Мне часто задают вопрос: “Какой операционной системой ты пользуешься для OSINT?”. В этой короткой статье сделаю обзор на основные ОС для таких целей, а так же выскажу своем мнение, почему использование полноценных ОС для проведения расследований не всегда рационально.
В виде небольшого введения скажу, что комплексная ОС под различные задачи “из коробки”, на первый взгляд, довольно удобная вещь. Но это до тех пор, пока дело не дойдет до практики.
▪︎ ▪︎ ▪︎
CSI Linux
Самая распиаренная ОС для проведения расследований. CSI представляет из себя набор из целых трех ОС:
CSI Linux Analyst — основная рабочая станция. В ней есть как инструменты для расследований, так и для цифровой криминалистики.
CSI Linux Gateway — дополнительная станция, которая перенаправляет весь трафик CSI Linux Analyst через Tor.
СSI Linux SIEM — станция, предназначенная для обнаружения компрометации системы.
Сразу стоит отметить, что набор из трех ОС требует очень большого свободного пространства на жестком диске (около 60 гб). При этом, та же CSI Linux Gateway может быть заменена простыми инструментами анонимизации, которые можно установить на CSI Linux Analyst. Это сэкономит вам много свободного места на диске. В крайнем случае, можно использовать ту же Whonix Gateway, которая весит меньше.
Смысла в CSI Linux SIEM для обывателя я вообще не вижу. Если вы выполняете функции безопасника в компании, то это еще куда ни шло.
Пара слов про основную рабочую станцию — CSI Linux Analyst. Ничего необычного и нового вы в ней не увидите. Все тот же базовый набор инструментов для расследований и форензики: Maltego, Autopsy, Ghidra, Spider Foot, Sherlock и прочее. Все тоже самое можно найти в любом дистрибутиве (и, о боже, даже во всем известном Kali Linux). Из интересного, чего я не видел в других ОС “из коробки” — это Social Media Search Application (инструмент, позволяющий искать по нику, ФИО, номеру телефона и прочее). Правда данный инструмент есть просто в виде онлайн-сервиса: https://www.social-searcher.com
Тоже очень удобно.
Не претендую на глубокий анализ, так как пользовался системой буквально неделю и ничего интересного лично для себя не увидел. Более того, при установке некоторых необходимых утилит, у меня возникали “танцы с бубном”, потому что поставить что-то извне оказалось довольно сложной задачей.
✅ Резюме: места занимает много, некоторые малоизвестные утилиты ставятся довольно сложно, практически весь перечень установленных инструментов есть в большинстве дистрибутив для ИБ.
▪︎ ▪︎ ▪︎
Buscador
Buscador — еще один дистрибутив, который создавался специально под OSINT. Сделан он был David Wescott и Mike Bazzel. Второй — это довольно известный иностранный специалист по расследованиям, который выпускает тонны контента на тему OSINT. Так же он является автором одной из лучших книг по этой теме “Open source intelligence techniques”, которая постоянно переиздается, пополняясь более современными инструментами.
Если посмотреть на Buscador, то сразу станет понятно, что дистрибутив намного проще того же CSI Linux, но у него есть свои плюсы. Главный из них — это то, что утилиты, которые я пытался установить, в основном, ставились (хоть и с горем пополам). То-есть он, на мой взгляд, более стабильный. Да и весит он на порядок меньше, чем CSI Linux. В остальном — ничего нового. Все тот же базовый набор инструментов для OSINT.
✅ Резюме: более “ламповый” дистрибутив, весит меньше, чем CSI Linux, более стабилен в работе, набор инструментов — стандартный для OSINT.
▪︎ ▪︎ ▪︎
Что же выбрать?
Возможно я выскажу не очень популярное мнение, но, как по мне, самыми стабильными дистрибутивами являются Kali Linux и Parrot Security OS. Первую, обычно, очень не любят (хотя, почему-то, все на ней учатся и часто используют), а вторую превозносят как идеал для ИБ-специалистов разных профилей.
Лично я придерживаюсь следующего мнения:
Вы должны сами установить необходимый под ваши задачи софт лично для себя, а не использовать кучу всего “из коробки”
Для того, чтобы это было возможно, необходимо использовать такие дистрибутивы, у которых не возникает проблем с установкой внешних утилит (каких бы то ни было). На это можно сказать, что Kali и Parrot используются для ИБ, а не для OSINT. Ну хорошо, создайте отдельную папку под OSINT и пользуйтесь на здоровье. Зато, у вас не будет головной боли с установкой различных зависимостей и адаптивом утилит. Тем более, что в Kali и Parrot уже есть базовый набор предустановленных тулзов для OSINT.
Резюмирая, добавлю, что, как по мне, вести все расследования в одной ОС — не очень удобная затея. Большинство инструментов вообще не предполагает использование каких-либо linux дистрибутивов, а есть просто в виде онлайн-сервисов и, даже, иногда в виде telegram ботов. Все всегда зависит от конкретного кейса и инструментов, которые вам понадобятся для его решения.