CAINE: una nuova distribuzione GNU/Linux per l’informatica forense
Ottobre 27th, 2008
Eccomi finalmente a parlare di CAINE, oggi che vi è il lancio sul web non potevo esimermi dal parlarne e, seppur stanco, mi sono obbligato a trovare il tempo di scriverne.
CAINE è una nuova ditribuzione GNU/Linux per la computer forensics e nasce come sviluppo della tesi universitaria di Giancarlo Giustini, attualmente ricercatore dell’Università di Modena e Reggio Emilia, il quale, sotto la guida del professore Michele Colajanni, ha sviluppato il progetto di questa nuova distribuzione basata su Ubuntu 8.04.
Il progetto è inoltre stato presentato al “The 1st Workshop on Open Source Software for Computer and Network Forensics” tenutosi lo scorso settembre a Milano.
il desktop di CAINE
Il panorama dei live-cd vede diversi prodotti di questo tipo, perchè realizzarne quindi un altro?
Cosa differenzia sostanzialmente CAINE dalle altre distribuzioni?
La differenza è fatta dal tool CAINE, da cui la distro prende il nome.
banner interfaccia CAINE
Trattasi di una interfaccia realizzata in GTK2-Perl, al fine di aver la miglior integrazione possibile nel desktop environment Gnome, attraverso la quale è possibile avviare ed utilizzare con semplicità alcuni degli strumenti di digital forensics più utilizzati.
Ma non solo!!
Questa integrazione in una unica GUI di avvio non è fine a se stessa, alla sola semplicità d’uso, ma è stata sviluppata per consentire la realizzazione in automatico di un report delle operazioni, attraverso l’applicazione di timestamp che ordinano cronologicamente le operazioni svolte, integrando i log di esecuzione in un unico report
All’avvio dell’interfaccia veniamo “invitati” a creare il rapporto, si tratta della fase di inizializzazione in cui sono registrati i tempi di inizio delle operazioni.
CAINE start-up
Successivamente vengono presentati all’operatore quattro sheet che raggruppano alcuni strumenti, suddividendoli per aree di utilizzo:
- Information Gathering;
- Acquisizione;
- Analisi;
- Creazione del report.
Si inizia ad operare
Lo sheet “Grissom Analyzer” raccoglie quattro tool destinati all’information gathering da svolgersi sulla macchina, i device o l’immagine da analizzare.
Sono quindi presenti mmls, img_stat e fsstat, tre tools facenti parte dello SleuthKit, destinati a mostraci le caratteristiche delle partizioni, dell’immagine e del file system oggetto di indagine.
È inoltre presente LRRP, una bash script che ho realizzato per CAINE ed a giorni renderò disponibile sul blog, che automatizzando una serie di operazioni di interrogazione consente di raccogliere informazioni sulle caratteristiche del device e sulla configurazione hardware della macchina sospetta.
LRRP registra, inoltre, nel proprio log se i device oggetto di analisi sono montati e nel caso in quale modalità.
Lo sheet “Acquisizione” palesa immediatamente la funzione dei tools che raccoglie!
sheet "Acquisizione"
Attraverso questo pannello è possibile procedere all’acquisizione dell’immagine bitstream del device sorgente utilizzando il noto tool AIR,
air-automated-image-restore
oppure avviare il terminale per utilizzare i classici tool di duplicazione quali dd, dcfldd, o le ewflib (di cui ho gia ampiamente parlato qui e qui) che consentono l’acquisizione di immagini forensi nei formati (comunemente detti) di EnCase.
Le operazione svolte al terminale sono loggate attravero “script”, motivo per il quale al termine dello operazioni di shell è necessario digitare “exit”.
Il terminale presente in questo sheet può essere utilizzato per qualunque altra funzione, avendo il vantaggio di loggare tutte le operazioni svolte e gli output restituiti dalla bash, parte utile e non disponibile se si procede al solo recupero della history dei comandi digitati da shell.
Chi fosse interessato ad acquisire immagini nel formato EWF e non ama la riga di comando può utilizzare l’interfaccia grafica resa disponibile da Guymager. Credo al momento CAINE sia l’unica altra distro, oltre ad FCCU v12.0, a disporre di tale tool che, rammento, a differenza di Linen, è OpenSource.
Lo sheet “Analisi” raccoglie i tools più classici della disciplina, quali Autopsy, Foremost, Scalpel, Stegdetect e OphCrack (privo di table per ovvi limiti di dimesnioni dell’immagine iso del cd).
sheet "Analisi"
Cliccando il tasto corrispondente ad Autopsy viene automaticamente avviato Firefox, con impostato il corretto indirizzo locale, mentre scegliendo Foremost e Scalpel si ha la possibilità, oltre a scegliere file di input e directory di output, di scegliere o editare i file di configurazione per il carving.
La GUI di configurazione e avvio di Foremost
Sono inoltre presenti SFDumper per il recupero selettivo dei file e FUndl (File Undelete), altro script bash nato dalla collaborazione di Bassetti e me, per il recupero dei soli file cancellati.
Lo sheet “Rapporto” consente di aggiungere proprie note utilizzando la funzione “Rapporto personale”
Sheet "Rapporto"
e di creare il rapporto in formato RTF o HTML. Attraverso il pulsante “Cartella Report” sarà possibile accedere al file di log e rapporto generato.
Per quanto CAINE possa essere definità “acerba” lo spazio e le prospettive di crescita, se il progetto rimarrà vivo e supportato del team di lavoro attuale, sono buone.
Seppur giovane questa distro presenta le novità sopra menzionate ed esordisce per prima nel panorama internazionale con a corredo le ultime versioni dello SleuthKit (v.3.0.0) e di Autopsy (v.2.20).
La cassetta degli attrezzi, o meglio l’insieme di tools inseriti, verà migliorato nel tempo in base alle esigenze espresse dagli utenti, ma l’indirizzo attuale del team di sviluppo è quello di proporre una versione su cd, per le attività di acquisizione e preview, ed una su dvd che, una volta installata (e CAINE si installa senza problemi!!), metta a disposizione dell’analista forense una forensics workstation (quasi) perfetta.
È inoltre prevista a breve la traduzione in lingua inglese.
Sono felice di aver potuto far parte, unitamente a Nanni Bassetti, a Lanzi “Pigio” Giordano ed allo staff di Conoscerelinux (LUG Modena) del team di tester coinvolti da Giancarlo Giustini e dal Prof.Colajanni nello sviluppo di CAINE.
Gli scambi arricchiscono sempre tutte le parti, in pieno spirito di condivisione dell’informazione.
Le prime immagini iso di CAINE sono state distribuite sabato 25 ottobre 2008 presso l’Università di Modena e Reggio Emilia nel corso del locale Linux Day 2008 e da oggi (tempo che Giancarlo arrivi in Università e uploadi l’immagine sul server) saranno disponibili al pubblico!
Il sito di riferimento da cui scaricare iso e documentazione è caine-live.net, mentre chi è interessato alla fase di sviluppo può seguirla qui.
A titolo informativo ecco la presentazione portata da Giancarlo Giustini al Linux Day 2008 di Modena:
Leave a Reply