Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
13 de Abril, 2015    General

Novedades de la versión 6 de CAINE



Comentando con varios colegas que nos dedicamos profesionalmente al mundo del peritaje, solemos hablar de cuál es la distribución favorita que utilizamos para trabajar en casos forenses. Los nombres que más suenan en este ámbito son: SIFT, DEFT y CAINE.

Y si lo acotamos aún más, lo más común es quedarse con DEFT o con CAINE. Ambas disponen de herramientas que ayudan a llevar a cabo las tareas necesarias en cada una de las diversas fases de Análisis Forense. Incluso, disponen de una parte dedicada a entornos Windows, que permiten operar con en modo Live con sistemas operativos Windows. En DEFT se llama DART e incluye una compilación de herramientas para volcado de memoria, adquisición de sistemas de ficheros, artifacts, etc,...

Desde mi punto de vista, tengo predilección por CAINE. Quizá porque fue la primera con la que me acostumbré a trabajar es que estoy acostumbrado a saber dónde está cada herramienta, así como lo que se puede y lo que no se puede hacer. Por ello y su sencillez y por lo intuitivo que resulta su uso, es por lo que la utilizo y recomiendo siempre cuando me toca dar un curso de Análisis Forense, tanto para Windows, como para Linux. 

CAINE se trata de una distribución de la que ya hemos hablado más de una vez en Security By Default. Como otras distros específicas para análisis forense, se incorporan herramientas de gran utilidad para las fases del mismo, clonado de unidades de almacenamiento, análisis de volcados de memoria, recuperación de ficheros, actividad de sistemas de archivos, otras especializadas en destripar dispositivos móviles, desde el dispositivo o a partir de un backup, etc….

Cuando se publicó la versión 6 de CAINE, me dispuse a echar un vistazo a las novedades y, a instalarla en una máquina virtual. Aunque se puede utilizar en modo live, cualquier personalización que queramos hacerle, al igual que con otras distribuciones, como Kali por ejemplo, o la instalamos en disco, o se perderán al apagado.

En el caso de CAINE 6, la lista de actualizaciones y nuevas herramientas es importante. Copio y pego directamente de la web:

fixed password request in polkit
fixed password request in textmode e tty
Bash bug fixed shellshock
mount policy always in ro and loop mode 
fstrim disabled (enabled uncommenting the row in /etc/cron.weekly/fstrim) 
autopsy patched by Maxim Suhanov: (HFS directories handling fixed, Sun VTOC volume system handling fixed, incorrect timestamps (that are equal to zero) are handled as 01/01/1970 00:00:00)
Gzrt
Dislocker
Img_map 
QPhotorec (photorec gui) 
Undbx
Ddrescueview
Gddrescue
Disktype
Peframe
Quickhash
BEViewer Bulk Extractor
Ddrutility
Ataraw
Frag_find
Log2timeline plaso - supertimeline
Tinfoleak
Inception memory dumper by firewire
Volatility
4n6-scripts
boot-repair
grub-customizer 
Broadcom Corporation BCM4313 wireless card drivers

Como destacables, y útiles, la inclusión de Tinfoleak, herramienta desarrollada por Vicente Aguilera, de la que ya comentamos en Security By Default y log2timeline plaso, de la que dio una conferencia MoxilO en RootedCON 2014. 

En el caso de herramientas de análisis para respuesta ante incidentes para Windows, en CAINE, directamente integran Win-UFO (Ultimate Forensics Outflow) y tiene una pinta como la que se puede ver bajo estas líneas.  




Si tengo que buscarle una pega, diría que el instalador de la versión 6, Systemback, me parece francamente poco profesional; siendo francamente complicado instalarlo en VirtualBox. Afortunadamente, en VMWare no me dio ningún problema. 

Pero sin embargo, ninguna distribución es totalmente completa tal cual viene, por lo que a Caine 6 recomiendo añadir los repositorios de Santoku, otra distribución Linux especializada en análisis forense para dispositivos móviles, sobre todo en Android. Al estar ésta  basada en Ubuntu también, son perfectamente compatibles, haciendo que quede un repositorio de herramientas de forense mucho más funcional.

Para la instalación de CAINE, suelo tener en cuenta que creo una máquina virtual con los siguientes discos (o particiones):
  • El de sistema
  • Uno para Autopsy (que suelo configurar como punto de montaje en /usr/share/caine/report/autopsy)
  • Otra para guardado de imágenes y trasteo vario
La partición de Autopsy es muy interesante puesto que la generación de un caso completo puede involucrar varios discos y particiones, sobre los que hay que efectuar análisis de contenido, y eso suele ocupar bastante espacio. Además, si el disco utilizado para este fin es un USB externo, el trabajo completo puede ser exportable a otros entornos de análisis. 


En resumen, una distribución Linux que recopila las herramientas imprescindibles para análisis forense digital, personalizable al gusto del analista, que no puede faltar en el laboratorio de un perito.

Fuente Security By Default

Autor: Lorenzo Martínez
Palabras claves , , ,
publicado por alonsoclaudio a las 19:17 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad