Mal anunciei a nova versão 1.0 e suas funcionalidades e já temos a versão 1.5 - Shinning - com mais algumas turbinadas. A versão irmã para pendrive, NBCaine, também foi liberada.
Algumas ferramentas foram atualizadas, tanto no lado Windows como no Linux, incluindo algumas velhas dívidas, como era o caso do md5deep. O Kernel agora é o 2.6-24.25.
O Desktop recebeu uma cara nova e a possibilidade de troca de teclado mais facilmente, sem ter que digitar o comando. Um atalho também leva do desktop diretamente a um conjunto de scripts bastante úteis, alguns deles criados pela própria equipe do CAINE.
O Xteg (detecta esteganografia), Photorec e TestDisk foram parar no menu Forensics. O TSK já tinha sido atualizado na 1.0 junto com o Autopsy, mas este ultimo continua fora da path. O menu Altro recebeu o TkDiff, para comparações em arquivos texto, e o UUDeview, útil nas decodificações MIME.
Em relação à ultima avaliação que fiz, o CAINE continua mantendo os pontos positivos, enquanto que a equipe fez um compensado esforço para cobrir os pontos que consideramos negativos. A documentação vem cada vez melhor, o teclado é configurável, o boot pode ser direto em modo texto e as ferramentas disponíveis estão muito boas. Há ainda a falta de algumas, como por exemplo o RegRipper, Gigolo, Antivirus e o Volatility, mas eu conversei com o grupo e há razões para isso. Uma delas é que o custo de manter a parte de resposta a incidentes (WinTaylor) é alto, já que ocupa bastante espaço do CD. Pelo que conversamos, uma boa estratégia é montar mais de uma versão, fazendo com que sejam direcionadas. Para aquisição, podemos manter tudo em um Live CD com algumas ferramentas de preview e aquisição de disco e memória. Para análise, provavelmente estaremos indo para um Live DVD com muitas opções e ferramentas, incluindo as duas citadas mais o Xplico e outras disponíveis na web. A versão 2.0 já está sendo ansiosamente aguardada ...
Pontos Positivos:
- Atualizações constantes;
- TSK compilado com suporte a vários formatos;
- Muitas ferramentas disponíveis;
- Política de montagem de mídias formalizada;
- Facilmente instalável;
- Facilidade de entrada em modo texto;
- Pode ser usado pelo pendrive e complementado, se for o caso, pelo Perito.
Pontos Negativos:
- Ausência de algumas ferramentas de análise importantes (RegRipper, Jtr, ssdeep, Volatility, ferramentas de network forensics, etc) ;
- Documentação no site poderia conter um Roadmap.
Como podem ver, há poucos pontos negativos e a tendência é que cada vez mais essa distro melhore e tome o lugar de ferramenta free mais utilizada para Forense Computacional.
Comentários ?
Até o próximo post !
2 comentários:
Fala Tony!
Dos 'trocentos' live-cds Linux voltados para Forense, qual vc adota? :)
Ou dependendo do trampo, utiliza uma distro distinta?
Minha prática ainda é embrionária em relação a sua, assim somente a SIFT Workstation, que não é live-cd, mas uma VM tem me servido muito bem, pois faço mais experimentos 'in-house'.
O que falta nela, como se trata de um Fedora, eu instalo. Preferencialmente, em RPM, mas às vezes tive que compilar umas coisas...
Estou com a última versão do DEFT aqui pra avaliar. Abraço!
Alexandre
http://foren6.wordpress.com
Eu uso mais o CAINE e o Helix, dependendo do caso.
A SIFT é muito boa, mas sempre corre-se risco de problemas de performance em VMs. Se isso não está sendo problema, manda ver !
O DEFT tb é uma excelente distro, vc vai ver !
Abração,
Tony
Postar um comentário