Comentando con varios colegas que nos dedicamos profesionalmente al
mundo del peritaje, solemos hablar de cuál es la distribución favorita
que utilizamos para trabajar en casos forenses. Los nombres que más
suenan en este ámbito son:
SIFT,
DEFT y
CAINE.
Y si lo acotamos aún más, lo más común es quedarse con
DEFT o con CAINE. Ambas disponen de herramientas que ayudan a llevar a
cabo las tareas necesarias en cada una de las diversas fases de Análisis
Forense. Incluso, disponen de una parte dedicada a entornos Windows,
que permiten operar con en modo Live con sistemas operativos Windows. En
DEFT se llama DART e incluye una compilación de herramientas para
volcado de memoria, adquisición de sistemas de ficheros, artifacts,
etc,...
Desde mi punto de vista, tengo predilección por CAINE.
Quizá porque fue la primera con la que me acostumbré a trabajar es que
estoy acostumbrado a saber dónde está cada herramienta, así como lo que
se puede y lo que no se puede hacer. Por ello y su sencillez y por lo
intuitivo que resulta su uso, es por lo que la utilizo y recomiendo
siempre cuando me toca dar un curso de Análisis Forense, tanto para Windows, como para Linux.
CAINE se trata de una distribución de la que ya hemos hablado más de una vez en Security By Default.
Como otras distros específicas para análisis forense, se incorporan
herramientas de gran utilidad para las fases del mismo, clonado de
unidades de almacenamiento, análisis de volcados de memoria,
recuperación de ficheros, actividad de sistemas de archivos, otras
especializadas en destripar dispositivos móviles, desde el dispositivo o
a partir de un backup, etc….
Cuando se publicó la versión 6 de CAINE, me dispuse a
echar un vistazo a las novedades y, a instalarla en una máquina virtual.
Aunque se puede utilizar en modo live, cualquier personalización que
queramos hacerle, al igual que con otras distribuciones, como Kali por
ejemplo, o la instalamos en disco, o se perderán al apagado.
En el caso de CAINE 6, la lista de actualizaciones y nuevas herramientas es importante. Copio y pego directamente de la web:
fixed password request in polkit
fixed password request in textmode e tty
Bash bug fixed shellshock
mount policy always in ro and loop mode
fstrim disabled (enabled uncommenting the row in /etc/cron.weekly/fstrim)
autopsy patched by Maxim Suhanov: (HFS directories
handling fixed, Sun VTOC volume system handling fixed, incorrect
timestamps (that are equal to zero) are handled as 01/01/1970 00:00:00)
Gzrt
Dislocker
Img_map
QPhotorec (photorec gui)
Undbx
Ddrescueview
Gddrescue
Disktype
Peframe
Quickhash
BEViewer Bulk Extractor
Ddrutility
Ataraw
Frag_find
Log2timeline plaso - supertimeline
Tinfoleak
Inception memory dumper by firewire
Volatility
4n6-scripts
boot-repair
grub-customizer
Broadcom Corporation BCM4313 wireless card drivers
En el caso de herramientas de análisis para respuesta ante incidentes para Windows, en CAINE, directamente integran Win-UFO (Ultimate Forensics Outflow) y tiene una pinta como la que se puede ver bajo estas líneas.
Si tengo que buscarle una pega, diría que el instalador
de la versión 6, Systemback, me parece francamente poco profesional;
siendo francamente complicado instalarlo en VirtualBox. Afortunadamente,
en VMWare no me dio ningún problema.
Pero sin embargo, ninguna distribución es totalmente
completa tal cual viene, por lo que a Caine 6 recomiendo añadir los
repositorios de Santoku, otra
distribución Linux especializada en análisis forense para dispositivos
móviles, sobre todo en Android. Al estar ésta basada en Ubuntu también,
son perfectamente compatibles, haciendo que quede un repositorio de
herramientas de forense mucho más funcional.
Para la instalación de CAINE, suelo tener en cuenta que creo una máquina virtual con los siguientes discos (o particiones):
- El de sistema
- Uno para Autopsy (que suelo configurar como punto de montaje en /usr/share/caine/report/autopsy)
- Otra para guardado de imágenes y trasteo vario
La partición de Autopsy es muy interesante puesto que
la generación de un caso completo puede involucrar varios discos y
particiones, sobre los que hay que efectuar análisis de contenido, y eso
suele ocupar bastante espacio. Además, si el disco utilizado para este
fin es un USB externo, el trabajo completo puede ser exportable a otros
entornos de análisis.
En resumen, una distribución Linux que recopila las
herramientas imprescindibles para análisis forense digital,
personalizable al gusto del analista, que no puede faltar en el
laboratorio de un perito.
Fuente
Autor:
Lorenzo Martínez