Distribuzioni per l’hacking etico e le analisi forensi
Le distribuzioni forensi per Linux sono sistemi che permettono di accedere a un PC e ai dati in esso contenuti senza alterarne lo stato e senza nemmeno utilizzarne l’ambiente preinstallato.
Spesso, infatti, quando si cerca una prova su un dispositivo informatico si presenta la necessità di poter accedere al dispositivo stesso in modalità “read only”, cioè con il vincolo di non poter scrivere sul disco e quindi alterarne il contenuto, per poterne fare una preview dei contenuti o per realizzarne ad esempio una copia forense.
Ricordiamo, a tal proposito, quanto riportato nei vari articoli del codice di procedura penale oggetto di modifica a seguito della Legge 48 del 2008 (Legge di ratifica ed esecuzione della Convenzione di Budapest del 2001 sulla criminalità informatica), che prescrive che l’acquisizione dei dati a fini probatori avvenga “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione“, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.”
Esistono diversi approcci a tale problematica, uno dei più utilizzati è appunto quello delle cosiddette “distribuzioni forensi”: come Tsurugi, Caine, sono i nomi di alcune tra le più note distribuzioni di Linux realizzate per aiutare i professionisti della digital forensics a eseguire attività anche complesse con costi per l’utente finale prossimi, tra l’altro, allo zero.
Queste distribuzioni sono utilizzate oltre che per le analisi forensi anche per l’hacking etico. L'hacking etico è l'uso di tecniche di hacking da parte di soggetti legittimi nel tentativo di scoprire, comprendere e correggere le vulnerabilità della sicurezza in una rete o in un sistema informatico. Gli hacker etici hanno le stesse competenze e utilizzano gli stessi strumenti e tattiche degli hacker malevoli, ma il loro obiettivo è sempre migliorare la sicurezza della rete senza danneggiare la rete o i suoi utenti.
Per molti versi l’hacking etico è come una prova generale degli attacchi informatici nel mondo reale. Le organizzazioni assumono hacker etici per lanciare attacchi simulati sulle loro reti di computer. Durante questi attacchi gli hacker etici dimostrano come i criminali informatici reali potrebbero introdursi in una rete e cosa potrebbero o probabilmente fare una volta entrati. Gli analisti della sicurezza delle organizzazioni possono utilizzare queste informazioni per eliminare le vulnerabilità, rafforzare i sistemi di sicurezza e proteggere i dati sensibili.
I termini "hacking etico" e "penetration testing" vengono talvolta utilizzati in modo intercambiabile. Tuttavia, i test di penetrazione (discussi di seguito) sono solo uno dei metodi utilizzati dagli hacker etici. Gli hacker etici possono anche condurre valutazioni delle vulnerabilità, analisi del malware e altri servizi di sicurezza delle informazioni.
Per molti versi l’hacking etico è come una prova generale degli attacchi informatici nel mondo reale. Le organizzazioni assumono hacker etici per lanciare attacchi simulati sulle loro reti di computer. Durante questi attacchi gli hacker etici dimostrano come i criminali informatici reali potrebbero introdursi in una rete e cosa potrebbero o probabilmente fare una volta entrati. Gli analisti della sicurezza delle organizzazioni possono utilizzare queste informazioni per eliminare le vulnerabilità, rafforzare i sistemi di sicurezza e proteggere i dati sensibili.
I termini "hacking etico" e "penetration testing" vengono talvolta utilizzati in modo intercambiabile. Tuttavia, i test di penetrazione (discussi di seguito) sono solo uno dei metodi utilizzati dagli hacker etici. Gli hacker etici possono anche condurre valutazioni delle vulnerabilità, analisi del malware e altri servizi di sicurezza delle informazioni.
Vediamo ora quali sono quali sono le principali distribuzioni linux utilizzate per l’hacking etico e le indagini forensi.
Kali Linux
Kali Linux è una distribuzione GNU/Linux basata su Debian, pensata per l'informatica forense e la sicurezza informatica, in particolare per effettuare penetration testing. Kali offre agli utenti un semplice accesso ad una larga collezione di tools per la sicurezza dal port scanning ai password cracker. La sua GUI è Xfce, ma ne esistono altre versioni con KDE, MATE, GNOME 3 o LXDE. Supporta live CD e live USB, questa funzionalità offre agli utenti l'avvio di Kali direttamente da CD/USB senza bisogno di installazione, anche se nelle opzioni è presente la possibilità di installazione sul disco rigido. E' sicuramente la distribuzione più diffusa nei test di sicurezza.
Kali Linux lo trovate a questo link:
Tsurugi Linux
Tsurugi Linux è una distribuzione Linux forense tutta italiana. Tsurugi-Linux viene distribuita in due versioni distinte, con finalità diverse, integrate da una raccolta di strumenti destinati ad attività incident response:
- Tsurugi Lab: piattaforma dedicata all’informatica forense (acquisizione e analisi), OSINT e analisi malware, avviabile direttamente su DVD o su pendrive, distribuita come ISO ma, potenzialmente, installabile su un PC o su di una macchina virtuale;
- Tsurugi Acquire: sistema dedicato alla sola fase di acquisizione forense, con possibilità di eseguire poche altre veriche;
- Bento: raccolta di tool per Windows, Mac e Linux, da utilizzare su sistemi accesi e avviati per attività d’incident response o analisi forense sul campo.
All’interno di Tsurugi Linux sono presenti numerosi software per la digital forensics, organizzati in alcuni menù: copie forensi, calcolo di hash, mount di device, generazione di timeline, analisi di artefatti, analisi di malware, analisi di rete, analisi di immagini, recupero dati cancellati, OSINT, memory forensics, mobile forensics, OSINT, software per cryptovalute, attacchi a password e molto altro. Particolarmente interessanti i tool per Tsurugi Linux password.
Il sistema è inoltre corredato da numerosi driver che supportano numerosi supporti hardware (SATA, IDE, RAID…) per consentire l’avvio dal maggior numero di PC possibili, anche obsoleti.
Come tutte le distribuzioni linux, anche la distribuzione Tsurugi consente di montare dispositivi di memorizzazione di dati digitali, anche con blocco in scrittura.
Tsurugi Linux lo trovate a questo link:
Arch Strike
ArchStrike, una distribuzione Linux legata alla sicurezza basata su Arch Linux, è ampiamente utilizzata dai professionisti della sicurezza informatica.
Deriva le sue radici da Arch Linux ed offre una vasta gamma di opzioni quando si tratta di gestione dei pacchetti. La facilità di installazione e rimozione dei pacchetti disponibili rende questo sistema operativo perfetto per gli utenti finali.
Ci sono più di 5000 strumenti disponibili su questo sistema relativi a sfruttamento, ingegneria sociale, spoofing, malware, forza bruta, networking, medicina legale, DDoS ed enumerazione.
Arch Strike lo trovate a questo link:
Demon Linux
Demon Linux è un sistema operativo basato su Linux comunemente usato per l’hacking etico. Nonostante il suo tema scuro, continua ad essere una distribuzione leggera e facile da usare per i professionisti della sicurezza.
Demon Linux lo trovate a questo link:
Cyborg Hawk
Cyborg Hawk è una distro basata su Ubuntu che ospita più di 750 strumenti open source.
Cyborg Hawk occupa una posizione piuttosto alta nell’elenco dei sistemi operativi di sicurezza e valutazione della rete. E' persino eseguire test accurati sulla sicurezza mobile e sull’infrastruttura wireless all’interno di questo sistema operativo. E' una distribuzione che fa abbastanza bene il suo lavoro.
Cyborg Hawk è un sistema operativo affidabile e stabile, che viene fornito con il proprio repository software.
Cyborg Hawk lo trovate a questo link:
Backbox
BackBox è un sistema operativo open source basato su Ubuntu, che è diventato rapidamente uno dei nomi più popolari nel mondo dell’hacking etico.
Inoltre, fornisce agli utenti un toolkit di analisi di rete, che è molto utile nel mondo dei test di penetrazione. BackBox viene fornito con 70 strumenti. Alcuni strumenti preinstallati comuni includono Metasploit, SQLmap, Aircrack-ng, Nmap, Scapy, w3af e Wireshark, tra molti altri.
Backbox lo trovate a questo link:
Parrot OS
Parrot Security, basato su Debian, è fatto su misura per esperti di sicurezza, utenti attenti alla privacy e sviluppatori. Eredita i suoi repository di codice da Debian ed è sviluppato in collaborazione con CAINE. Supporta browser per la privacy e software crittografici come I2P e Tor.
Parrot Security, come sistema operativo, è dotato di un arsenale completo di strumenti per la sicurezza informatica e le indagini forensi, viene aggiornato regolarmente, è abbastanza sicuro ed è completamente sandbox. Parrot OS lo trovate a questo link:
CAINE
CAINE è una distro Linux che trae origine da Ubuntu diventata rinomata e popolare. CAINE offre un menu grafico e un’interfaccia user-friendly.
L’interfaccia grafica di CAINE offre un ambiente forense completo, che è possibile integrare con gli strumenti software esistenti. Se stai cercando un rapporto significativo e ben strutturato per aiutarti con un’indagine migliore e favorire la comunicazione con il tuo team, CAINE dovrebbe essere la tua prima scelta.
Alcuni strumenti forensi comuni all’interno di questo sistema operativo includono Autopsy, The Sleuth Kit, Wireshark, PhotoRec, fsstat, RegRipper e tinfoleak.
CAINE lo trovate a questo link:
Pentoo
Pentoo è un sistema operativo open source basato su Linux, disponibile in architetture a 32 e 64 bit. Se hai usato Gentoo Linux in passato, troverai Pentoo relativamente facile da installare e usare.
Pentoo è disponibile con un UEFI completo ed è ben equipaggiato con UNetbootin, un software di supporto per l’avvio sicuro. Grazie alla funzionalità di esecuzione live del sistema operativo, puoi eseguirlo direttamente da una chiavetta USB.
Questa distribuzione viene fornita con Xfce come ambiente desktop predefinito. Xfce è un desktop leggero e affidabile e offre un sacco di opzioni personalizzabili. Alcune categorie di strumenti aggiuntivi includono, fuzzer MitM, cracker e strumenti di indagine forense. Offre anche una serie di applicazioni vitali che includono GPGPU, OpenCL, CUDA, John the Ripper e Hashcat.
Pentoo lo trovate a questo link: