Más GNU/Linux forense: Computer Aided INvestigative Environment (CAINE)

Hola,

Comentan en Dragonjar que han estado probando una distribución GNU/Linux live orientada al análisis forense. Se trata de Computer Aided INvestigative Environment (CAINE)

caine

CAINE está basada en Ubuntu 8.04, no necesita instalación y tiene como principal característica no ser una mera recopilación de herramientas para el análisis forense, sino un producto integrador con utilidades interoperables entre sí, presentadas bajo un entorno amigable para el usuario (podéis ver en la captura que se apoya en GNOME)

Las ventajas de la integración son obvias: por un lado, se supera la eterna problemática existente entre los distintos inputs y outputs de las herramientas, que rara vez hablan el mismo idioma, y que suelen requerir intervención humana para ir construyendo la cadena de análisis, y por otro lado, se facilita la creación de informes unificados y homogéneos de una manera automatizada, lo que otorga rapidez al proceso de análisis, sobre todo teniendo en cuenta que los procesos de elaboración de informes son muy exigentes en consumo de tiempos.

Como curiosidad, comentar que el nombre CAINE viene del personaje de la serie de TV CSI: Miami, Horatio Caine, un investigador forense. Que no tengan celos ni se preocupen los que sigan CSI: Las Vegas, que Grissom tiene su herramienta también (Grissom Analyzer). Acompañan al analizador de Grissom Automated Image & Restore (AIR), Guymager, Foremost, Scalpel, Autopsy 2.20, The Sleuth Kit 3.0, SFDumper, Fundl, Stegdetect y Ophcrack.

Y más curiosidades: la distribución está construida empleando Remastersys, una utilidad que permite crear un live CD a partir de una instalación en disco.

Os podéis bajar CAINE empleando la dirección http://samba.ing.unimo.it/~gianchi/caine03_ENG.iso

Nota importante: Cuidado si utilizados CAINE en un ordenador con una instalación existente de Linux, porque realizará sobreescritura en la partición swap del sistema previamente instalado. Mi recomendación es emplear CAINE sólo en sistemas Windows, hasta que se corrija esta funcionalidad anómala, o bien instalar el producto en el disco duro, en cuyo caso, de poco o nada importará que nos cepillemos la partición de intercambio (siempre que queramos hacer la instalación voluntariamente y a sabiendas de que destruirá la instalación anterior, claro)

Un saludo,

Análisis forense de sistemas Microsoft Windows con Live View

Hola,

Os dejo una notita para hablar de una herramienta de análisis forense bastante curiosa y útil. Se trata de Live View.

live view

Esta herramienta, basada en Java, es capaz de crear una máquina virtual VMware fuera de un disco físico, lo que permite que obtener una vista de usuario sobre el sistema sin tener ningún tipo de colateral en el mismo más allá de accesos de lectura. Los cambios se transmiten a un fichero, y es posible revertir los cambios siempre que queramos, devolviendo el sistema a su estado original. Podemos arrancar imágenes de disco completas, imágenes de particiones, discos físicos conectados vía USB o Firewire e incluso imágenes en otros formatos (lo que requerirá ls presencia del software de gestión de dichas imágenes)

live view

Live View está especialmente pensado para Sistemas Windows (2003, XP, 2000, NT, Me, 98), aunque tiene capacidad de análisis sobre Linux (limitada). Es un desarrollo del Software Engineering Institute del CERT, que han tenido la deferencia de licenciarlo bajo GPL.

Live View rompe con el paradigma tradicional, en el que se extrae una imagen del disco a investigar para ser posteriormente analizada sin que tengamos relación alguna con la máquina original. Estos modelos, aunque son precisos y válidos, pueden ser muy costosos en los supuestos que haya ruptura de continuidad a la hora de extraer la imagen, evento que puede (y suele) requerir la desconexión del sistema, causando impactos por la indisponibilidad de los servicios que preste la máquina a analizar.

Lo tenéis disponible en http://liveview.sourceforge.net/

Saludos, y buen fin de semana :)