Nanni Bassetti ci illustra CAINE 3.0
Ieri vi ho riportato la notizia del rilascio di CAINE 3.0 QUASAR, la nuova versione della distro made in Italy per l’analisi forense. Quest’oggi ho il piacere di re intervistare (qui la vecchia intervista) il suo curatore, il Dott. Nanni
Bassetti che, nelle righe che seguiranno, ci illustrerà cosa c’è di nuovo in CAINE 3.0
Bassetti che, nelle righe che seguiranno, ci illustrerà cosa c’è di nuovo in CAINE 3.0
Colgo l’occasione per ringraziare Nanni per il tempo dedicatomi 🙂
A voi!
Caine 3.0 è la naturale evoluzione di Caine 2.5.1, che ha sempre seguito le
LTS di Ubuntu, proprio per garantire, a chi lo vuole installare, un supporto di
lungo termine da parte di Canonical.
LTS di Ubuntu, proprio per garantire, a chi lo vuole installare, un supporto di
lungo termine da parte di Canonical.
Ogni “balzo” di upgrade è sempre un problema, come sempre tutti consigliano
di ripartire da una versione pulita di Ubuntu, ma io che sono un “testone” tendo
sempre a fare gli upgrade, così mi ritrovo tutte le mie cosette al loro
posto.
di ripartire da una versione pulita di Ubuntu, ma io che sono un “testone” tendo
sempre a fare gli upgrade, così mi ritrovo tutte le mie cosette al loro
posto.
Questa volta l’upgrade è andato abbastanza bene, salvo che mi son ritrovato
il famigerato Unity, che non mi piaceva per niente e volendo ricreare un
ambiente più simile possibile a Gnome, poiché Caine è vocato alla massima
usabilità e facilità, ho desiderato mantenere un’interfaccia alla quale
gli utenti di Caine si erano abituati dalla versione 1.0, quindi la scelta è
ricaduta su MATE.
il famigerato Unity, che non mi piaceva per niente e volendo ricreare un
ambiente più simile possibile a Gnome, poiché Caine è vocato alla massima
usabilità e facilità, ho desiderato mantenere un’interfaccia alla quale
gli utenti di Caine si erano abituati dalla versione 1.0, quindi la scelta è
ricaduta su MATE.
MATE l’ho trovato veramente carino, stabile, veloce, CAJA sostituisce
Nautilus perfettamente, permettendomi di conservare i Nautilus scripts così come
eravamo abituati nella versione 2.5.1 di Caine.
Nautilus perfettamente, permettendomi di conservare i Nautilus scripts così come
eravamo abituati nella versione 2.5.1 di Caine.
In seguito, ho dovuto affrontare il problema del login manager, che in MATE
è l’MDM, ma non mi convinceva, perchè, forse per mia ignoranza, richiedeva
sempre user e password, anche nella versione live della distro, per questo
motivo ho optato per LightDM.
è l’MDM, ma non mi convinceva, perchè, forse per mia ignoranza, richiedeva
sempre user e password, anche nella versione live della distro, per questo
motivo ho optato per LightDM.
Insomma, il nuovo Caine 3.0 è un Frankenstein! Composto da Ubuntu 12.04,
MATE, LightDM e poi le varie patches per rendere la distro forense.
MATE, LightDM e poi le varie patches per rendere la distro forense.
Ricordo che la distro è modificata al fine di essere sicura da un punto di
vista forense, ossia che non vada ad alterare i dispositivi da
acquisire/analizzare, proprio per rispettare le regole base della Digital
Forensics.
vista forense, ossia che non vada ad alterare i dispositivi da
acquisire/analizzare, proprio per rispettare le regole base della Digital
Forensics.
Al boot non monta niente dei dispositivi collegati.
Non vi è automount.
Non vi è possibilità di Root Spoofing Filesystem
Lo SWAP file è OFF per evitare che il sistema live vada ad agire sullo
swapfile del sistema ospite, laddove ci fosse poca RAM.
swapfile del sistema ospite, laddove ci fosse poca RAM.
Il tool RBFSTAB insieme al MOUNTER sviluppato da John Lehr (con la mia
rompiballesca collaborazione), riscrive la regola udev fstab.rules, che richiama
le regole di montaggio contenute in rbfstab, così da preventire le alterazioni
sui dispositivi collegati.
rompiballesca collaborazione), riscrive la regola udev fstab.rules, che richiama
le regole di montaggio contenute in rbfstab, così da preventire le alterazioni
sui dispositivi collegati.
La novità più importante è che le operazioni di base per un’acquisizione
forense, adesso possono esser fatte tutte da GUI, senza utilizzare la console,
per chi ne è terrorizzato, infatti si può, col secondo tasto del mouse, cliccare
sull’icona verde di mounter e farla diventare rossa, al fine di montare in
scrittura il disco destinazione (dove si va a scrivere il file immagine del
disco da duplicare), poi con un click su Guymager o Air, si può procedere
all’acquisizione, ed infine smontare il disco destinazione con un click sul
disco rosso e un uncheck + OK ed il gioco è fatto!
forense, adesso possono esser fatte tutte da GUI, senza utilizzare la console,
per chi ne è terrorizzato, infatti si può, col secondo tasto del mouse, cliccare
sull’icona verde di mounter e farla diventare rossa, al fine di montare in
scrittura il disco destinazione (dove si va a scrivere il file immagine del
disco da duplicare), poi con un click su Guymager o Air, si può procedere
all’acquisizione, ed infine smontare il disco destinazione con un click sul
disco rosso e un uncheck + OK ed il gioco è fatto!
Insomma una serie di accorgimenti, che ho descritto in sintesi, per far
capire che una distro forense non è un semplice UBUNTU con dentro tanti
tools….
capire che una distro forense non è un semplice UBUNTU con dentro tanti
tools….
Questa versione viaggia su DVD, perchè ormai i sistemi ed i tool sono
“ingrassati” e dato che c’era più margine di manovra ho aggiunto un po’ di
strumenti nuovi, aggiornati tutti gli altri ed ho atteso che Brian Carrier
rilasciasse lo Sleuthkit 4.0 stable, che è il cuore di tutti i tool
forensi.
“ingrassati” e dato che c’era più margine di manovra ho aggiunto un po’ di
strumenti nuovi, aggiornati tutti gli altri ed ho atteso che Brian Carrier
rilasciasse lo Sleuthkit 4.0 stable, che è il cuore di tutti i tool
forensi.
Come sempre, Caine è un lavoro che “materialmente” svolgo personalmente, ma
è fatto da tanti consigli, suggerimenti, tool, disponibilità di tante persone da
tutto il mondo, che mi scrivono e che recepisco, metto da parte ed implemento i
loro “tips”, quindi grazie a tutti, grazie alla comunità open source e grazie
anche a te Marco per questo articolo.
è fatto da tanti consigli, suggerimenti, tool, disponibilità di tante persone da
tutto il mondo, che mi scrivono e che recepisco, metto da parte ed implemento i
loro “tips”, quindi grazie a tutti, grazie alla comunità open source e grazie
anche a te Marco per questo articolo.
Dott. Nanni
Bassetti
http://www.nannibassetti.com
Caine project manager –
http://www.caine-live.net