1. Dipartimento di Ingegneria dellInformazione Universit di Modena e Reggio Emilia CAINE Una distribuzione GNU/Linux per la computer forensics Giancarlo Giustini - LinuxDay08 Modena 25 ottobre 2008 1

2. Principali collaborazioni Dipartimento di Polizia Postale di Scienze Giuridiche Bologna Universit di Modena CRIS e Reggio Emilia Centro di Ricerca Interdipartimentale per la Sicurezza Giancarlo Giustini - LinuxDay08 Modena 2

3. Caratterisitiche di Caine Ambiente interoperabile Uso di software forensi noti Interfacce user-friendly Compilazione semi-automatica del rapporto Giancarlo Giustini - LinuxDay08 Modena 3

4. CAINE vs. LiveCDs LiveCD forensi CAINE Massima disponibilit di sw forensi Una collezione selezionata (eccessiva?) dei migliori sw e script forensi Ampio uso di programmi Interfacce create ad hoc per a riga di comando i programmi eseguiti da terminale Nessuna creazione automatica Creazione semi-automatica ed del rapporto incrementale della documentazione Nessuna cura per le diverse Altamente adattabile legislazioni nazionali alle diverse realt legali Giancarlo Giustini - LinuxDay08 Modena 4

5. Prassi investigativa con Caine Programmi forensi installati Processo investigativo guidato Costruzione automatica della documentazione nale Giancarlo Giustini - LinuxDay08 Modena 5

6. Software presenti in Caine Acquisizione AIR, Guymager, dd Primo Esame Grissom Analizer, LRRP Foremost, Scalpel, SFDumper, Fundl Analisi TheSleuthKit - Autopsy 2.20 Altri Ophcrack Stegdetect (Xsteg) Giancarlo Giustini - LinuxDay08 Modena 6

7. CAINE Interface - GTK2-Perl - Perl Template Toolkit - DocBook - Bash scripts - Licenza LGPL Giancarlo Giustini - LinuxDay08 Modena 7

8. Creazione del Rapporto (I) Processo semi-automatico Rapporto nale totalmente editabile (RTF) Giancarlo Giustini - LinuxDay08 Modena 8

9. Creazione del Rapporto (II) DocBook Template Final Documentation Report #2 Report #1 Report Collection Part RTF Report #3 #N Analysis Part HTML Raccolta dei singoli log Investigators (SGML) le e report dai diversi comment programmi forensi Alla ne del processo I diversi contributi sono inseriti investigativo, lutente pu in un le temporaneo (SGML) generare il rapporto nale Giancarlo Giustini - LinuxDay08 Modena 9

10. Lambiente di CAINE CAINE Interface Interfaccia di Caine Generazione Rapporto GNOME Ubuntu 8.04 Acquisizione Analysis Phase CAINE O.S. Distribuzione LiveCD minimale (