CAINE 9.0: nueva versión de la distro de análisis forense digital

Ya se puede descargar lo último de CAINE (Computer Aided INvestigative Environment). Una distribución GNU/Linux de origen italiano y especializada en la informática forense, que se puede ejecutar en modo live, manejar de forma remota vía VPN o hacerla fija en nuestro equipo mediante su instalador Systemback.

Examinar ordenadores y otros dispositivos de hardware, para recuperar evidencias y contenidos almacenados, es algo que CAINE realiza muy bien. En parte, gracias a su capacidad de montar las particiones en modo único de lectura, evitando que por un descuido se escriba en ellas. Algo que en caso necesario también se podría desactivar tirando de herramientas gráficas (Mounter, BlockON/Off) o de línea de comandos (rbfstab).

La distro está basada en Ubuntu 16.04 LTS, viene con kernel 4.4 y zarpa con un escritorio MATE repleto de scripts en su menú contextual. De esa manera se facilita el análisis de archivos, la recogida de evidencias o la muestra de metadatos de dispositivos conectados (por ej. un iPod).

Además el sistema cuenta con una abrumadora colección de aplicaciones de tipo forense:

• OSINT (Infoga, TheHarvester, Tinfoleak).
• análisis y recuperación de datos (Autopsy, BEViewer Bulk Extractor, Fred, Mobius, Photorec, Qphotorec, RecuperaBit, Testdisk, TkDiff, XALL 1.5, Xdeview).
• herramientas de discos (GuyMager, DDRescue-Gui, XHFS, Xmount-GUI, dd Utility, DdrescueView, BlockON/OFF, IMG_MAP, iMount, RecuperaBit, SafeCopy, Tesdisk, VHDIinfo, VHDIMount).
• bases de datos (SQLite database browser, Squiteman).
• comprobación de Hash (GTKHash, QuickHash).
• malware (PDF Analysis, PEFrame, Yara, VolDiff).
• análisis de memoria (Inception, Volatility, Vshot, MemDump).
• análisis forense de móviles (ADB, Blackberry and Idevice scripts, iLoot, iPhone Backup Analizer, LibMobileDevice).
• análisis de redes (Wireshark, Netdiscover, Zenmap).
• Generadores de lineas de tiempo (Nbtempo, Log2Timeline, NBTEMPOX).

En CAINE 9.0 debutan algunas de esas herramientas:

• RegRipper: herramienta escrita en Perl y con interfaz gráfica que permite extraer información del registro de Windows.
• VolDiff: script en Python que permite identificar malware en sistemas Windows.
• Safecopy: herramienta especializada en recuperar datos de CD’s y otros dispositivos similares.
• PFF Tools: se trata de una biblioteca que permite en Linux el acceso a formatos PFF y OFF, utilizados por programas como Microsoft Outlook.
• Plistutil: herramienta para convertir a binario, los archivos de lista de propiedades en formato XML que utiliza Apple en sus sistema Mac OS X.
• Mouseemu: Se trata de un emulador de ratón, que puede ser utilizado en trackpads.
• Nbtempo: script de Bash para hacer lineas de tiempo y presentarlas en formato CSV.
• Infoga: herramienta para obtener información de cuentas de correo electrónico.
• TheHarvester: un programa para cosechar datos de fuentes públicas: mails, nombres de subdominios, puertos abiertos, banners, claves públicas, nombres de empleados, etc.
• Tinfoleak: herramienta opensource para obtener información de los usuarios de twitter (nombre, imágenes, localización…)
• Regmount y ligregf-utils: en ambos casos, se trata de software para acceder al Windows NT Registry File (REGF).

Señalar que también se ha deshabilitado de forma predeterminada el servidor SSH y actualizado su colección de herramientas para sistemas Windows (lo que ellos llaman Win-UFO).

CAINE 9.0 está disponible únicamente para arquitecturas de 64 bits. Tenéis más información de esta versión y enlaces de descarga en su web.