si, c'ero anche io con le slide con le donnine :-D
posso dire che Caine nasce principalmente come cd-live.
rispondendo per punti
Anche le mie macchine Slackware e Debian hanno l'automount disabilitato (basta semplicemente disabilitare HAL), dato che mi piace tenere sempre sotto controllo i device collegati e montarli solo quando mi servono. Dato che ci vuol poco a disabilitarlo, per quanto questa sia ovviamente una feature indispensabile in una distribuzione dedicata alla forensics, non lo menzionerei certo fra le caratteristiche fondamentali della distro.
Lavorando su macchina installata, come fai giustamente notare, è cosa semplice disabilitare il mount, salvo che poi non è sufficientemente dire al sistema "monta in sola lettura", perchè in realtàsi tratta di dirgli "monta in sola lettura, senza eseguire nulla, senza ecc..ecc...".
Non montare i device e non utilizzare lo swap è fondamentale per la forensics.
ma ripeto, Caine nasce principalmente come live e in quanto tale era indispensabile ottimizzarla in modo che al boot nulla (partizioni e swap) venisse utilizzato.
La scelta di Ubuntu inoltre è secondo me un altro punto debole, specialmente in fatto di prestazioni, specie se vogliamo considerare il kernel non proprio "pulito" che monta di default (anche se in questo caso parlo da fanatico del kernel vanilla da tempi immemori, quindi la mia non è una valutazione molto obiettiva probabilmente). Se si fa un discorso di repository, avreste potuto prendere come base per lo sviluppo della distro Debian, motivazione doppiamente valida anche in un'ottica di stabilitàe sicurezza dei pacchetti installati (ad esempio, la scelta poteva essere quella di installare pacchetti solo dalla branch stable).
vedila in una dimensione più ampia, non solo in quella del singolo consulente, gran sistemista Linux.
Ubuntu, a differenza di Slakware e di Debian, ha un'azienda alla spalle (che piaccia o meno, qui non si discute di filosofia ma di operatività), che in quanto tale è in grado di erogare supporto ed assistenza.
Pensa ad un ufficio delle FFPP che si occupi di analisi forensi con Linux (in realtàlo usano prevalentemente per le acquisizioni, analizzando poi con FTK o EnCase), non può bloccarsi l'attivitàperchè l'operatore appassionato e grande utente Linux ha un problema ad implementare una funzionalità. Ubuntu consente, in estrema ratio, di ricorrere ad assistenza a pagamento (nessuno la fa a gratis) erogata direttamente dalla casa madre del sistema.
Anche il discorso, sicuramente lodevole, di avere una live per effettuare l'analisi forense di sistemi, indispensabile nel caso in cui si voglia effettuare l'analisi su dischi all'interno di portatili e non ci sia l'opportunitàdi smontarli
Caine nasce come live, l'installabilitàè venuta in un secondo momento, infatti il sito è www.caine-
live.net
Il discorso della semplicitàinvece è un discorso che era stato fatto anche alla presentazione al Linux Day, ed è un discorso, da quel che ho capito, cardine nello sviluppo della distro. Io rimango tuttavia dell'idea che non si può chiedere di fare computer forensics attraverso sistemi Unix ad un perito che non ha nemmeno competenze di una shell Unix. Sarò purista, ma la computer forensics non è l'installazione di MPlayer sotto Linux, è un campo attraverso il quale si può decidere l'innocenza o la colpevolezza di una persona, e non si può affidare un compito simile ad una persona che non ha nemmeno le minime basi di uso di un sistema Linux.
Non si tratta di essere puristi, ma realisti.
Una cosa è cio che dovrebbe essere, una cosa ciò che la realtàè.
Non possiamo ignorare qual'è la realtà, far finta che gli analisti forensi siano tutti capaci amministratori di sistemi linux. Non è così.
Impuntarsi su un discorso utopistico di avere a fare tale attivitàsolo persona di sicura, provetta, grande professionalitàe competenza nell'uso di sistemi linux, significherebbe mettere sul mercato prodotto inutilizzabili per i più.
Il che non significherebbe affatto che tali prodotti non verrebbero utilizzati.
Qualcuno li userebbe comunque, facendo errori, rendendo evidence inutilizzabili in dibattimento, rallentando le indagini.
Significherebbe non dare alle amministrazioni pubbliche alternative a basso costo, costringendole, al finedi dotarsi di prodotti funzionali ed user friendly, all'acquisto dei giàmenzionati prodotti commerciali, con esborsi non indifferenti, che inevitabilmente ricadono sulle tasche del contribuente.
Sono poi il primo ad amare la shell e a non avere più implementato alcuna gui dopo quella per sfdumper, ma se te, se io, se molti altri si studia, si cerca di migliorare e si opera solo se ci si considera capaci e competenti per molti altri non è così.
Ed alla fine a pagare degli errori tecnici è chi a quell'indagine è, nel bene o nel male , legato.
Quello che volevo far capire è che non si può realizzare un prodotto senza tenere un occhio su quella che è la realtàdell'utilizzatore. Realizzarlo considerando solo quella che io (noi) vorremmo fosse la realtànon servirebbe a nulla, si risolverebbe in un prodotto applaudito dai puristi e non utilizzato da nessuno.