ITrig

CAINE 9.0 "Quantum" - Digitale Forensik made in Italy

Mit CAINE 9.0 wurde die digitale forensische Distribution aus Italien erneut aktualisiert.
Die Distribution bringt neben den üblichen Bekannten aus dem Linuxumfeld mit Win-Ufo auch Tools für die Untersuchung von Windows Systemen mit.

Quantum wird mit Kernel 4.4.0-97 bzw. Ubuntu 16.04 64Bit ausgeliefert und hat mit Systemback einen einfachen Installer an Bord.

Damit es nach dem Start nicht zu Verwirrungen kommt, hier ein paar Hinweise:

Beim direkten Booten werden alle Laufwerke im Lesemodus gemountet, zusätzlich lässt sich das System in den RAM booten. Der SSH Server ist nun ab Werk deaktiviert und muss gesondert aktiviert werden.

Wie bei anderen Distributionen aus diesem Sektor wurden Tools aktualisiert oder neu aufgenommen, hier eine Auswahl:

• RegRipper - Windows Registry auslesen und untersuchen
• The Harvester - Domain und E-Mail Informationssuche
• Tinfoleak - Twitter Informationsbeschaffung
• Infoga - Informationssuche via Domain
• VolDiff  - Malware Memory Footprint Analyse

Weiter sind SafeCopy, PFF tools, pslistutil, mouseemu dazu gekommen.

NST 26 Network Security Toolkit SVN:9267

Das Network Security Toolkit hatte ich mit Version 22 das erste Mal im Blog vorgestellt.

Inzwischen ist Version 26 veröffentlich worden. Der auf Fedora 26 basierende Werkzeugkasten für Adminstratoren beinhaltet viele praktische Tools um Netzwerke zu analysieren oder zu penetrieren.

Neu dabei sind unter anderem The Sleuth Kit, Hashrat Utility oder Robot.txt Analyse mit Parseo, sowie OpenVAS. 

Eine komplette Liste ist hier zu finden.

Parrot Security 3.9 

Der Papagei ist weiter recht munter, erst vor kurzem wurde die letzte Version veröffentlicht.

Mit v3.9 wurde eine Sandbox basierend auf firejail integriert. 

Die übliche Systempflege wurde für das Release natürlich ebenfalls betrieben.

Übersicht forensische Distributionen 11/17

Schon vor ca. 4 Wochen wurde eine neue Version von C.A.I.N.E veröffentlicht. Das Computer Aided Investigative Environment System von Giancarlo Giustini ist mit Version 8 im 8. Jahr immer noch im Rennen.

Die neueste Variante basiert auf Ubuntu Linux 16.04 LTS, MATE, LightDM und bringt den Kernel Kernel 4.4.0-45 mit.

Die Distribution unterstützt UEFI/Secure Boot und Legacy Boot. Der Installer basiert auf SystemBack, welches auf ITrig schon als Image Tool für eigene Distributionen Erwähnung gefunden hat.

Nach dem ersten Start von CAINE werden alle Geräte als Read Only gemountet. Diese Sperre muss manuell aufgehoben werden.

Das System kann wahlweise in den RAM gebootet werden und ist damit um einiges flotter.

Wer CAINE remote verwalten möchte, kann auf den integrierten VNC Server zurückgreifen.

Win-UFO

Ein Unterschied dieser forensischen Distribution zu anderen, ist die Unterstützung für Win-UFO 6.0. Dabei handelt es sich um eine Toolsammlung für Windows Systeme.

Hier sind viele Programme aus dem Nirsoft oder Sysinternals Repertoire enthalten, welche das Auslesen von Logs, History, Passwörten und Co erlauben oder die Analyse von Ports und Verbindungen.

Insgesamt sind ca. 100 Windows Tools in der Sammlung enthalten.

Fazit

CAINE 8.0 bietet auch in der neuesten Version eine gute Plattform mit forensischen Tools und Co. Mit Win-UFO ist zusätzlich eine große Auswahl an Programmen für reine Microsoft Systeme an Bord. Viel Neues ist in "blazar" allerdings nicht dazu gekommen

Die Distribution kann als ISO heruntergeladen werden. Die Entwickler warnen aktuell aber vor Problemen mit VirtualBox.

So ziemlich genau vor einem Jahr ist die letzte Version des Computer Aided INvestigative Environment Systems erschienen.
Die Sammlung für forensische Analyse und Tools  zeichnet sich durch die Integration der forensischen Windows Tool Sammlung Win-UFO aus, auch diese ist in CAINE 7.0 enthalten.

Das System der Live CD schnurrt immer noch mit Ubuntu 14.04.1 64bit und versteht sich auf UEFI/SecureBoot. 
Die Installation basiert auf SystemBack (Der sichere Leser weiß, dies war bereits beim Erstellen einer eigenen Distro Thema.

Schreibschutz

Alle Laufwerke eines zu untersuchenden Systems werden im Read Only Modus eingelesen, diese Einstellungen lassen sich über das Desktop Tool unBlock jederzeit anpassen.

CAINE Remote

Durch die Integration eines VNC Servers, bzw. Clients kann die Tool Sammlung nun auch aus der Ferne gesteuert werden.

Neue Pakete und aktualisierte Programme

Die Forensik Live CD hat mit Version 7.0 neue Pakete erhalten, Programme wie BleachBit, DDRescue oder ZuluCrypt wurde erneuert oder hinzugefügt. 
Gleichzeitig wurden beispielsweise OpenSSL und SSH auf eine neuere Version angehoben. Die gesamte Liste der integrierten Tools ist hier zu finden.

Die Live CD steht als fertige ISO zur Verfügung und ist für USB Sticks geeignet Die Entwickler empfehlen Rufus oder UnebootIn für die Erstellung eines Sticks.

Durch die Ultimate Forensics Outflows für Windows Systeme, ist diese Live CD sicherlich auch für die breitere Masse (Windows) interessant, da sie Tools von Nirsoft und Co unter einen Hut bringt.

Das könnte dich auch interessieren

Caine 6.0 - Dark Matter - wurde heute veröffentlicht. Nachdem im Januar (siehe Artikel) mit der letzten Version bereits UEFI Unterstützung integriert wurde, bietet das neue Computer Aided INvestigative Environment hauptsächlich Aktualisierungen für die enthaltenen Open Source Tools.

Die aktuelle Werkzeugsammlung basiert auf Ubuntu 14.04.1 64bit und wird nun via SystemBack installiert. Die ebenfalls in den News erwähnten Neuerungen RBFstab and Mounter hatte ich bereits bei Version 5.0 kurz erwähnt. 

Mit an Board ist nach wie vor Win-UFO , eine Toolsammlung für Windows Systeme. Sie enthält einige interessante Analyseprogramme, zum Teil aus dem Hause Nirsoft, wenn ich es richtig sehe.

Ähnlich wie bei den Kollegen von Kali Linux (aktuelle Version 1.0.9a), wurde die Shellshock Lücke mit der neuen Version geschlossen. Den Changelog könnt ihr hier finden.

Download CAINE 6.0

Die italienische Distribution CAINE (Computer Aided INvestigative Environment) ist in Version 5.0 erschienen. Ich hatte die alte Version bereits im letzten Jahr vorgestellt. Mit v5.0 Blackhole läuft das System nun unter Kernel 3.8.0-35 mit Ubuntu 12.04.3 64BIT, sowie der Unterstützung für UEFI/SECURE Boot. 

Als neuer Installer kommt Systemback zum Einsatz. Als neuer Partner konnte Win-UFO (Ultimate Forensic Outflow) gewonnen werden, dabei handelt es sich um ein Sammlung von Windows Tools mit diversen Cache und Log Viewern, Malware Scannern, Passwort und Registry Tool, einige aus dem NirSoft und Piriform Umfeld.

Rebuild Fstab Festplatten im Lesemodus mounten

Für eine sichere Untersuchung von anderen Festplatten eignet sich das Tool Rebuild Fstab, ist dieses aktiviert, werden angesteckte Festplatten im Lesemodus gemountet. Gleiches gilt für das Systray Tool Mounter. Weitere Details, sowie den Changelog findet ihr auf der Homepage.

Download CAINE 5.0