AA_caine-desktop.png

© LNM AG

Dem Täter auf der Spur

Forensik-Distribution Caine 2.0

21.10.2010
Caine 2.0 ist ganz auf den Einsatz in der IT-Forensik zugeschnitten. Es enthält zahlreiche Werkzeuge, um zum Beispiel gelöschte Daten aufzuspüren.

Computer Aided Investigative Environment: Dieser etwas sperrige Begriff ergibt das allen Liebhabern der Kultserie "CSI", bekannte Akronym Caine – den Nachnamen des forensischen Helden aus Miami. Auch die beiden anderen Hauptprotagonisten Grissom (Grissom Analyzer) und Taylor (WinTaylor) fanden namentlichen Einzug in die Distribution. Eine Programmierergruppe um den italienischen Maintainer Nanni Bassetti [1] verschrieb sich der freien, Open-Source-basierten IT-Forensik unter Linux und entwickelt die Spartendistribution Caine [2], die nun in der Version 2.0 vorliegt.

Caine 2.0 basiert auf dem aktuellen LTS-Ubuntu "Lucid Lynx" und genießt damit alle Vorteile der bequemen und anwenderfreundlichen Systempflege eines Ubuntu-Linux. Die Entwickler stutzten allerdings die Software der Ursprungsdistribution ordentlich zusammen, sodass sich der Benutzer ohne Schnickschnack auf Spurensuche begeben kann.

Der Desktop benutzt nach dem Booten der ca. 700 MByte Daten enthaltenden Live-CD nur ein Panel am unteren Ende des Bildschirms und bietet über wenige Desktopsymbole Schnellzugriff auf alle relevanten Hauptprogramme. Neben den forensischen Tools beschränkt sich Caine auf wenige Standardwerkzeuge und achtet dabei auf deren Einfachheit. Neben dem obligatorischen Firefox befriedigen somit lediglich Abiword und Gnumeric die Grundbedürfnisse des investigativen Büroalltags. Ein schlanker Bildbetrachter, Evince für PDFs, der Allesspieler VLC oder die schlanke Programmier-IDE Geany – keines der vorinstallierten Werkzeuge wirkt unnütz oder fehl am Platz.

Neben einer installierbaren Live-CD (auf der Heft-DVD) bietet das Caine-Team auch eine USB-Version für Netbooks sowie eine spezielles Forensiktool für Windows namens WinTaylor 2.1. Letzteres finden Sie auch auf der Live-CD.

Über den Desktop-Link Caine 2.0 Installer oder das Bootmenü installieren Sie die Distribution auf eine Festplatte. Caine benutzt dafür den typischen Sieben-Schritte-Installer der Ubuntu-Distributionen. Dessen Diashow flunkert allerdings das umfangreiche Software-Programm der Ursprungsdistribution vor und schwärmt von Rhythmbox und Evolution, die sie beide unter Caine aber nachinstallieren müssen.

Forensische Tools

Sämtliche relevante Software für Ihre Spurensuche finden Sie im Menü unter Forensic Tools. Das Herzstück bildet das Caine Interface (Abbildung 1), das nach den vier Grundschritten der forensischen Computeranalyse [3] arbeitet und den Zugriff auf die Schnüffeltools unter einer Haube zusammenfast:

1. Identifizieren der Medien,

2. Sicherstellen der Daten,

3. Analysieren der Daten/Medien,

4. Präsentation der Ergebnisse (Reports).

Abbildung 1: Das Caine-Interface begleitet Sie durch die vier Schritte der Computerforensik.

Diese vier Arbeitsschritte entsprechen somit den Reitern des Caine-Interface Grissom Analyzer, Collection, Analysis und Report. Auf der ersten Tafel befinden sich Schalter für Werkzeuge wie fsstat und mmls, um die Partitionierung eines Datenträgers zu überprüfen. Im nächsten Bereich sorgen AIR 2.0.0 [4] (Abbildung 2) und Guymager [5] für eine blockweise Sicherung der gefundenen Abbilder. Als alternatives Format dient das freie AFF ("Advanced Forensics Format").

Abbildung 2: Mit Air erstellen Sie aus Partitionen analysierbare Imagedateien.

Die eigentlichen Analyse-Werkzeuge befinden sich im dritten Reiter. Bei Autopsy [6] etwa handelt es sich um eine HTML-Oberfläche für die forensischen Kommandozeilentools des Sleuth Kit [7]. Damit erstellen Sie zu jedem Vorfall oder gefundenem Medium eine Akte und halten somit Ordnung in Ihrer Arbeit. Die Werkzeuge hinter Autopsy analysieren die Dateisysteme FAT, NTFS, UFS, sowie Ext2/3. Autopsy bringt zum Beispiel gelöschte Dateien wieder zum Vorschein, sofern der Besitzer des Rechners diese nur "gelöscht", die Festplatte an dieser Stelle aber nicht mehrmals überschrieben hat. Ähnlich geht das vom Caine-Maintainer entwickelte Kommandozeilentool SFDUMPER vor.

Stegdetect sucht in vorgegebenen Ordnern nach JPEG-Dateien, in denen Daten versteckt sind. Foremost, FUNDL und Scalpel stellen (ebenfalls über einfache grafische Oberflächen) alte Dateien wieder her.

Der vierte und letzte Reiter beherbergt die Einstellungen für die Berichte der benutzten forensischen Werkzeuge. Als Ausgabe-Format dient dabei RTF, HTML und AbiWord.

Sprache: Englisch

Ein Problem scheint Caine 2.0 mit dem Sprach-Support von Ubuntu zu haben. Zwar lässt sich das Tastaturlayout problemlos anpassen, und das Programm lädt über Preferences | Language Support brav die deutschen Sprachpakete herunter. Trotzdem lässt sich der Eintrag German nicht anwählen. Das ist schade und zeigt – genau wie die klassischen Ubuntu-Bootscreens – dass die Entwickler noch wenig Augenmerk auf eine eigenständige Distribution legen. Vielmehr gilt es, sich auf den Ubuntu-Unterbau zu verlassen und lediglich die forensischen Werkzeuge einzufügen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 06/2015: Shell-Tools

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 0 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Zu wenig Speicherplatz auf /boot unter MATE
Patrick Obenauer, 25.05.2015 14:28, 1 Antworten
Hallo zusammen, ich habe Ubuntu 14.10 mit MATE 1.8.2 (3.16-37) mit Standardeinstellungen aufgese...
Konsole / Terminal in Linux Mint 17.1 deutsch
Dirk Resag, 09.05.2015 23:39, 12 Antworten
Hallo an die Community, ich habe vor kurzem ein älteres Notebook, Amilo A1650G, 1GB Arbeitsspe...
Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...