В октябре анонсирован релиз свободного ПО (GNU GPL) CAINE 6.0 (Computer Aided INvestigative Environment) под названием Dark Matter, специализированного Live-дистрибутива Linux, предназначенного для проведения криминалистического анализа (форензики) путем поиска скрытых и удалённых данных на дисках и выявления остаточной информации для восстановления картины взлома системы и сбора доказательств по использованию ПК для совершения правонарушений. По заявлениям разработчиков, CAINE предоставляет полноценную среду для проведения следственных действий, а собранные доказательства могут быть представлены в суде.

Развитие ПО CAINE ведется в рамках проекта Digital Forensics («Компьютерная криминалистика») итальянскими программистами совместно с сообществом программистов на открытом форуме. С 2009 г. руководителем проекта выступает Нанни Бассетти (Nanni Bassetti).

Сообщается, что благодаря созданию альянса в рамках двух проектов — Digital Forensics и Win-UFO — в CAINE включен дополнительный программный инструментарий с целью более эффективного проведения криминалистического анализа объекта.

CAINE 6.0 базируется на 64-разрядной ОС Ubuntu 14.04.1, реализован переход на ядро Linux 3.16, обновлены версии специализированных приложений. Доступ к программному инструментарию CAINE осуществляется через единый графический интерфейс, созданный на базе оболочки MATE (форк GNOME 2) и позволяющий пользователю провести детальный криминалистический анализ программно-аппаратной среды компьютера как под ОС Unix, так и под Windows. При этом с целью сбора доказательств могут проводиться исследования памяти цифровых устройств, файловой системы (какие файлы были удалены, когда и какие открывались и т. д.), кэша, истории и cookies веб-браузера и др.

CAINE имеет модульную архитектуру: каждое приложение оформляется в виде модуля. В его состав входят следующие инструментальные средства: GtkHash, Air, SSdeep, HDSentinel (Hard Disk Sentinel), Bulk Extractor, Fiwalk, ByteInvestigator, Automated Image & Restore (AIR), Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD и др. В релиз включен новый установщик, основанный на проекте SystemBack, а также добавлена поддержка UEFI и UEFI Secure Boot.

Одной из наиболее значимых составляющих CAINE является система WinTaylor, позволяющая осуществить детальный анализ Windows с последующим формированием детальных отчетов о всех зафиксированных ее отклонениях от штатной работы. В состав WinTaylor входят: инструментарий из коллекции Nirsoft, SysInternals tools, FTK Imager, RAM dump tools, Net tools, NirsoftMegaReport (разработан Нанни Бассетти) и др.

Отмечается, что WinTaylor может использоваться системным администратором компьютерной сети с целью проведения расследований и профилактики правонарушений со стороны сотрудников предприятия, позволяя отследить практически все действия пользователя с целью сбора доказательств его возможной причастности к правонарушениям, нанесению ущерба компании и др. Так, с помощью WinTaylor можно установить, какие файлы во время работы за компьютером он открывал, удалял и копировал, на какие внутренние ресурсы локальной сети заходил и с какой целью, что искал в Интернете и с какими браузерами, как использовал USB-порты и с какими сменными носителями он работал, какие внешние ресурсы на его компьютере доступны, и какие данные через них проходили, пароли к локальным ресурсам, к почте, к сайтам и др.

В состав ПО CAINE входит подборка вспомогательных скриптов для файлового менеджера Caja (форк Nautilus), которые позволяют выполнить широкий спектр проверок дискового раздела или директории, а также посмотреть список удалённых файлов и разобрать структурированный контент. При помощи таких скриптов выполняется обработка базы данных, истории посещения интернет-ресурсов, реестра Windows, составляется список удаленных файлов, извлекаются в текстовый файл данные в стандарте EXIF для последующего анализа. Процесс автоматизирован за счет применения Quick View Tool, с помощью которого определяется тип файла и выбирается соответствующий для его обработки инструмент.

Версия для печати (без изображений)