Distribuição CAINE Linux para forense digital: em Live-CD, pendrive, máquina virtual ou direto em seu Ubuntu 10.04

Esse artigo visa descrever e abordar alguns aspectos da distribuição de análise forense CAINE.

[ Hits: 22.363 ]

Por: Luiz Vieira em 25/01/2011 | Blog: http://hackproofing.blogspot.com/


CAINE - Computer Aided INvestigative Environment



Sei que muitos que lêem essa dica conhecem várias distribuições Linux desenvolvidas para a atuação de investigadores de forense digital, e eu mesmo em meu curso de Forense Digital acabo utilizando várias delas, tais como DEFT, FDTK, HELIX, REMnux, Peri-Br etc.

No entanto, dentre tantas distribuições, gostaria de citar uma, desenvolvida por um italiano, que possui uma qualidade digna de nota, que pode ser comparável à distro não-gratuita e reconhecida mundialmente Helix, que é a CAINE.

A distribuição CAINE, que significa Computer Aided INvestigative Environment, está no momento em sua versão 2.0 e agrega diversas ferramentas para análise tanto de máquinas Linux quanto Windows (com grande destaque à ferramenta WinTaylor, que permite extrairmos dados significantes em uma investigação em máquinas Windows). Um dos destaques dessa distro, e conta pontos no que diz respeito à facilidade de gerenciamento da mesma e na instalação dos pacotes, é que a mesma está baseada no Ubuntu 10.04 (LTS).

O que é interessante também nessa distribuição, é que seu desenvolvedor disponibilizou seu download em quatro formatos diferentes, permitindo sua utilização em diversos ambientes de trabalho. São eles:
  • Máquina virtual = onde o investigador pode rodar a distro pelo VirtualBox ou VMWare, diretamente.
  • Live-CD = formato tradicional, a partir do qual pode executar suas ferramentas como um Live-CD ou instalá-lo em uma máquina, transformando-a em uma estação de investigação forense.
  • Caine Portable - NBCaine = permitindo a execução direta da distro pelo pendrive, ou outro dispositivo USB, incluindo já o WinTaylor. Isso quer dizer que se inserir o pendrive na USB de um micro Windows ligado, já teremos acesso à todas as ferramentas de aquisição de evidências e análise diretamente em um sistema vivo, sem precisar desligar a máquina e dar o boot pelo dispositivo.
  • Caine-From-Deb = pacote que permite, caso o usuário possua uma máquina rodando Ubuntu a partir do 10.04, instalar as principais ferramentas do Caine em sua estação de trabalho, transformando-a em uma estação de investigação forense.

É possível visualizar na página da distribuição, uma lista com a maioria das ferramentas instaladas por default na distribuição, assim como uma pequena descrição de sua serventia. Para tanto, acessem o link:
Outra coisa interessa é a existência de uma tela central onde as principais ferramentas para uma investigação básica estão reunidas, separadas em categorias e que permitem a criação de um relatório automatizado a partir dos dados adquiridos em sua utilização. Nas duas telas abaixo podemos ver um print dessa tela, e suas abas divisórias que agrupam as ferramentas em categorias de utilização.
Eu poderia ficar mais um tempo escrevendo sobre suas ferramentas e funcionalidades próprias, mas deixarei isso para um artigo um pouco mais longo. Mas para finalizar, quero agradecer a colaboração de um profissional brasileiro da área de forense através de alguns scripts e outras coisas mais, para essa excelente distribuição que é o CAINE. Seu nome é Tony Rodrigues, e quem quiser conhecer seu trabalho, podem acessar seu blog:
É isso. Espero que aqueles que possuem espírito curioso, baixem essa distro e comecem a fuçar suas ferramentas, e quem sabe venham a fazer parte de nosso time dos profissionais de investigação de crimes digitais.

Para quem quiser tirar dúvidas e conhecer um poco mais sobre as funcionalidade dessa distribuição especializada, indico também o fórum existente no site e acessível pelo endereço:
Acredito que a cada versão o CAINE só tende a melhorar, principalmente com o auxílio da comunidade. Como investigador de crimes digitais, senti falta de algumas ferramentas, mas nada que não se possa resolver com um "./ configure & make & make install" ou "apt-get install".

No entanto, confesso que tive problema com a utilização do framework volatility e o TCT, mais especificamente com o comando grave-robber (que hoje em dia foi substituído pelo Sleuth Kit).

Outra ferramenta da qual senti falta foi o Xplico, para análise de tráfego web, que permite remontarmos o tráfego capturado e exibir uma página web acessada através da rede.

Outra coisa que pode ser acrescentada, também, é alguma suíte de ferramentas para aquisição de evidência, ou mesmo apenas o dump de memória, de dispositivos móveis através de uma tela como é feito com o Guymager e o AIR. Isso certamente agilizaria o processo de investigação em dispositivos móveis. Mas como escrevi acima, tenho plena confiança no avanço cada vez maior da distribuição e que em breve não deixará nada a desejar a qualquer outra que possui o mesmo objetivo.

Até a próxima!

   

Páginas do artigo
   1. CAINE - Computer Aided INvestigative Environment
Outros artigos deste autor

ARP Poisoning: compreenda os princípios e defenda-se

XSS - Cross Site Scripting

Linux no Pendrive

Race Condition

Análise de Malware em Forense Computacional

Leitura recomendada

Segurança na Internet

O phishing e uma análise forense

Criando VPN com o PFSense

ClamAV em desktop

Teste de Intrusão com Metasploit

  
Comentários
[1] Comentário enviado por m4cgbr em 26/01/2011 - 02:18h

Luiz Vieira,
obrigado por compartilhar tal informação, eu nem mesmo sabia que tinha distros voltadas a esta área, o que me despertou grande interesse.

Parabéns pela clareza em tão poucas palavras.

[2] Comentário enviado por removido em 26/01/2011 - 04:32h

Grande Luiz,

Como sempre excelentes informações !


Abraços meu camarada.

[3] Comentário enviado por klugicps em 26/01/2011 - 08:32h

Parabéns Luiz muito boa a dica !

[4] Comentário enviado por Lisandro em 27/01/2011 - 09:18h

Eu não tinha idéia... Valeu pelo artigo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts