NEW! CAINE 11.0 “Wormhole” è uscito!
Ultima versione ufficiale della distro GNU/Linux CAINE.
CAINE (Computer Aided INvestigative Environment) è una distribuzione live GNU/Linux italiana creata come progetto di Digital Forensics
Oggi il responsabile del progetto è Nanni Bassetti (Bari – Italia).
CAINE offre un ambiente forense completo che è organizzato per integrare strumenti software esistenti come moduli software e per fornire un’interfaccia grafica amichevole.
I principali obiettivi progettuali che CAINE mira a garantire sono i seguenti:
- un ambiente interoperabile che supporti l’investigatore digitale durante le quattro fasi dell’indagine digitale
- un’interfaccia grafica user-friendly
- strumenti user-friendly
Si raccomanda di leggere attentamente la pagina sulle politiche di CAINE.
CAINE rappresenta pienamente lo spirito della filosofia Open Source, perché il progetto è completamente aperto, ognuno potrebbe prendere l’eredità del precedente sviluppatore o project manager. La distro è open source, la parte Windows è freeware e, ultimo ma non meno importante, la distro è installabile, dando così la possibilità di ricostruirla in una nuova versione di marca, dando così lunga vita a questo progetto ….
Nanni Bassetti
GRAZIE SPECIALI A: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 “Wormhole”
Kernel 5.0.0-32
Basato su Ubuntu 18.04 64BIT – UEFI Ready!
CAINE 11.0 può avviarsi su Uefi/Uefi/Legacy Bios/Bios.
Se secureboot è fallito, prova a disabilitarlo da UEFI.
Se vuoi creare un’immagine ibrida, prova questo:
isohybrid -u caine11.0.iso
La notizia importante è che CAINE 11.0 blocca tutti i dispositivi a blocchi (ad esempio /dev/sda), in modalità Read-Only. Puoi usare uno strumento con una GUI chiamata Unblock presente sul Desktop di CAINE.
Questo nuovo metodo di blocco della scrittura assicura che tutti i dischi siano realmente preservati da operazioni di scrittura accidentali, perché sono bloccati in modalità di sola lettura.
Se hai bisogno di scrivere un disco, puoi sbloccarlo con UnBlock o usando “Mounter” cambiando la policy in modalità scrivibile.
CAINE è sempre più veloce durante l’avvio.
CAINE 11.0 può avviarsi in RAM (toram).
INSTALLAZIONE DI CAINE: UnBlock (blockdev) mette il dispositivo in modalità scrivibile -> usa Ubiquity -> scegli System Install -> scegli utente: CAINE password: CAINE host: CAINE -> Vai!
Ubiquity è l’installatore, anche se per i vecchi computer basati su BIOS, è necessario eseguire BootRepair dopo la fine di Ubiquity!.
Poi, dopo il primo avvio, esegui Grub Customizer e metti RW invece di RO nel menu di avvio.
Aggiunte/modifiche:
Cambiamenti importanti:
Tutti i dispositivi sono bloccati in modalità Read-Only, per default.
Nuovi strumenti, nuovo OSINT, Autopsy 4.13 onboard, APFS pronto, strumento forense BTRFS, driver SSD NVME pronti!
Server SSH disabilitato di default (vedi pagina del manuale per abilitarlo).
SCRCPY – screen del tuo dispositivo android
Autopsy 4.13 + plugin aggiuntivi di McKinnon.
X11VNC Server – per controllare CAINE da remoto.
hashcat
NEW SCRIPTS (Forensics Tools – Analysis menu)
AutoMacTc – uno strumento forense per Mac.
Bitlocker – plugin di volatilità
Autotimeliner – estrae automaticamente la timeline forense dai dump di memoria volatile.
Firmwalker – analizzatore di firmware.
CDQR – Cold Disk Quick Response tool
molti altri strumenti di correzione e aggiornamento software.
molti e molti script e programmi….
Lato Windows:
CAINE ha un IR/Live forensics tools per Windows.
Nuovo rilascio di Arsenal Image Mounter di Arsenal Recon
Se ne hai bisogno puoi usare il framework IR/Live forensics che preferisci, cambiando gli strumenti nella tua pendrive.
————————————————
NEW RBFstab e Mounter
1) “rbfstab” è un’utilità che si attiva durante il boot o quando un dispositivo viene inserito. Scrive voci di sola lettura in /etc/fstab in modo che i dispositivi siano montati in modo sicuro per l’imaging/esame forense. Si autoinstalla con “rbfstab -i” e può essere disabilitato con “rbfstab -r”. Contiene molti miglioramenti rispetto alle precedenti incarnazioni di rebuildfstab. Rebuildfstab è un mezzo tradizionale per il montaggio in sola lettura nelle distribuzioni orientate al forensics.
2) “mounter” è uno strumento di montaggio GUI che si trova nella barra delle applicazioni. Cliccando con il tasto sinistro del mouse sull’icona dell’unità nella barra delle applicazioni si attiva una finestra dove l’utente può selezionare i dispositivi da montare o smontare. Con rbfstab attivato, tutti i dispositivi, eccetto quelli con etichetta di volume “RBFSTAB”, sono montati in sola lettura sul dispositivo in loop. Il montaggio di dispositivi a blocchi in Caja (file browser) non è possibile per un utente normale con rbfstab attivato, rendendo mounter un’interfaccia coerente per gli utenti.
Mounter è un’applicazione per il montaggio dei dischi che gira nella barra delle applicazioni. Informazioni generali:
Un’icona disco verde significa che il sistema è SICURO e monterà i dispositivi READ-ONLY sul dispositivo in loop.
Un’icona disco rossa significa ATTENZIONE, i dispositivi montati saranno WRITEABLE.
In CAINE 8.0 mounter può sbloccare e bloccare i dispositivi a blocchi in modalità Read-Only.
Istruzioni:
Clicca con il tasto sinistro sull’icona del disco per montare un dispositivo.
Clicca con il tasto destro sull’icona del disco per cambiare la politica di montaggio del sistema.
Clicca in mezzo per chiudere l’applicazione mounter. Rilancia dal menu.
I dispositivi montati non saranno influenzati dalle modifiche della politica di montaggio. Solo le successive operazioni di montaggio ne saranno influenzate.
di John Lehr
Principale anteprima Caja Scripts
CAINE include script attivati all’interno del browser web Caja progettati per rendere semplice l’esame dei file allocati. Attualmente, gli script possono rendere molti database, cronologie internet, registri di Windows, file cancellati, ed estrarre i dati EXIF in file di testo per un facile esame. Lo strumento Quick View automatizza questo processo determinando il tipo di file e rendendolo con lo strumento appropriato.
Gli script Caja di anteprima dal vivo forniscono anche un facile accesso alle funzioni amministrative, come rendere scrivibile un dispositivo collegato, passare alla shell, o aprire una finestra Caja con privilegi di amministratore. Lo script “Save as Evidence” scriverà i file selezionati in una cartella “Evidence” sul desktop e creerà un rapporto di testo sul file contenente i metadati del file e un commento dell’investigatore, se desiderato.
Un unico script, “Identificare il proprietario dell’iPod”, è incluso nel set di strumenti. Questo script rileva un dispositivo iPod collegato e montato, visualizza i metadati sul dispositivo (nome utente attuale, numero di serie del dispositivo, ecc.) L’investigatore ha la possibilità di cercare nei file multimediali allocati e nello spazio non allocato le informazioni dell’utente iTunes presenti nei media acquistati attraverso il negozio Apple iTunes, cioè il nome reale e l’indirizzo e-mail.
Gli script di anteprima dal vivo sono un lavoro in corso. Molti altri script sono possibili così come i miglioramenti agli script esistenti. Gli sviluppatori di CAINE accolgono richieste di funzionalità, segnalazioni di bug e critiche.
Gli script di anteprima sono nati dal desiderio di rendere l’estrazione delle prove semplice per qualsiasi investigatore con conoscenze informatiche di base. Permettono all’investigatore di ottenere prove di base per sostenere l’indagine senza il bisogno di un addestramento avanzato di computer forensics o di aspettare un laboratorio di computer forensics. I laboratori di informatica forense possono usare gli script per il triage dei dispositivi e il resto del set di strumenti CAINE per un esame forense completo!
John Lehr
——————————————
Root file system spoofing PATCH
La patch cambia il modo in cui Casper cerca il supporto di avvio. Per impostazione predefinita, Casper cercherà gli hard disk, le unità CD/DVD e alcuni altri dispositivi durante l’avvio del sistema (durante la fase in cui il sistema cerca di trovare il supporto di avvio con l’immagine corretta del file system di root – perché i comuni bootloader non passano alcun dato sui supporti usati per l’avvio al sistema operativo nelle configurazioni Live CD). La nostra patch è implementata per le versioni CD/DVD di CAINE e abilita i controlli solo su CD/DVD in Casper. Questo risolve il bug quando Casper selezionava e avviava immagini di file system di root false su supporti di prova (hard disk, ecc.). —
Suhanov Maxim
Lato Windows
CAINE ha un IR/Live forense per Windows.
Se ne hai bisogno puoi usare il framework IR/Live forense che preferisci, cambiando gli strumenti nella tua pendrive.