4 ottobre 2012

Nanni Bassetti ci illustra CAINE 3.0


Ieri vi ho riportato la notizia del rilascio di CAINE 3.0 QUASAR, la nuova versione della distro made in Italy per l'analisi forense. Quest'oggi ho il piacere di re intervistare (qui la vecchia intervista) il suo curatore, il Dott. Nanni Bassetti che, nelle righe che seguiranno, ci illustrerà cosa c'è di nuovo in CAINE 3.0
Colgo l'occasione per ringraziare Nanni per il tempo dedicatomi :)
A voi!
Caine 3.0 è la naturale evoluzione di Caine 2.5.1, che ha sempre seguito le LTS di Ubuntu, proprio per garantire, a chi lo vuole installare, un supporto di lungo termine da parte di Canonical.
Ogni “balzo” di upgrade è sempre un problema, come sempre tutti consigliano di ripartire da una versione pulita di Ubuntu, ma io che sono un “testone” tendo sempre a fare gli upgrade, così mi ritrovo tutte le mie cosette al loro posto.
Questa volta l’upgrade è andato abbastanza bene, salvo che mi son ritrovato il famigerato Unity, che non mi piaceva per niente e volendo ricreare un ambiente più simile possibile a Gnome, poiché Caine è vocato alla massima usabilità e facilità, ho  desiderato mantenere un’interfaccia alla quale gli utenti di Caine si erano abituati dalla versione 1.0, quindi la scelta è ricaduta su MATE.
MATE l’ho trovato veramente carino, stabile, veloce, CAJA sostituisce Nautilus perfettamente, permettendomi di conservare i Nautilus scripts così come eravamo abituati nella versione 2.5.1 di Caine.
In seguito, ho dovuto affrontare il problema del login manager, che in MATE è l’MDM, ma non mi convinceva, perchè, forse per mia ignoranza, richiedeva sempre user e password, anche nella versione live della distro, per questo motivo ho optato per LightDM.
Insomma, il nuovo Caine 3.0 è un Frankenstein! Composto da Ubuntu 12.04, MATE, LightDM e poi le varie patches per rendere la distro forense.
Ricordo che la distro è modificata al fine di essere sicura da un punto di vista forense, ossia che non vada ad alterare i dispositivi da acquisire/analizzare, proprio per rispettare le regole base della Digital Forensics.
Al boot non monta niente dei dispositivi collegati.
Non vi è automount.
Non vi è possibilità di Root Spoofing Filesystem
Lo SWAP file è OFF per evitare che il sistema live vada ad agire sullo swapfile del sistema ospite, laddove ci fosse poca RAM.
Il tool RBFSTAB insieme al MOUNTER sviluppato da John Lehr (con la mia rompiballesca collaborazione), riscrive la regola udev fstab.rules, che richiama le regole di montaggio contenute in rbfstab, così da preventire le alterazioni sui dispositivi collegati.
La novità più importante è che le operazioni di base per un’acquisizione forense, adesso possono esser fatte tutte da GUI, senza utilizzare la console, per chi ne è terrorizzato, infatti si può, col secondo tasto del mouse, cliccare sull’icona verde di mounter e farla diventare rossa, al fine di montare in scrittura il disco destinazione (dove si va a scrivere il file immagine del disco da duplicare), poi con un click su Guymager o Air, si può procedere all’acquisizione, ed infine smontare il disco destinazione con un click sul disco rosso e un uncheck + OK ed il gioco è fatto!
Insomma una serie di accorgimenti, che ho descritto in sintesi, per far capire che una distro forense non è un semplice UBUNTU con dentro tanti tools....
Questa versione viaggia su DVD, perchè ormai i sistemi ed i tool sono “ingrassati” e dato che c’era più margine di manovra ho aggiunto un po’ di strumenti nuovi, aggiornati tutti gli altri ed ho atteso che Brian Carrier rilasciasse lo Sleuthkit 4.0 stable, che è il cuore di tutti i tool forensi.
Come sempre, Caine è un lavoro che “materialmente” svolgo personalmente, ma è fatto da tanti consigli, suggerimenti, tool, disponibilità di tante persone da tutto il mondo, che mi scrivono e che recepisco, metto da parte ed implemento i loro “tips”, quindi grazie a tutti, grazie alla comunità open source e grazie anche a te Marco per questo articolo.
 
Dott. Nanni Bassetti
http://www.nannibassetti.com
Caine project manager - http://www.caine-live.net

1 commento:

  1. Giuliano Ossurdi6 ottobre 2012 06:21

    sinceramente preferisco DEFT Linux ... ma ben vengano le alternative

    RispondiElimina

Licenza
Licenza Creative Commons

Quest' opera è distribuita con licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported. Questo blog non rappresenta una testata giornalistica, in quanto viene aggiornato senza alcuna periodicità. Non può, pertanto, considerarsi un prodotto editoriale, ai sensi della legge n. 62 del 7/03/2001

Disclaimer immagini

Le immagini utilizzate in questo blog appartengono ai loro rispettivi autori e sono utilizzati per scopi educativi, personali e senza scopo di lucro. Ogni eventuale violazione del copyright non è intenzionale, ma se si riconosce un'immagine protetta da copyright, fatemelo sapere qui, e sarò lieto di aggiungere i credits o modificarla o rimuoverla.

Disclaimer images

Images used on this blog belong to their respective authors and are used for educational, personal and no profit purposes. Any eventual copyright infringement is not intentional, but if you recognize a copyrighted image, please let me know here, and I'll happily provide to add the right credits or modify or remove it.