Sei que muitos que lêem essa dica conhecem várias distribuições Linux desenvolvidas para a atuação de investigadores de forense digital, e eu mesmo em meu curso de Forense Digital acabo utilizando várias delas, tais como DEFT, FDTK, HELIX, REMnux, Peri-Br etc.

No entanto, dentre tantas distribuições, gostaria de citar uma, desenvolvida por um italiano, que possui uma qualidade digna de nota, que pode ser comparável à distro não-gratuita e reconhecida mundialmente Helix, que é a CAINE.

A distribuição CAINE, que significa Computer Aided INvestigative Environment, está no momento em sua versão 2.0 e agrega diversas ferramentas para análise tanto de máquinas Linux quanto Windows (com grande destaque à ferramenta WinTaylor, que permite extrairmos dados significantes em uma investigação em máquinas Windows). Um dos destaques dessa distro, e conta pontos no que diz respeito à facilidade de gerenciamento da mesma e na instalação dos pacotes, é que a mesma está baseada no Ubuntu 10.04 (LTS).

O que é interessante também nessa distribuição, é que seu desenvolvedor disponibilizou seu download em quatro formatos diferentes, permitindo sua utilização em diversos ambientes de trabalho. São eles:

• Máquina virtual = onde o investigador pode rodar a distro pelo VirtualBox ou VMWare, diretamente.
• Live-CD = formato tradicional, a partir do qual pode executar suas ferramentas como um Live-CD ou instalá-lo em uma máquina, transformando-a em uma estação de investigação forense.
• Caine Portable - NBCaine = permitindo a execução direta da distro pelo pendrive, ou outro dispositivo USB, incluindo já o WinTaylor. Isso quer dizer que se inserir o pendrive na USB de um micro Windows ligado, já teremos acesso à todas as ferramentas de aquisição de evidências e análise diretamente em um sistema vivo, sem precisar desligar a máquina e dar o boot pelo dispositivo.
• Caine-From-Deb = pacote que permite, caso o usuário possua uma máquina rodando Ubuntu a partir do 10.04, instalar as principais ferramentas do Caine em sua estação de trabalho, transformando-a em uma estação de investigação forense.

É possível visualizar na página da distribuição, uma lista com a maioria das ferramentas instaladas por default na distribuição, assim como uma pequena descrição de sua serventia. Para tanto, acessem o link:

• http://www.caine-live.net/page11/page11.html

Outra coisa interessa é a existência de uma tela central onde as principais ferramentas para uma investigação básica estão reunidas, separadas em categorias e que permitem a criação de um relatório automatizado a partir dos dados adquiridos em sua utilização. Nas duas telas abaixo podemos ver um print dessa tela, e suas abas divisórias que agrupam as ferramentas em categorias de utilização. Eu poderia ficar mais um tempo escrevendo sobre suas ferramentas e funcionalidades próprias, mas deixarei isso para um artigo um pouco mais longo. Mas para finalizar, quero agradecer a colaboração de um profissional brasileiro da área de forense através de alguns scripts e outras coisas mais, para essa excelente distribuição que é o CAINE. Seu nome é Tony Rodrigues, e quem quiser conhecer seu trabalho, podem acessar seu blog:

• http://forcomp.blogspot.com/

É isso. Espero que aqueles que possuem espírito curioso, baixem essa distro e comecem a fuçar suas ferramentas, e quem sabe venham a fazer parte de nosso time dos profissionais de investigação de crimes digitais.

Para quem quiser tirar dúvidas e conhecer um poco mais sobre as funcionalidade dessa distribuição especializada, indico também o fórum existente no site e acessível pelo endereço:

• http://www.caine-live.net/page0/page0.html

Acredito que a cada versão o CAINE só tende a melhorar, principalmente com o auxílio da comunidade. Como investigador de crimes digitais, senti falta de algumas ferramentas, mas nada que não se possa resolver com um "./ configure & make & make install" ou "apt-get install".

No entanto, confesso que tive problema com a utilização do framework volatility e o TCT, mais especificamente com o comando grave-robber (que hoje em dia foi substituído pelo Sleuth Kit).

Outra ferramenta da qual senti falta foi o Xplico, para análise de tráfego web, que permite remontarmos o tráfego capturado e exibir uma página web acessada através da rede.

Outra coisa que pode ser acrescentada, também, é alguma suíte de ferramentas para aquisição de evidência, ou mesmo apenas o dump de memória, de dispositivos móveis através de uma tela como é feito com o Guymager e o AIR. Isso certamente agilizaria o processo de investigação em dispositivos móveis. Mas como escrevi acima, tenho plena confiança no avanço cada vez maior da distribuição e que em breve não deixará nada a desejar a qualquer outra que possui o mesmo objetivo.

Até a próxima!