caine una distribuzione gnu/linux per la computer forensics
DESCRIPTION
Slide presentate al Linux Day 2008 di Modena di CAINE Linux Live-cd (ed installabile) per la computer forensicsTRANSCRIPT
![Page 1: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/1.jpg)
CAINEUna distribuzione GNU/Linux
per la computer forensics
Giancarlo Giustini - LinuxDay08 Modena25 ottobre 2008
Dipartimento di Ingegneria dell’InformazioneUniversità di Modena e Reggio Emilia
1
![Page 2: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/2.jpg)
Principali collaborazioni
Dipartimento di Scienze Giuridiche
Polizia Postale di Bologna
CRISCentro di Ricerca
Interdipartimentale per la Sicurezza
Università di Modena e Reggio Emilia
2Giancarlo Giustini - LinuxDay08 Modena
![Page 3: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/3.jpg)
Caratterisitiche di Caine
• Ambiente interoperabile• Uso di software forensi noti• Interfacce user-friendly• Compilazione semi-automatica del rapporto
3Giancarlo Giustini - LinuxDay08 Modena
![Page 4: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/4.jpg)
CAINE vs. LiveCDs
LiveCD forensi CAINEMassima disponibilità di sw forensi
(eccessiva?)Una collezione selezionata
dei migliori sw e script forensi
Ampio uso di programmi a riga di comando
Interfacce create ad hoc per i programmi eseguiti da terminale
Nessuna creazione automatica del rapporto
Creazione semi-automatica ed incrementale della documentazione
Nessuna cura per le diverse legislazioni nazionali
Altamente adattabile alle diverse realtà legali
4Giancarlo Giustini - LinuxDay08 Modena
![Page 5: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/5.jpg)
Prassi investigativa con CaineProgrammi forensi installati
Processo investigativo guidato Costruzione automatica della documentazione finale
5Giancarlo Giustini - LinuxDay08 Modena
![Page 6: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/6.jpg)
Software presenti in Caine
OphcrackStegdetect (Xsteg)
Altri
6
AIR, Guymager, ddAcquisizione
Grissom Analizer, LRRPPrimo Esame
Foremost, Scalpel, SFDumper, FundlTheSleuthKit - Autopsy 2.20Analisi
Giancarlo Giustini - LinuxDay08 Modena
![Page 7: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/7.jpg)
CAINE Interface
- GTK2-Perl
- Perl Template Toolkit
- DocBook
- Bash scripts
- Licenza LGPL
7Giancarlo Giustini - LinuxDay08 Modena
![Page 8: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/8.jpg)
Creazione del Rapporto (I)
Processo semi-automaticoRapporto finale totalmente editabile (RTF)
8Giancarlo Giustini - LinuxDay08 Modena
![Page 9: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/9.jpg)
RTFHTML(SGML)
Final DocumentationDocBook Template
Collection Part
Analysis Part
Investigator’s commentRaccolta dei singoli log
file e report dai diversi programmi forensi
I diversi contributi sono inseriti in un file temporaneo (SGML)
Alla fine del processo investigativo, l’utente può generare il rapporto finale
Report #1
Report #2
Report #3Report
#N
9
Creazione del Rapporto (II)
Giancarlo Giustini - LinuxDay08 Modena
![Page 10: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/10.jpg)
L’ambiente di CAINE
CAINE O.S.
CAINE Interface
Interfaccia di Caine Generazione Rapporto
Analysis PhaseAcquisizione
GNOMEUbuntu 8.04
Distribuzione LiveCD minimale (<700 MB)10Giancarlo Giustini - LinuxDay08 Modena
![Page 11: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/11.jpg)
CAINE Testing Roadmap
• Ambiente virtualizzato (VMware)
• Test sul macchine fisiche
• Soluzione di casi reali
• Beta testing (Frati, Bassetti, Lanzi)
• CAINE Alpha (Tesi + articolo OSSConf08)
• CAINE Beta
• CAINE 0.1
11Giancarlo Giustini - LinuxDay08 Modena
![Page 12: CAINE una distribuzione GNU/Linux per la computer forensics](https://reader033.vdocuments.site/reader033/viewer/2022061207/5484c23f5906b594158b47f1/html5/thumbnails/12.jpg)
Sviluppi futuri
• Valutare l’impatto di Caine all’interno della Forensic Community
• Caine Forensic Workstation
• Network Forensics & Caine
12Giancarlo Giustini - LinuxDay08 Modena