CAINEUna distribuzione GNU/Linux

per la computer forensics

Giancarlo Giustini - LinuxDay08 Modena25 ottobre 2008

Dipartimento di Ingegneria dell’InformazioneUniversità di Modena e Reggio Emilia

1

Principali collaborazioni

Dipartimento di Scienze Giuridiche

Polizia Postale di Bologna

CRISCentro di Ricerca

Interdipartimentale per la Sicurezza

Università di Modena e Reggio Emilia

2Giancarlo Giustini - LinuxDay08 Modena

Caratterisitiche di Caine

• Ambiente interoperabile• Uso di software forensi noti• Interfacce user-friendly• Compilazione semi-automatica del rapporto

3Giancarlo Giustini - LinuxDay08 Modena

CAINE vs. LiveCDs

LiveCD forensi CAINEMassima disponibilità di sw forensi

(eccessiva?)Una collezione selezionata

dei migliori sw e script forensi

Ampio uso di programmi a riga di comando

Interfacce create ad hoc per i programmi eseguiti da terminale

Nessuna creazione automatica del rapporto

Creazione semi-automatica ed incrementale della documentazione

Nessuna cura per le diverse legislazioni nazionali

Altamente adattabile alle diverse realtà legali

4Giancarlo Giustini - LinuxDay08 Modena

Prassi investigativa con CaineProgrammi forensi installati

Processo investigativo guidato Costruzione automatica della documentazione finale

5Giancarlo Giustini - LinuxDay08 Modena

Software presenti in Caine

OphcrackStegdetect (Xsteg)

Altri

6

AIR, Guymager, ddAcquisizione

Grissom Analizer, LRRPPrimo Esame

Foremost, Scalpel, SFDumper, FundlTheSleuthKit - Autopsy 2.20Analisi

Giancarlo Giustini - LinuxDay08 Modena

CAINE Interface

- GTK2-Perl

- Perl Template Toolkit

- DocBook

- Bash scripts

- Licenza LGPL

7Giancarlo Giustini - LinuxDay08 Modena

Creazione del Rapporto (I)

Processo semi-automaticoRapporto finale totalmente editabile (RTF)

8Giancarlo Giustini - LinuxDay08 Modena

RTFHTML(SGML)

Final DocumentationDocBook Template

Collection Part

Analysis Part

Investigator’s commentRaccolta dei singoli log

file e report dai diversi programmi forensi

I diversi contributi sono inseriti in un file temporaneo (SGML)

Alla fine del processo investigativo, l’utente può generare il rapporto finale

Report #1

Report #2

Report #3Report

#N

9

Creazione del Rapporto (II)

Giancarlo Giustini - LinuxDay08 Modena

L’ambiente di CAINE

CAINE O.S.

CAINE Interface

Interfaccia di Caine Generazione Rapporto

Analysis PhaseAcquisizione

GNOMEUbuntu 8.04

Distribuzione LiveCD minimale (<700 MB)10Giancarlo Giustini - LinuxDay08 Modena

CAINE Testing Roadmap

• Ambiente virtualizzato (VMware)

• Test sul macchine fisiche

• Soluzione di casi reali

• Beta testing (Frati, Bassetti, Lanzi)

• CAINE Alpha (Tesi + articolo OSSConf08)

• CAINE Beta

• CAINE 0.1

11Giancarlo Giustini - LinuxDay08 Modena

Sviluppi futuri

• Valutare l’impatto di Caine all’interno della Forensic Community

• Caine Forensic Workstation

• Network Forensics & Caine

12Giancarlo Giustini - LinuxDay08 Modena