CAINE 11.0 ya liberada, la distro basada en Ubuntu para el análisis forense
Recientemente fue presentado el lanzamiento de la nueva versión de la distribución de Linux CAINE 11.0 (entorno de investigación asistido por computadora). CAINE es una distribución de Linux que esta basada en Ubuntu y que está diseñada para ser utilizada en modo en vivo que está especializada para realizar análisis forenses, buscar datos ocultos y eliminados en discos e identificar información residual para restaurar la imagen de un sistema.
En la distribución se incluye herramientas como GtkHash, Air (imagen y restauración automatizadas), SSdeep, HDSentinel (Hard Disk Sentinel), Bulk Extractor, Fiwalk, ByteInvestigator, Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD.
También vale la pena señalar el sistema WinTaylor especialmente desarrollado como parte del proyecto para un análisis exhaustivo de los sistemas Windows y la generación de informes detallados sobre todas las anomalías registradas.
La composición también incluye una selección de scripts auxiliares para el administrador de archivos de Caja (fork de Nautilus) que le permiten realizar una amplia gama de comprobaciones en una partición o directorio de disco, así como ver una lista de archivos eliminados y analizar contenido estructurado como el historial de navegación, el registro de Windows, las imágenes de metadatos EXIF.
La distribución aun que toma como base a Ubuntu, no incluye el entorno de escritorio de Gnome, por lo que en ella se propone una única interfaz gráfica basada en el shell MATE para administrar un conjunto de diversas utilidades para explorar los sistemas Unix y Windows.
Principales novedades de CAINE 11.0
Esta nueva versión de la distribución se basa en Ubuntu 18.04 LTS (“Bionic Beaver”) con soporte a largo plazo, que proporciona al sistema operativo las actualizaciones del sistema apropiadas hasta abril de 2023 a través de los repositorios de Ubuntu. CAINE 11.0 es compatible con UEFI Secure Boot y se entrega con el kernel de Linux 5.0.
A diferencia de otras distribuciones que también están diseñadas para análisis forenses digitales y pruebas de penetración, la versión actual depende en gran medida de las aplicaciones con una interfaz gráfica para facilitar la reconstrucción de datos.
Mientras que, para evitar operaciones de escritura accidentales, todos los dispositivos de bloque ahora están montados de forma predeterminada en modo de solo lectura. Para transferir al modode escritura, se ha añadido la utilidad BlockON que se propone en la interfaz gráfica.
Por la parte del sistema, se destaca que los desarrolladores trabajaron para reducir el tiempo de carga. En las herramientas del sistema se han añadido las herramientas OSINT, Autopsy 4.13, BTRFS foresic tool, NVME SSD drivers ready, OSINT – Carbon14, OsintSpy, mobile – gMTP, ADB, Recoll, Afro, Stegosuite.
El servidor SSH se ha deshabilitado de forma predeterminada (la página del manual indica que se puede volver a habilitar). SystemBack ahora se usa como instalador del sistema.
Tambien se destaca que los desarrolladores incluyeron muchas correcciones de errores y actualizaciones de los componentes del sistema.
De los demás cambios que se destacan:
- Se agregó la capacidad de iniciar con una copia de la imagen de inicio en RAM
- La herramienta scrcpy está integrada para controlar un dispositivo Android (captura de pantalla) a través de USB o TCP/IP
- Servidor X11VNC agregado para la administración remota de CAINE
- Herramienta AutoMacTc para análisis forense de sistemas basados en macOS agregados
- Se agregó la utilidad Autotimeliner para extraer automáticamente información sobre la actividad del usuario de los volcados de memoria
- Analizador de firmware agregado Firmwalker
- Añadido utilidad CDQR (Cold disco Quick Response) para extraer los datos residuales del disquete
- Se agregó un conjunto de utilidades para Windows
Descargar la nueva versión de CAINE 11.0
Para aquellos que estén interesados en probar esta distro de Linux, pueden obtener la imagen del sistema desde su sitio web oficial, el tamaño de la imagen iso de arranque es de 4,1 GB. El enlace es este.
La imagen la puedes grabar con Etcher en una memoria USB, esta es una herramienta multiplataforma.
Como se mención al inicio el sistema admite el modo en vivo, por lo que el sistema se carga en la memoria RAM.