Open Source im professionellen Einsatz
Linux-Magazin 12/2010
© puck, Fotolia.de

© puck, Fotolia.de

Die Forensik-Distribution Caine 2.0

Italienische Aufklärung

,

Aus einem im Antimafikampf erprobten Land stammt eine Linux-Distribution für Forensiker und sicherheitsbewusste Admins. Caine 2.0 basiert auf Ubuntu 10.04 und zieht mit einer umfangreichen Softwaresammlung, benutzerfreundlichem GUI und schnellem Support ins Feld gegen die IT-Camorra.

557

2007 griff die IT-Mafia an. Mit dem russischen Hacking-Framework Mpack [1] infizierte sie massenweise Server, vorzugsweise in den Rechenzentren des Mittelmeerlandes. Wenig später schlugen knapp zehn italienische Open-Source-Entwickler zurück und warfen die Forensik-CD Caine ins Rennen. Ihr Name steht für Computer Aided Investigative Environment, also eine Umgebung, die sich als Live-CD zur Erfassung von Images und zur Vor-Ort-Analyse kompromittierter Systeme eignet. Gerade erscheint Version 2.0 ([2], auf der DELUG-DVD).

Tatort Internet

An jedem Tatort hat der ITler, ob Forensiker oder Admin, immer zunächst die Datensicherung vor sich. In der Regel heißt das: forensisch korrekte Images zu schreiben, die notfalls auch vor Gericht Bestand haben.

Dafür hat Caine 2.0 die wichtigsten drei Formate, Raw, EWF [3] und AFF [4], an Bord. Ob er dafür ein GUI oder die Kommandozeile nimmt, entscheidet der Anwender beim Booten (Abbildung 1). Wer schon mal in einer Serverfarm bei Internet Service Providern gearbeitet hat, weiß die Kommandozeile zu schätzen. In deren Räumen mit Tausenden Servern finden sich oft nur wenig Peripheriegeräte wie etwa Maus, Tastatur oder Display. Dort kommt der Ermittler mit der Kommandozeile meist weiter, auch übers Netz.

Abbildung 1: Frisch vom Italiener – die Forensik-CD Caine. Beim Booten wählt der Benutzer zwischen grafischem oder Text-Modus.

Nach dem Booten im Textmodus reicht Caine ein Ubuntu-typisches »sudo su« aus, um Zugriff auf die im sichergestellten Server eingebaute Festplatte zu erhalten und diese zu sichern. Das Root-Passwort lautet »caine«.

Raid-Controller, wie sie ISPs häufig einsetzen, stellen in der Regel kein Hindernis dar, die enthaltenen Treiber ersparen das spätere, mühsame Zusammensetzen des Mirror im Labor. Der recht aktuelle Kernel 2.6.32 findet und unterstützt moderne Controller anstandslos, und alle zum Erzeugen von Images üblichen Hilfen, zum Beispiel »dd«, »dc3dd«, »dcfld«, »aimage« oder »ewfacquire«, sind ebenfalls an Bord.

Wer's dagegen grafisch mag, nimmt die erste Auswahl aus dem Bootmenü und arbeitet unter X.org mit Guymager [5]. Guy Voncken, einer der beiden bekannten Forensik-Geeks aus Luxemburg, hat das Referenzprogramm zum Image-Erstellen entwickelt (Abbildung 2).

Abbildung 2: Unter X.org Images von sichergestellten Systemen zu ziehen und auszuwerten ist das Metier von Guymager.

Blockdevices

Für die Arbeit an der grafischen Oberfläche stellt Caine automatisch sicher, dass das System alle Medien nur Read-only mountet, sodass keine Schreibzugriffe stattfinden. An der Kommandozeile dagegen muss der Forensiker selbst dafür sorgen. In jedem Fall braucht ein angeschlossenes Blockdevice Schreibzugriff: die externe Festplatte des Forensikers, auf der das Image landet.

Ermittler bevorzugen dort als Dateisystem meist NTFS, um die spätere Auswertung mit proprietärer Software unter Windows durchzuführen. Der NTFS-3g-Treiber hilft da zwar weiter, das Ablegen der Images auf einem NTFS-Dateisystem hat aber einen Pferdefuß: Die Schreibgeschwindigkeit liegt deutlich hinter der von Ext-Dateisystemen, bei den üblicherweise stattlichen Datenmengen ein großer Nachteil. Caine 2.0 kann beides.

Bei Ermittlungen der staatlichen Stellen landen die sichergestellten PCs jetzt in der Asservatenkammer, die Images wandern zu den Auswertestationen. Auf diesen - in der Regel leistungsstarke Multicore-Rechner mit ordentlich RAM - ist die Forensik-Software fest installiert, Zugriffe auf die Festplatten erfolgen dort deutlich schneller.

Auch für solche Arbeitsrechner lässt sich Caine verwenden, indem es der Admin über ein eigenes Desktop-Icon auf deren Harddisk installiert. Nach erfolgreicher Installation helfen dann die üblichen Forensik-Werkzeuge weiter. In der ersten Reihe findet sich da Sleuthkit [6], auch mit der GUI-Unterstützung von Autopsy [7]. File Carver wie Photorec, Foremost oder Scalpel sind ebenfalls vertreten.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.