Distribuição CAINE Linux para forense digital: em Live-CD, pendrive, máquina virtual ou direto em seu Ubuntu 10.04

Esse artigo visa descrever e abordar alguns aspectos da distribuição de análise forense CAINE.

[ Hits: 21.473 ]

Por: Luiz Vieira em 25/01/2011 | Blog: http://hackproofing.blogspot.com/


CAINE - Computer Aided INvestigative Environment



Sei que muitos que lêem essa dica conhecem várias distribuições Linux desenvolvidas para a atuação de investigadores de forense digital, e eu mesmo em meu curso de Forense Digital acabo utilizando várias delas, tais como DEFT, FDTK, HELIX, REMnux, Peri-Br etc.

No entanto, dentre tantas distribuições, gostaria de citar uma, desenvolvida por um italiano, que possui uma qualidade digna de nota, que pode ser comparável à distro não-gratuita e reconhecida mundialmente Helix, que é a CAINE.

A distribuição CAINE, que significa Computer Aided INvestigative Environment, está no momento em sua versão 2.0 e agrega diversas ferramentas para análise tanto de máquinas Linux quanto Windows (com grande destaque à ferramenta WinTaylor, que permite extrairmos dados significantes em uma investigação em máquinas Windows). Um dos destaques dessa distro, e conta pontos no que diz respeito à facilidade de gerenciamento da mesma e na instalação dos pacotes, é que a mesma está baseada no Ubuntu 10.04 (LTS).

O que é interessante também nessa distribuição, é que seu desenvolvedor disponibilizou seu download em quatro formatos diferentes, permitindo sua utilização em diversos ambientes de trabalho. São eles:
  • Máquina virtual = onde o investigador pode rodar a distro pelo VirtualBox ou VMWare, diretamente.
  • Live-CD = formato tradicional, a partir do qual pode executar suas ferramentas como um Live-CD ou instalá-lo em uma máquina, transformando-a em uma estação de investigação forense.
  • Caine Portable - NBCaine = permitindo a execução direta da distro pelo pendrive, ou outro dispositivo USB, incluindo já o WinTaylor. Isso quer dizer que se inserir o pendrive na USB de um micro Windows ligado, já teremos acesso à todas as ferramentas de aquisição de evidências e análise diretamente em um sistema vivo, sem precisar desligar a máquina e dar o boot pelo dispositivo.
  • Caine-From-Deb = pacote que permite, caso o usuário possua uma máquina rodando Ubuntu a partir do 10.04, instalar as principais ferramentas do Caine em sua estação de trabalho, transformando-a em uma estação de investigação forense.

É possível visualizar na página da distribuição, uma lista com a maioria das ferramentas instaladas por default na distribuição, assim como uma pequena descrição de sua serventia. Para tanto, acessem o link:
Outra coisa interessa é a existência de uma tela central onde as principais ferramentas para uma investigação básica estão reunidas, separadas em categorias e que permitem a criação de um relatório automatizado a partir dos dados adquiridos em sua utilização. Nas duas telas abaixo podemos ver um print dessa tela, e suas abas divisórias que agrupam as ferramentas em categorias de utilização.
Eu poderia ficar mais um tempo escrevendo sobre suas ferramentas e funcionalidades próprias, mas deixarei isso para um artigo um pouco mais longo. Mas para finalizar, quero agradecer a colaboração de um profissional brasileiro da área de forense através de alguns scripts e outras coisas mais, para essa excelente distribuição que é o CAINE. Seu nome é Tony Rodrigues, e quem quiser conhecer seu trabalho, podem acessar seu blog:
É isso. Espero que aqueles que possuem espírito curioso, baixem essa distro e comecem a fuçar suas ferramentas, e quem sabe venham a fazer parte de nosso time dos profissionais de investigação de crimes digitais.

Para quem quiser tirar dúvidas e conhecer um poco mais sobre as funcionalidade dessa distribuição especializada, indico também o fórum existente no site e acessível pelo endereço:
Acredito que a cada versão o CAINE só tende a melhorar, principalmente com o auxílio da comunidade. Como investigador de crimes digitais, senti falta de algumas ferramentas, mas nada que não se possa resolver com um "./ configure & make & make install" ou "apt-get install".

No entanto, confesso que tive problema com a utilização do framework volatility e o TCT, mais especificamente com o comando grave-robber (que hoje em dia foi substituído pelo Sleuth Kit).

Outra ferramenta da qual senti falta foi o Xplico, para análise de tráfego web, que permite remontarmos o tráfego capturado e exibir uma página web acessada através da rede.

Outra coisa que pode ser acrescentada, também, é alguma suíte de ferramentas para aquisição de evidência, ou mesmo apenas o dump de memória, de dispositivos móveis através de uma tela como é feito com o Guymager e o AIR. Isso certamente agilizaria o processo de investigação em dispositivos móveis. Mas como escrevi acima, tenho plena confiança no avanço cada vez maior da distribuição e que em breve não deixará nada a desejar a qualquer outra que possui o mesmo objetivo.

Até a próxima!

   

Páginas do artigo
   1. CAINE - Computer Aided INvestigative Environment
Outros artigos deste autor

Forense em Máquinas Virtuais

Análise de Malware em Forense Computacional

Cheops: uma ótima ferramenta de rede

SELinux - Security Enhanced Linux

Wmap web scanner

Leitura recomendada

Um dia depois da inundação

Rootkit: Uma nova ameaça?

Servidor Samba "Autoservice"

Introdução ao Conceito de Hardening

PFSense com Snort

  
Comentários
[1] Comentário enviado por m4cgbr em 26/01/2011 - 02:18h

Luiz Vieira,
obrigado por compartilhar tal informação, eu nem mesmo sabia que tinha distros voltadas a esta área, o que me despertou grande interesse.

Parabéns pela clareza em tão poucas palavras.

[2] Comentário enviado por removido em 26/01/2011 - 04:32h

Grande Luiz,

Como sempre excelentes informações !


Abraços meu camarada.

[3] Comentário enviado por klugicps em 26/01/2011 - 08:32h

Parabéns Luiz muito boa a dica !

[4] Comentário enviado por Lisandro em 27/01/2011 - 09:18h

Eu não tinha idéia... Valeu pelo artigo.


Contribuir com comentário