AA-22005620-Johan_Swanepoel-123RF.jpg

© Johan Swanepoel, 123RF

Caine: Ubuntu-Derivat für forensische Aufgaben

Investigativ

Wachsende Computerkriminalität erfordert fortgeschrittene Techniken zur Analyse von Datenträgern und Datenbeständen. Caine gibt Ihnen alles an die Hand, was Sie dafür benötigen.

Meldungen in den Medien über aggressive Schadsoftware und dadurch verursachte Datenverluste reißen in den letzten Monaten nicht ab. Administratoren wie Anwender beklagen, dass Krypto-Trojaner, Passwortklau oder die Integration des heimischen Computers in ein Botnetz schwere Schäden verursachen.

Forensik-Distributionen leisten gegen solche Umtriebe meist gute Dienste, lassen sich jedoch häufig nur schwer handhaben: Viele Werkzeuge verzichten auf eine grafische Oberfläche und erfordern daher viel Einarbeitung. Um ambitionierten Privatanwendern und Administratoren in kleinen Unternehmen das Absichern der IT-Infrastruktur und die Datenrekonstruktion zu erleichtern, hoben italienische Entwickler die Distribution Caine ("Computer Aided Investigative Environment") aus der Taufe [1]. Das mittlerweile in Version 8 vorliegende Ubuntu-Derivat basiert aktuell auf Version 16.04.1 des Canonical-Systems.

Caine entstand im Jahr 2008, nachdem russische Cracker mit dem PHP-basierten Framework MPack [2] zahlreiche italienische Rechenzentren angriffen und dabei enormen Schaden anrichteten. Die Entwickler konzentrierten sich daher von Anfang an auf forensische Werkzeuge, die sich dank umfangreicher Reportmöglichkeiten auch für den gerichtsfesten Einsatz eignen. Außerdem stand die Benutzerfreundlichkeit im Fokus, sodass Caine von Anbeginn an viele grafische Tools mitbrachte.

Als Arbeitsumgebung nutzt Caine den schlanken Maté-Desktop, benötigt allerdings einen Computer mit 64-Bit-CPU. Als Virtualbox-Gast funktioniert es ebenso wenig wie auf 32-Bit-Systemen. Es startet dort zwar, produziert allerdings nach kurzer Zeit nur noch Grafikfehler. Caine lässt sich dank eines integrierten VNC-Servers und -Clients auch aus der Ferne nutzen.

Holprig

Beim Caine-ISO-Image handelt es sich laut den Programmierern um ein Hybrid-Abbild. Zum Anlegen eines startfähigen USB-Sticks empfehlen sie allerdings eine Software, die es nicht für Linux gibt. Wir testen daher zunächst, ob sich das ISO auch mit Linux-Werkzeugen wie dem ROSA Image Writer [3], Unetbootin oder dem Fedora LiveUSB-Creator auf einem USB-Stick speichern lässt.

Das schafft jedoch keines der drei Programme, sodass wir zunächst eine bootfähige DVD mit Caine 8.0 anlegen. Sie startet in einen Grub-2-Bildschirm, der ausschließlich verschiedene Live-Modi anbietet. In der Standardeinstellung öffnet das System nach kurzer Zeit einen recht dunkel gehaltenen Maté-Desktop (Abbildung 1).

Abbildung 1: Der Desktop von Caine wirkt aufgrund der dunklen Farben rustikal.

Darauf finden sich erstaunlich viele Icons, wobei sich neben Anwendungen wie Firefox und dem Maté-Dateimanager Caja auch Programme zum Erkunden des Systems finden. Als Installationsassistent dient Systemback [4] – eigentlich ein Backup- und Restore-Werkzeug. Eine dauerhafte Installation kann für ein forensisches System wie Caine durchaus sinnvoll sein, wenn man viele mobile Datenträger untersuchen muss: In solchen Fällen eignen sich weder das DVD-Laufwerk noch ein USB-Stick als Arbeitsmedium. Da professionelle forensische Arbeiten zudem nie am originalen Datenträger stattfinden sollten, sondern stets an einer Kopie oder einem Image, benötigt man dafür Speicherkapazitäten, die eine DVD oder ein USB-Stick nicht bieten.

Das Live-System bindet in der Standardeinstellung alle Datenträger nur im Lesemodus ein. Das verhindert ein versehentliches Beschreiben zu untersuchender Medien. Schreibzugriffe ermöglicht ein grafisches Tool, das Sie über den Starter BlockOn/Off erreichen. Es zeigt sämtliche Speichermedien inklusive der Wechseldatenträger an und gestattet das gezielte Umschalten des Betriebsmodus (Abbildung 2).

Abbildung 2: Mithilfe eines grafischen Tools gewähren Sie Schreibrechte.

Das explizite Ausschalten des reinen Lesemodus gelingt jedoch auch mit dem Kommando sudo rbfstab -r. Das Werkzeug Rbfstab entfernt dann alle Attribute aus der Datei /etc/fstab, die die eingebundenen Medien in den reinen Lesemodus schalten. Erst dadurch lässt sich die Distribution mithilfe von Systemback auf einem Massenspeicher installieren (Abbildung 3).

Abbildung 3: Systemback zeichnet nicht nur für Backups verantwortlich, sondern fungiert auch als Systeminstaller.

Nach der Installation von Caine auf der Festplatte erscheint der Desktop erheblich aufgeräumter. Die Tastaturbelegung bietet zunächst nur ein englisches oder italienisches Layout. Für eine deutsche Lokalisierung wählen Sie im Untermenü System | Preferences | Hardware den Eintrag Keyboard aus und aktivieren im grafischen Dialog die deutsche Tastaturbelegung. In der Live-Variante der Distribution steht dazu auf der Arbeitsoberfläche der Starter Keyboard changer bereit, der ein Terminal öffnet und die Eingabe des Landescodes (für Deutsch: de) erwartet.

Danach stellen Sie die Sprache auf Deutsch um, wozu das System jedoch einen Internet-Zugang benötigt, da es eine Reihe von Paketen aus dem Netz laden muss. Die von Ubuntu bekannte Installationsroutine für Sprachpakete finden Sie unter System | Preferences | Personal | Language Support. Externe Software, die nicht aus den Paketquellen von Ubuntu stammt, lässt sich auf diesem Weg jedoch nicht lokalisieren.

Unübersichtlich

Nach einem erneuten Warmstart finden Sie die meisten Menüs und deren Unterordner in Deutsch vor. Die Software beschränkt sich nicht auf Forensik: So finden Sie neben gängigen Standardanwendungen wie LibreOffice, Gimp, Firefox, Thunderbird und VLC auch spezialisierte Applikationen wie Bittorrent-Clients. Teils gibt es auch mehrere Anwendungen für dieselbe Funktion, wie etwa mehrere PDF-Betrachter oder Frontends zur Paketverwaltung.

Zusätzlich sticht ins Auge, dass die Entwickler einige Applikationen trotz der sehr umfangreichen Menühierarchie nicht sinnvoll eingruppiert haben: Das Untermenü Zubehör integriert Zulucrypt und Zulumount sowie die Passwortverwaltung Seahorse, die eigentlich in ein eigenes Untermenü zur Systemverwaltung gehören. Hier wäre weniger eindeutig mehr, und so fällt es insbesondere Einsteigern zunächst etwas schwer, sich auf der Suche nach einer passenden Applikation durch den Menüdschungel von Caine zu kämpfen.

Geradezu gewaltig fällt auch der Softwarebestand im Menü Forensics Tools und dessen Unterordnern an forensischen Tools für jede Aufgabenstellung aus. Caine deckt dabei alle gängigen Aufgaben von der Anlage eines Images über die eigentliche Forensik-Software bis hin zu Reporting-Tools ab, wobei diese häufig auch über grafische Frontends verfügen (Abbildung 4). Zahlreiche Werkzeuge, deren Konfiguration üblicherweise kompliziert ausfällt, haben die Caine-Entwickler bereits mit sinnvollen Grundeinstellungen versehen. Zusätzlich gibt es eine Reihe von Terminalanwendungen, die meist mit einer Syntaxanzeige starten.

Abbildung 4: Über zu wenig forensische Werkzeuge kann sich der Anwender bei Caine wahrlich nicht beklagen.

Neben reinen Analysewerkzeugen finden sich im Untermenü Forensics Tools | Disks auch Anwendungen zur Datenrekonstruktion auf Datei- und Partitionsebene. Dazu zählen Klassiker wie PhotoRec [5] und dessen grafischer Ableger QPhotorec ebenso wie Testdisk und Ddrescue mitsamt grafischem Frontend Ddrescue-GUI. Auch für die Arbeit mit Abbildern enthält die Distribution einige nützliche Applikationen: XmountGUI konvertiert verschiedene Abbildformate bequem per Mausklick. Imount erleichtert das Einbinden von Images ins System, und Vhdimount gestattet das Einhängen von VHD-Abbildern. Auf Datenträger aus der Apple-Welt greifen Sie via XHFS zu.

In den Untermenüs Network forensics, Mobile forensics und Memory forensics gibt es zahlreiche Werkzeuge zur Arbeit im Netzwerk sowie Tools für das Auslesen von Arbeitsspeicher und Mobilgeräten inklusive Blackberrys oder iPhones. Im Netzwerk kommen Platzhirsche wie Wireshark, Zenmap und Netdiscover zum Einsatz. Tools wie Fred [6], Möbius [7] oder RecuperaBit [8] erlauben den Einsatz von Caine in heterogenen Umgebungen. Für eine einfachere Analyse von Log-Einträgen sorgen die Applikationen NBTempo und Log2Timeline aus dem Untermenü Timeline.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...