LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
CAINE una distribuzione GNU/Linux per la computer forensics
1. Dipartimento di Ingegneria dell’Informazione
Università di Modena e Reggio Emilia
CAINE
Una distribuzione GNU/Linux
per la computer forensics
Giancarlo Giustini - LinuxDay08 Modena
25 ottobre 2008
1
2. Principali collaborazioni
Dipartimento di Polizia Postale di
Scienze Giuridiche Bologna
Università di Modena
CRIS
e Reggio Emilia Centro di Ricerca
Interdipartimentale per la
Sicurezza
Giancarlo Giustini - LinuxDay08 Modena 2
3. Caratterisitiche di Caine
• Ambiente interoperabile
• Uso di software forensi noti
• Interfacce user-friendly
• Compilazione semi-automatica del rapporto
Giancarlo Giustini - LinuxDay08 Modena 3
4. CAINE vs. LiveCDs
LiveCD forensi CAINE
Massima disponibilità di sw forensi Una collezione selezionata
(eccessiva?) dei migliori sw e script forensi
Ampio uso di programmi Interfacce create ad hoc per
a riga di comando i programmi eseguiti da terminale
Nessuna creazione automatica Creazione semi-automatica ed
del rapporto incrementale della documentazione
Nessuna cura per le diverse Altamente adattabile
legislazioni nazionali alle diverse realtà legali
Giancarlo Giustini - LinuxDay08 Modena 4
5. Prassi investigativa con Caine
Programmi forensi installati
Processo investigativo guidato Costruzione automatica
della documentazione finale
Giancarlo Giustini - LinuxDay08 Modena 5
6. Software presenti in Caine
Acquisizione AIR, Guymager, dd
Primo Esame Grissom Analizer, LRRP
Foremost, Scalpel, SFDumper, Fundl
Analisi
TheSleuthKit - Autopsy 2.20
Altri
Ophcrack
Stegdetect (Xsteg)
Giancarlo Giustini - LinuxDay08 Modena 6
8. Creazione del Rapporto (I)
Processo semi-automatico
Rapporto finale totalmente editabile (RTF)
Giancarlo Giustini - LinuxDay08 Modena 8
9. Creazione del Rapporto (II)
DocBook Template Final Documentation
Report
#2
Report
#1 Report
Collection Part
RTF
Report #3
#N
Analysis Part
HTML
Raccolta dei singoli log
Investigator’s (SGML)
file e report dai diversi comment
programmi forensi
Alla fine del processo
I diversi contributi sono inseriti
investigativo, l’utente può
in un file temporaneo (SGML)
generare il rapporto finale
Giancarlo Giustini - LinuxDay08 Modena 9
10. L’ambiente di CAINE
CAINE Interface
Interfaccia di Caine Generazione Rapporto
GNOME
Ubuntu 8.04
Acquisizione
Analysis Phase
CAINE O.S.
Distribuzione LiveCD minimale (<700 MB)
Giancarlo Giustini - LinuxDay08 Modena 10