Tsurugi Linux es un proyecto de código abierto de respuesta a incidentes y análisis forense digital basado en Ubuntu Linux. Descubra cómo utilizar esta distribución como una máquina virtual en su sistema operativo.
El análisis forense digital y la respuesta a incidentes son actividades complementarias que no solo requieren un conocimiento sólido de los sistemas operativos e Internet, sino también una gran cantidad de herramientas, dependiendo del objetivo deseado. Un investigador podría querer simplemente recuperar un archivo de un disco duro adquirido de forma forense, mientras que otro podría querer hacer un análisis completo de un sistema y verificar varios elementos al respecto. Tsurugi Linux permite hacer todo esto.
Tsurugi Linux viene en diferentes sabores:
- Una distribución completa para uso completo en vivo o instalación.
- Una máquina virtual lista para ser instalada en su sistema operativo host, sin importar cuál utilice: Windows, Mac o Linux.
- Una versión más ligera de 32 bits dedicada solo a realizar adquisiciones de discos en vivo.
- Un kit de herramientas forense portátil creado para ayudar a realizar investigaciones en vivo.
El uso principal de dicha distribución es ser una máquina virtual dedicada a ejecutar todas las investigaciones necesarias. Por lo tanto, mostraremos cómo usarlo de esa manera.
Índice de contenidos
Lo que necesitarás
Además de una computadora con un sistema operativo Windows, Mac o Linux, se necesita un software de virtualización. Entre varios, elegimos VirtualBox porque es un software de código abierto muy popular y fácil de usar.
También debe descargar el dispositivo virtual de Tsurugi Linux a través de uno de los espejos de su página de descarga. En la página, elija un espejo y comience a descargar el archivo que termina con .ova (Figura A).
Figura A
El archivo .ova de Tsurugi Linux para descargar en uno de los espejos oficiales.
Cómo instalar el dispositivo virtual
Abra VirtualBox y elija Archivo / Importar dispositivo, luego seleccione el archivo de dispositivo virtual local que acaba de descargar (Figura B).
Figura B
Seleccione el archivo del dispositivo virtual para la instalación en VirtualBox.
Haga clic en Siguiente y luego en Importar, lea y acepte el acuerdo de licencia del software. Se está instalando el dispositivo virtual (Figura C).
Figura C
Importando el dispositivo virtual.
Cómo iniciar el dispositivo virtual
Seleccione la máquina virtual Tsurugi en VirtualBox y haga clic en Iniciar. La máquina virtual se inicia y muestra la página de inicio de sesión del usuario predeterminado, tsurugi (Figura D).
Figura D
La página de inicio de sesión para el usuario tsurugi predeterminado.
Ingrese la contraseña predeterminada, tsurugi. La distribución de Linux ya está lista para funcionar.
Cómo configurar el medio ambiente
Ahora es el momento de instalar VirtualBox Guest Additions, que permitirá que la máquina virtual se ejecute en pantalla completa, comparta el portapapeles o carpetas entre el host y las máquinas invitadas y mejore su rendimiento.
Seleccione Dispositivos / Insertar imagen de CD Guest Additions en VirtualBox.
Aparece un icono de CD, llamado así por la versión de adiciones de invitados de VirtualBox (Figura E).
Figura E
Aparece el CD VirtualBox Guest Additions.
Haga doble clic en el CD, luego haga clic con el botón derecho en VBoxLinuxAdditions.run y seleccione Ejecutar como administrador (Figura F).
Figura F
Ejecutando la instalación de las adiciones de invitados de VirtualBox.
Una vez que se haya ejecutado la instalación, reinicie la máquina virtual y disfrute de la comodidad de la máquina virtual con las adiciones de invitados (Figura G).
Figura G
Características principales de Tsurugi Linux
Tsurugi Linux se basa en la famosa distribución Ubuntu LTS (64 bits) con un kernel parcheado, que implementa algunas características interesantes.
Bloqueador de escritura del kernel
De forma predeterminada, todos los dispositivos conectados al sistema están montados en modo de solo lectura. Esta es una característica necesaria para cualquier investigador que quiera ejecutar un análisis en un dispositivo que no quiere alterar de ninguna manera, preservando así toda la evidencia en el dispositivo.
Conmutador de perfiles OSINT
Esta función se puede activar con un doble clic desde el escritorio y cambia entre dos perfiles de usuario diferentes: uno está configurado para análisis forense digital y respuesta a incidentes, mientras que el segundo está configurado para propósitos de inteligencia de código abierto.
Cientos de herramientas DFIR
Las herramientas DFIR se clasifican de manera inteligente en Tsurugi Linux, de modo que cualquier investigador o académico pueda encontrar fácilmente la herramienta adecuada que cumpla su propósito (Figura H).
Figura H
Categorías de herramientas, como se muestra en Tsurugi Linux.
La distribución de Tsurugi Linux muestra capacidades impresionantes para cualquier profesional de DFIR que quiera tener todo lo que necesita a mano, en una única distribución. También podría ser una distribución de elección para académicos y estudiantes que deseen verificar varias herramientas DFIR u OSINT durante sus estudios o investigación.
Aparte de la distribución completa de Tsurugi Linux, la versión más liviana que está diseñada para realizar adquisiciones de discos en vivo también puede ser interesante para los profesionales de DFIR, ya que permite adquirir diferentes dispositivos de una manera forense sólida, preservando la evidencia al no alterar el dispositivo copiado.
