CAINE 8.0: la distro para análisis forense se actualiza

Esta disponible una nueva versión de CAINE (Computer Aided Investigative Environment), una distribución GNU/Linux de origen italiano especializada en el análisis forense digital, es decir la recogida de evidencias de ordenadores y otros dispositivos de almacenamiento, preservando la integridad de los datos obtenidos para su posterior análisis.

Caine 8.0 está basada en la última LTS de Ubuntu (16.04), viene con el kernel 4.4 y utiliza un escritorio clásico a la vez que ligero, como es MATE.

Otra de las mejoras que llegan con el nuevo CAINE 8.0 es que ahora la distribución se ejecuta íntegramente desde la memoria RAM (aunque tenemos herramientas para instalarla físicamente, en caso de querer hacerlo a través de SystemBack, una herramienta compatible con sistemas UEFI) siendo capaz incluso de montar todas las unidades en modo “solo lectura” para evitar problemas, pudiendo activar a mano los permisos de escritura en las suites que lo necesitemos. Además, esta suite viene preparada para poder conectarnos a ella de forma remota a través del escritorio VNC.

Una labor que CAINE intenta hacer de la manera menos invasiva posible, mediante su ejecución en modo live que en esta última versión ya puede correr integramente desde la RAM, montando los dispositivos y particiones en modo lectura –algo que en caso necesario se puede desactivar mediante herramientas
gráficas como Mounter o BlockOn/Off, o desde la línea de comandos con la utilidad rbfstab— .

También es posible hacerla fija en nuestro equipo con su instalador SystemBack compatible con UEFI y entre sus posibilidades está la de su manejo remoto mediante VNC.

Caine 8.0 nos trae nuevos programas:

• IMG_MAP (image dd/raw y ewf mounter)
• XAll 1.5
• RecuperaBit
• SQLParse
• PEFrame
• Yara
• PDF analysis
• MemDump
• ADB and LibMobileDevice
• Gigolo (network filesystem client)
• Shrew (VPN manager)
• wxHexEditor
• Jeex
• XRCed
• PffLib
• imount, vhdimount y vhdiinfo
• samba
• vblade
• iscsitarget
• hashdb
• Tilda

Que se suman a la excelente colección de herramientas forenses ya existentes de: análisis y recuperación de datos (Autopsy, BEViewer Bulk Extractor, Fred, Mobius, Photorec, Qphotorec, RecuperaBit, Testdisk, TkDiff, XALL 1.5, Xdeview), herramientas de discos (GuyMager, DDRescue-Gui, XHFS, Xmount-GUI, dd Utility, DdrescueView, BlockON/OFF, IMG_MAP, iMount, VHDIinfo, VHDIMount), bases de datos (SQLite database browser, Squiteman), comprobación de Hash (GTKHash, QuickHash), malware (PDF Analysis, PEFrame, Yara), análisis de memoria (Inception, Volatility, Vshot, MemDump), análisis forense de móviles (ADB, Blackberry and Idevice scripts, iLoot, iPhone Backup Analizer, LibMobileDevice), análisis de redes (wireshark, Netdiscover, Zenmap) y generadores de lineas de tiempo (Nbtempo, Log2Timeline).

Un paseo por el menú contextual del administrador de archivos Caja, nos va a descubrir una interesante lista de scripts con el que podemos realizar el análisis de archivos, guardar evidencias, calcular sumas de verificación, cifrar, utilizar el editor hexadecimal, buscar archivos borrados o imágenes, montaje de volúmenes seguro y analizar el historial de internet o las cookies almacenadas (Firefox e Internet Explorer), entre otras opciones.


Fuentes:
http://lamiradadelreplicante.com/2016/11/02/caine-8-0-la-distro-para-analisis-forense-se-actualiza/
http://www.redeszone.net/2016/11/02/ya-podemos-descargar-caine-8-0-la-nueva-suite-analisis-forense/