NOWOŚĆ! CAINE 11.0 „Wormhole” już dostępny!
Oficjalne najnowsze wydanie CAINE GNU/Linux distro.
CAINE (Computer Aided INvestigative Environment) to włoska dystrybucja GNU/Linuksa stworzona jako projekt Digital Forensics
Obecnie kierownikiem projektu jest Nanni Bassetti (Bari – Włochy).
CAINE oferuje kompletne środowisko kryminalistyczne, które jest zorganizowane tak, aby zintegrować istniejące narzędzia programowe jako moduły programowe i zapewnić przyjazny interfejs graficzny.
Główne cele projektowe, które CAINE chce zagwarantować, są następujące:
- interoperacyjne środowisko, które wspiera badacza w czterech fazach cyfrowego śledztwa
- przyjazny interfejs graficzny
- przyjazne narzędzia
Zalecamy uważne przeczytanie strony poświęconej polityce CAINE.
CAINE w pełni reprezentuje ducha filozofii Open Source, ponieważ projekt jest całkowicie otwarty, każdy może przejąć spuściznę po poprzednim deweloperze lub kierowniku projektu. Dystro jest open source, strona Windows jest freeware i, co nie mniej ważne, distro jest instalowalne, dając tym samym możliwość odbudowania go w nowej wersji, co daje długie życie temu projektowi ….
Nanni Bassetti
SPECJALNE PODZIĘKOWANIA DLA: Raul Capriotti, Aniello Luongo, Lorenzo Faletra, Andrea Lazzarotto
CHANGELOG CAINE 11.0 „Wormhole”
Kernel 5.0.0-32
Based on Ubuntu 18.04 64BIT – UEFI Ready!
CAINE 11.0 może uruchomić się na Uefi/Uefi/Legacy Bios/Bios.
Jeśli secureboot nie powiódł się, spróbuj wyłączyć go z UEFI.
Jeśli chcesz stworzyć hybrydowy obraz, spróbuj tego:
isohybrid -u caine11.0.iso
Ważną informacją jest to, że CAINE 11.0 blokuje wszystkie urządzenia blokowe (np. /dev/sda) w trybie Read-Only. Do tego celu służy narzędzie z GUI o nazwie Unblock, dostępne na Pulpicie CAINE.
Ta nowa metoda blokowania zapisu zapewnia, że wszystkie dyski są rzeczywiście zabezpieczone przed przypadkowymi operacjami zapisu, ponieważ są zablokowane w trybie tylko do odczytu.
Jeśli zajdzie potrzeba zapisu na dysku, można go odblokować za pomocą UnBlocka lub korzystając z „Mountera” zmieniającego politykę w trybie zapisu. 
CAINE jest zawsze szybszy podczas uruchamiania systemu.
CAINE 11.0 potrafi bootować do RAM (toram).
INSTALACJA CAINE: UnBlock (blockdev) put the device in WRITABLE mode -> use Ubiquity -> Choose System Install -> Choose user: CAINE hasło: CAINE host: CAINE -> Go!
Ubiquity jest instalatorem, nawet jeśli dla starych komputerów opartych o BIOS, musisz uruchomić BootRepair po zakończeniu Ubiquity!.
Potem po pierwszym uruchomieniu, uruchom Grub Customizer i umieść RW zamiast RO w menu startowym.
DODANE/ZMIENIONE:
WAŻNE ZMIANY:
Wszystkie urządzenia są domyślnie zablokowane w trybie Read-Only.
Nowe narzędzia, nowy OSINT, Autopsy 4.13 na pokładzie, APFS ready, BTRFS forensic tool, sterowniki NVME SSD ready!
Serwer SSH wyłączony domyślnie (zobacz stronę manuala aby go włączyć).
SCRCPY – ekranuj swoje urządzenie android
Autopsy 4.13 + dodatkowe wtyczki by McKinnon.
X11VNC Server – do zdalnej kontroli CAINE.
hashcat
NOWE SCRIPTY (Forensics Tools – menu Analysis)
AutoMacTc – narzędzie Forensics dla Maca.
Bitlocker – plugin volatility
Autotimeliner – automatyczne wyodrębnianie linii czasu z zrzutów pamięci lotnej.
Firmwalker – analizator firmware.
CDQR – Cold Disk Quick Response tool
wiele innych napraw i aktualizacji oprogramowania.
wiele i wiele skryptów i programów….
Windows Side:
CAINE posiada narzędzia kryminalistyczne Windows IR/Live.
Nowe wydanie Arsenal Image Counter by Arsenal Recon
Jeśli potrzebujesz, możesz użyć IR/Live forensics framework, który preferujesz, zmieniając narzędzia w swoim pendrajwie.
————————————————
NEW RBFstab i Mounter
1) „rbfstab” jest narzędziem, które jest aktywowane podczas startu systemu lub gdy urządzenie jest podłączone. Zapisuje on wpisy tylko do odczytu do /etc/fstab, dzięki czemu urządzenia są bezpiecznie montowane do obrazowania/eksploracji kryminalistycznej. Instaluje się sam za pomocą 'rbfstab -i’ i może być wyłączony za pomocą 'rbfstab -r’. Zawiera wiele ulepszeń w stosunku do poprzednich wcieleń rebuildfstab. Rebuildfstab jest tradycyjnym sposobem na montowanie tylko do odczytu w dystrybucjach zorientowanych na Forensics.
2) „mounter” jest narzędziem montowania GUI, które znajduje się w zasobniku systemowym. Kliknięcie lewym przyciskiem myszy na ikonę dysku w zasobniku systemowym aktywuje okno, w którym użytkownik może wybrać urządzenia do zamontowania lub odmontowania. Przy aktywnym rbfstab, wszystkie urządzenia, z wyjątkiem tych z etykietą woluminu „RBFSTAB”, są montowane tylko do odczytu na urządzeniu loop. Montowanie urządzeń blokowych w Caja (przeglądarka plików) nie jest możliwe dla zwykłego użytkownika z włączonym rbfstab, co czyni mounter spójnym interfejsem dla użytkowników.
Mounter jest aplikacją do montowania dysków, która działa w zasobniku systemowym. Informacje ogólne:
Zielona ikona dysku oznacza, że system jest BEZPIECZNY i będzie montował urządzenia TYLKO DO ODCZYTU na urządzeniach pętlowych.
Czerwona ikona dysku oznacza OSTRZEŻENIE, montowane urządzenia będą NAPISYWALNE.
W CAINE 8.0 mounter może odblokowywać i blokować urządzenia blokowe w trybie tylko do odczytu.
Instrukcje:
Kliknij lewym przyciskiem myszy ikonę dysku, aby zamontować urządzenie.
Kliknij prawym przyciskiem myszy ikonę dysku, aby zmienić systemowe zasady montowania.
Środkowe kliknięcie myszy spowoduje zamknięcie aplikacji mounter. Ponowne uruchomienie z menu.
Zmontowane urządzenia nie zostaną dotknięte zmianami zasad montowania. Wpływ będą miały jedynie kolejne operacje montowania.
by John Lehr
Podgląd na żywo Skrypty Caja
CAINE zawiera skrypty uruchamiane w przeglądarce internetowej Caja, których zadaniem jest ułatwienie badania przydzielonych plików. Obecnie skrypty te mogą renderować wiele baz danych, historie internetowe, rejestry Windows, usunięte pliki oraz wyodrębniać dane EXIF do plików tekstowych w celu ich łatwego zbadania. Narzędzie Quick View automatyzuje ten proces, określając typ pliku i renderując go za pomocą odpowiedniego narzędzia.
Skrypty Caja z podglądem na żywo zapewniają również łatwy dostęp do funkcji administracyjnych, takich jak uczynienie dołączonego urządzenia zapisywalnym, przejście do powłoki lub otwarcie okna Caja z uprawnieniami administratora. Skrypt „Zapisz jako Dowód” zapisze wybrany plik(i) do folderu „Dowody” na pulpicie i utworzy raport tekstowy o pliku zawierający metadane pliku i komentarz śledczego, jeżeli jest to pożądane.
Do zestawu narzędzi dołączony jest unikalny skrypt „Identify iPod Owner”. Skrypt ten wykrywa podłączone i zamontowane urządzenie iPod, wyświetla metadane o urządzeniu (aktualna nazwa użytkownika, numer seryjny urządzenia itp.). Śledczy ma możliwość przeszukiwania zaalokowanych plików multimedialnych i nieprzydzielonej przestrzeni w poszukiwaniu informacji o użytkowniku iTunes obecnych w mediach zakupionych w sklepie Apple iTunes, tj. prawdziwego imienia i nazwiska oraz adresu e-mail.
Skrypty podglądu na żywo są w trakcie opracowywania. Możliwe jest dodanie wielu innych skryptów, a także ulepszenie istniejących skryptów. Programiści CAINE z radością przyjmują prośby o dodanie nowych funkcji, zgłoszenia błędów i uwagi krytyczne.
Skrypty podglądowe zrodziły się z chęci uproszczenia procesu ekstrakcji dowodów dla każdego śledczego z podstawowymi umiejętnościami obsługi komputera. Pozwalają one śledczym na uzyskanie podstawowych dowodów wspierających śledztwo bez konieczności przechodzenia zaawansowanych szkoleń z zakresu informatyki śledczej lub oczekiwania na laboratorium informatyki śledczej. Laboratoria informatyki śledczej mogą wykorzystać skrypty do eliminacji urządzeń, a pozostałe narzędzia CAINE do przeprowadzenia pełnego badania kryminalistycznego!
John Lehr
——————————————
Root file system spoofing PATCH
Poprawka zmienia sposób, w jaki Casper szuka nośnika startowego. Domyślnie Casper będzie szukał dysków twardych, napędów CD/DVD i kilku innych urządzeń podczas uruchamiania systemu (na etapie, kiedy system próbuje znaleźć nośnik startowy z poprawnym obrazem systemu plików root – ponieważ zwykłe bootloadery nie przekazują żadnych danych o nośniku używanym do startu systemu operacyjnego w konfiguracjach Live CD). Nasza poprawka jest zaimplementowana dla wersji CD/DVD CAINE i umożliwia sprawdzanie w Casperze tylko płyt CD/DVD. Rozwiązuje to błąd, kiedy Casper wybierał i uruchamiał fałszywe obrazy głównego systemu plików na nośnikach dowodowych (dyskach twardych, itp.). —
Suhanov Maxim
Windows Side
CAINE ma Windows IR/Live forensics tools.
Jeśli potrzebujesz, możesz użyć IR/Live forensics framework, który preferujesz, zmieniając narzędzia w swoim pendrive.