quinta-feira, 22 de janeiro de 2009

Caine 0.4

Entre o último artigo que escrevi sobre o Caine e hoje temos pouco mais de um mês, e a versão do Caine já foi atualizada. Bom sinal.





Caine significa Computer Aided Investigative Environment e tem o Ubuntu 8.04 como base. Foi criado na Itália por Giancarlo Giustini e é mantido em um projeto da Universidade de Modena. A idéia do Caine, semelhante a do PlainSight (avaliado recentemente aqui no blog), é a de prover uma interface amigável para ferramentas open source. Uma idéia muito boa, até porque com a quantidade de ferramentas que existem por aí, vamos precisar de ajuda desse tipo para lembrar como se usa e para quê serve cada uma delas. Um dos objetivos expressos do autor é prover uma interface gráfica que conduza o uso das ferramentas de forma lógica, guiando o processo de aquisição e análise, e ainda possibilitando a documentação do procedimento de forma "mais-ou-menos" automática.

Logo após o boot




A primeira impressão do Caine é muito boa, e dado o fato da versão ter sido atualizada em um curto espaço de tempo, fico com a impressão de que esse Live CD promete. Firefox como browser é um bom ponto, mas no entanto vai contra a corrente ao não oferecer o OpenOffice na parte de utilitários para office. Ao invés disso, a parte de documentos e planilhas fica com o AbiWord e Gnumeric, respectivamente. A interface gráfica é baseada no Gnome, como no caso do FDTK e outros, mas fora o comum do Ubuntu, somente o OphCrack me chamou a atenção. Ao que parece, a força total ficou pelo menu Caine.


Caine Interface




A interface principal está acessível pelo menu Caine. A tela principal já deixa claro que o pessoal é fã de carteirinha de CSI. Além da foto do personagem H. Caine, o tenente do CSI-Miami, uma das abas dessa ferramenta leva o nome de outro personagem famoso, Gil Grisson.


A única opção efetivamente válida na primeira aba é a de criar um relatório. Avançando, abre-se uma coleção de tabs. A principal mostra a data/hora de criação do report:


A próxima tab - Grisson Analyser - é onde podemos informar a path da imagem forense, seu offset (para o caso de estarmos analisando uma partição dentro de uma imagem física) e, a partir disso, executar alguns comandos. Mml, fsstat e imgstat são nossos velhos conhecidos do Sleuth Kit; o LRRP é um script shell que captura algumas informações do dispositivo informado (hdparm, scsitools, pcmciautils e outros. Esse script pode ser visto com detalhes aqui.



Adiante, a tab que nos espera é a Collection. Os dois de cima são interfaces já conhecidas de outros live CDs: O Air está disponível já há bastante tempo n0 Helix, enquanto que o GuyMager está no FCCU. Há também a opção de abrir um terminal com linha de comando.



Analysis é a próxima aba. Ela dispõe algumas ferramentas para análie de uma imagem forense. Autopsy é a interface gráfica para o Sleuth Kit, Foremost é uma ferramenta de carving. O SFDumper é um script shell que ajuda na extração de arquivos por extensão a partir de uma imagem forense. Esse script, inclusive, foi criado pela mesma turma que mantém o CAINE. StegDetect é um utilitário para análise de esteganografia, Scalpel é um outro carver, OphCrack é um cracker de senhas já comentado na primeira parte do artigo e Fundl é outro script criado pela mesma turma, para file undelete.


Por fim, a aba Report traz várias opções de relatório. As duas opções da esquerda criarão relatórios em italiano ou inglês, com as opções de formato em RTF ou HTML. Esses relatórios são coleções das saídas dos comandos das abas anteriores. Não é muito útil para nós, brasileiros, até pelo idioma, mas pelo menos dá para aproveitar a estrutura. A opção "Open report directory" vai abrir um programa tipo Gerenciador de Arquivos, diretamente no diretório onde você gravou o último relatório. A opção Personal Report cria um documento em branco com a data/hora no cabeçalho. A idéia é permitir que sejam incluídas anotações livres nessa página, devidamente registradas com data e hora.


Algo que senti falta ao operar o Caine foi um menu com terminal root, o que facilita no dia a dia de uma análise.

Pontos positivos

- Produto em desenvolvimento; Tem recebido atualizações frequentemente;
- A interface Caine pode ajudar aos novatos, principalmente na documentação do processo;

- Não usa swap nem monta o drive automaticamente;

- A turma do projeto troca figurinhas com outra turma/projeto muito bom, o DEFT (iremos abordar em breve). A versão 0.4 foi lançada depois de alguns comentários dessa turma.

Pontos negativos

- O teclado está configurado para o formato italiano. É necessário um comando setxkbmap para podermos usar nossos teclados corretamente;
- Poucos utilitários disponíveis;

- Pouca documentação;

- Ainda não oferece muito a ponto de ser escolhido para trabalhos mais sérios;

Comentários ??

Até o próximo post !

5 comentários:

Jader Lima disse...

Mais outro execelente post...irei já baixar e testar a mesma ;-)

Nanni Bassetti disse...

Thank you for your review, the Caine development team is considering it for the next release. :)

Tony Rodrigues disse...

No, Nanni ! I am the one who has to say thank you !
You and your team are doing a great job with Caine. All Computer Forensics community is thankful, I'm sure !
I am glad to help you with comments and suggestions, count with us !
[]s
Tony

Gianchi disse...

Great review, and thank you for the positive/negative issues. I am the project leader of CAINE and I promise that we will follow this schedule to improve our distribution.

I have a proposal for you. In /usr/share/caine/report there are two SGML file that are the templates for the final report. One is in Italian and the other is in English. Do you want to traslate the one in English into Spanish of Portuguese? If you do it, I can surely include them inside CAINE 0.5.

Best regards.

Gianchi (contact me! ing.giustini - AT - gmail.com)

denis frati disse...

Caine v.0.5 has been released