CAINE Linux

From ICO wiki
Revision as of 13:51, 25 August 2015 by Rrunt (talk | contribs) (Created page with "'''CAINE''' (lühend sõnadest „'''C'''omputer '''A'''ided '''IN'''vestigative '''E'''nvironment“) on Linuxi distributsioon, mida kasutatakse arvutikriminalistikas.<re...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigationJump to search

CAINE (lühend sõnadest „Computer Aided INvestigative Environment“) on Linuxi distributsioon, mida kasutatakse arvutikriminalistikas.[1] Algselt lõi selle Giancario Giustin Modena ülikooli Digital Forensics Interdepartmental Research Center for Security (CRIS) projekti raames. Alates 2009. aastast haldab Caine Linuxit Nanni Bassetti. Viimane versioon nimega „Dark Matter“ kannab numbrit 6.0. Caine on saadaval Live CD-l kui ka Live USB-l. Samuti on tarkvara võimalik kasutada ka Windowsi keskkonnas.

Autor

Rene Rünt A41

Omadused

Caine Linuxi viimane versioon põhineb Ubuntu Linuxi versioonil 14.04.1 (64-bitine), MATE'il ja LightDM'il. Võrreldes originaalversiooniga on viimane väljalase viidud NIST standarditega vastavusse.

Caine koosneb:

  • Caine'i kasutajaliides – kasutajasõbralik graafiline kasutajaliides, mis võimaldab kasutada mitmeid tuntuid kriminalistikaprogramme, millest paljud on ka avatud lähtekoodiga
  • Uuendatud ja optimeeritud keskkond uurimistarkvara jaoks
  • Poolautomaatne raportite genereerimine, mida on hiljem väga lihtne täiendada, eksportida ja kokkuvõtet koostada
  • Kooskõlas Itaalia seadusega 48/2008 [2]

Lisaks on Caine esimene Linuxi distributsioon, milles on Caja/Nautiluse skriptide seas ka uurimistarkvara Forensics ning samuti on paigaldatud kõik viimased turvauuendused.

Distributsioon kasutab mitmeid täiustusi ja turvalappe, et mitte mõjutada uuritavat arvutit, näiteks:

  • Juurfailisüsteemi võltsimine – lapp mis ei lase uuritavat süsteemi mõjutada
  • Rikutud päevikufaili ei parandata automaatselt
  • Mounter ja RBFstab – seadmete ühendamine käib läbi lihtsa graafilise liidese
  • RBFstab käitleb failisüsteeme ext3 ja ext4 lisakäsuga noload
  • Saalefail on keelatud – vähese püsimäluga seadmed kasutavad RAMi suurendamiseks saalefaili, mis võib aga uuritava masina kettal oleva olulise info üle kirjutada

Avatud lähtekood

Caine ja tema turvatäiustused on kirjutatud ekspertide, spetsialistide kui ka lihtsalt asjaarmastajate poolt. Kuna lähtekood on täiesti avalik, võib igaüks seda lugeda või ka täiustada. Ka MS Windowsile mõeldud Win-UFO 5.0 (ja vanemad NirLauncher ning WinTaylor) on avatud lähtekoodiga ja tasuta.

Caine'i kasutajaliides

Caine'il on kasutajasõbralik graafiline kasutajaliides, mis võimaldab kasutada mitmeid tuntuid kriminalistikaprogramme. Kasutajaliides on kirjutatud GTK2-Perl pakendit kasutades. Tänu Perl Template Toolkiti ja DocBooki moodulitele saab Caine'i abil automaatselt luua ka lõppraporti uurimise tulemustest.

Tarkvara

Caine Linuxi distributsioonist võib leida järgnevaid programme:

Andmete kogumine

  • Grissom Analyzer (mmls, img_stat, fsstat)
  • LRRP
  • AIR
  • Guymager
  • Terminal with saving the output
  • DC3DD

Andmete analüüs

Raportite koostamine

Iga uurimisprogramm salvestab oma tulemused raportifaili. Lõppraport genereeritakse kõikide programmide logifailidest, jälgides et uuritavas masinas midagi ei muudetaks. Raportite koostamisel kasutatakse Perli ja Bashi skripte, Perl Template Toolkiti ja DocBooki ümbrisrakendust.

Ketaste liitmine süsteemiga

Caine kasutab nii sisemiste kui väliste ketaste liitmisel süsteemiga väga ranget reeglit: mitte kunagi ei lisata kettaid automaatselt ja lisamisel ühendatakse kettad read-only reźiimis.

Ketaste liitmiseks tuleb kettaikoonil teha kõigepealt vasak hiireklõps, millega ühendatakse seade. Seejärel parem hiireklõps, millega saab muuta ketta liitmisreegleid. Keskmise hiireklõpsuga saab programmi sulgeda. Liitmisreeglite muutmisel muudetakse ainult järgnevate kettaliitmiste poliitikat, juba ühendatud seadmeid ei muudeta.

Kettaid saab liita ka käsurealt, kasutades selleks käsku mount. NTFS-vormingus ketta liitmiseks ja kirjutusõiguse saamiseks tuleb kasutada „ntfs-3g“ suvandit

sudo ntfs-3g –o rw /device-path /your-mount-point

Paigaldamine

Ingliskeelne samm-sammult õpetus koos abistavate ekraanitõmmistega on leitav First Response blogist

UEFI spetsifikatsiooniga paigaldades tuleb luua u 100 MB suurune lisapartitsioon, millele /boot/efi külge ühendada. Seejärel saab süsteemi paigaldada „/“ kataloogi

Peale kõvakettale paigaldamist tuleb /usr/sbin/rbfstab failis teha kaks muudatust ja masin taaskäivitada

swapoff –a

muuta

swapon –a

ja

OPTIONS=ro,noauto ;;

muuta

OPTIONS=rw,auto ;;

Keeled

Caine Linux on tõlgitud inglise, itaalia, prantsuse, saksa ja portugali keelde, kuid oodatakse ka teistes keeltes tõlkijaid. Huvi korral palutakse ühendust võtta Caine'i meeskonnaga.

Vaikimisi kasutab Caine USA klaviatuuripaigutust, mida saab vajadusel muuta Gnome keskkonnas valides System -> Preferences -> Keyboard Preferences või kasutades käsurida:

sudo setxkbmap –layout xy (kus xy = „it“, „gb“, „de“, …)

Kasutades Caine'i tekstireziimis, on klaviatuurikeele muutmise käsuks

sudo loadkeys xy (kus xy = „it“, „gb“, „de“, …)

Allikad