CAINE una distribuzione GNU/Linux per la computer forensics
-
Upload
denis1971 -
Category
Technology
-
view
3.204 -
download
0
description
Transcript of CAINE una distribuzione GNU/Linux per la computer forensics
CAINEUna distribuzione GNU/Linux
per la computer forensics
Giancarlo Giustini - LinuxDay08 Modena25 ottobre 2008
Dipartimento di Ingegneria dell’InformazioneUniversità di Modena e Reggio Emilia
1
Principali collaborazioni
Dipartimento di Scienze Giuridiche
Polizia Postale di Bologna
CRISCentro di Ricerca
Interdipartimentale per la Sicurezza
Università di Modena e Reggio Emilia
2Giancarlo Giustini - LinuxDay08 Modena
Caratterisitiche di Caine
• Ambiente interoperabile• Uso di software forensi noti• Interfacce user-friendly• Compilazione semi-automatica del rapporto
3Giancarlo Giustini - LinuxDay08 Modena
CAINE vs. LiveCDs
LiveCD forensi CAINEMassima disponibilità di sw forensi
(eccessiva?)Una collezione selezionata
dei migliori sw e script forensi
Ampio uso di programmi a riga di comando
Interfacce create ad hoc per i programmi eseguiti da terminale
Nessuna creazione automatica del rapporto
Creazione semi-automatica ed incrementale della documentazione
Nessuna cura per le diverse legislazioni nazionali
Altamente adattabile alle diverse realtà legali
4Giancarlo Giustini - LinuxDay08 Modena
Prassi investigativa con CaineProgrammi forensi installati
Processo investigativo guidato Costruzione automatica della documentazione finale
5Giancarlo Giustini - LinuxDay08 Modena
Software presenti in Caine
OphcrackStegdetect (Xsteg)
Altri
6
AIR, Guymager, ddAcquisizione
Grissom Analizer, LRRPPrimo Esame
Foremost, Scalpel, SFDumper, FundlTheSleuthKit - Autopsy 2.20Analisi
Giancarlo Giustini - LinuxDay08 Modena
CAINE Interface
- GTK2-Perl
- Perl Template Toolkit
- DocBook
- Bash scripts
- Licenza LGPL
7Giancarlo Giustini - LinuxDay08 Modena
Creazione del Rapporto (I)
Processo semi-automaticoRapporto finale totalmente editabile (RTF)
8Giancarlo Giustini - LinuxDay08 Modena
RTFHTML(SGML)
Final DocumentationDocBook Template
Collection Part
Analysis Part
Investigator’s commentRaccolta dei singoli log
file e report dai diversi programmi forensi
I diversi contributi sono inseriti in un file temporaneo (SGML)
Alla fine del processo investigativo, l’utente può generare il rapporto finale
Report #1
Report #2
Report #3Report
#N
9
Creazione del Rapporto (II)
Giancarlo Giustini - LinuxDay08 Modena
L’ambiente di CAINE
CAINE O.S.
CAINE Interface
Interfaccia di Caine Generazione Rapporto
Analysis PhaseAcquisizione
GNOMEUbuntu 8.04
Distribuzione LiveCD minimale (<700 MB)10Giancarlo Giustini - LinuxDay08 Modena
CAINE Testing Roadmap
• Ambiente virtualizzato (VMware)
• Test sul macchine fisiche
• Soluzione di casi reali
• Beta testing (Frati, Bassetti, Lanzi)
• CAINE Alpha (Tesi + articolo OSSConf08)
• CAINE Beta
• CAINE 0.1
11Giancarlo Giustini - LinuxDay08 Modena
Sviluppi futuri
• Valutare l’impatto di Caine all’interno della Forensic Community
• Caine Forensic Workstation
• Network Forensics & Caine
12Giancarlo Giustini - LinuxDay08 Modena