпечення, яким ви намагаєтеся щось досліджувати. Є проблема з блокуванням бота, через який виконується криміналізація, оскільки IP-адреси tor VPN, мають погану репутацію або можливо сайти ідентифікують його як роботу бота і тому швидко блокують конекти. В системі відчутне спрямування до роботи з найвідомішими у світі ресурсами та соцмережами,  але не має підтримки “з коробки” до локальних, що можуть бути найбільшими в тій чи іншій країні світу. Однозначно, набір програм досить цікавий, хоча не все працює одразу, як вже зазначено. Для прикладу, коли я шукав дані за своєю електронною поштою, через buster знайшло статтю 15-річної давнини на “Економічній правді” зі згадкою моєї адреси та Skype-аккаунта. Проте, через звичайний пошук Google можна знайти все те ж саме та навіть більше. Далі, ще по нікнейму пошук видав просто купу непотрібної та недостовірної інформації, яка, в теорії, може бути корисною, якщо відфільтрувати її  вручну.

Тепер я хотів би додати трохи порівняння з конкуруючою до CSI Linux і більш відомою операційною системою. У кіберспільноті  користується популярністю дистрибутив Linux під назвою Kali Linux, і він є базовим серед багатьох спеціалістів в галузі кібербезпеки. Однак, порівнюючи ці дві системи, можна сказати, що програмне забезпечення, яке пропонується за замовчуванням в кожній з них, досить сильно відрізняється. Важливо розуміти, що весь софт, представлений в CSI Linux, може бути встановлений на Kali Linux та навпаки, оскільки обидва базуються на Ubuntu/Debian і по суті є розширенням до бази. Як заявляють самі розробники, Kali Linux зі своїм набором програм призначений більше для завдань, таких як тестування на проникнення, дослідження безпеки, комп’ютерна експертиза та реверс-інженерія. Як тільки  залогінитесь в систему і проглянете основне меню, то знайдете в основному софт для тестування сайтів, соцмереж або серверів на вразливості чи взлом. Там дуже багато різних ботів, атакерів, програм для аналізу мереж і тому подібне.

Отже,  ці дві системи на одній базі, але створені та налаштовані для різних завдань, хоча і можуть взаємозаміняти одна одногу. У CSI Linux є право на існування і вона точно розвивається на краще, але багато чого треба “доробляти” під свої потреби і до цього варто бути готовим. “Пробив” через набір програм є, але не має якогось вау-ефекту і достатньо  багато нестиковок.
 Сподіваюсь ви знайшли цю статтю цікавою для себе. Доречі, маю відмітити що спільноти CSI є своя академія, де можна пройти курс по тій чи іншій частині проекту. Подробиці за посиланням CSI Linux Academy.