ITrig

Systemd läuft sys-v-init nach und nach den Rang hab. Das heißt bei der Untersuchung des Bootvorgangs können andere Wege gegangen werden und es muss nicht auf altbekannte Tools wie Bootcharts zurückgegriffen werden.

Systemd bringt ein eigenes Analysetool auf pythonbasis mit, welches ähnliche Möglichkeiten bietet.

Der Aufruf kann zunächst ohne Parameter getestet werden. Dieser liefert einen groben Überblick.

systemd-analyze

Startup finished in 7.239s (kernel) + 30.762s (userspace) = 38.001s

Das gleiche Ergebnis wirft auch der Parameter "time" aus.

Die Ausgabe gibt anders als auf den ersten Blick vermutet nicht den gesammten Bootvorgang wieder, sondern nur die Zeit zum Starten der Dienste und Co.

Der Parameter "critical-chain" liefert hier schon einen detaillierten Blick auf mögliche Nachzügler.

systemd-analyze critical-chain

Eine Liste aller Units kann wie folgt ausgegeben werden.

systemd-analyze blame

Um nun eine ähnliche grafische Ausgabe wie bei Bootcharts zu erhalten bietet systemd-analyze eine SVG Ausgabe. Diese kann mit einem herkömmlichen Browser geöffnet werden.

systemd-analyze plot > /home/itrig/systemd.svg

Eine weitere grafische Ausgabe kann mit "dot" erzielt werden. Dabei werden die Abhängigkeiten aller Aufrufe dargestellt.

systemd-analyze dot | dot -Tsvg > /home/itrig/systemdplot.svg

Soll die Grafik auf einen Dienst beschränken werden, muss dieser einfach mit angegeben werden.

systemd-analyze dot 'docker*' |dot -Tsvg > /home/itrig/docker.svg

Alle weiteren Befehle lassen sich mit "man" oder "help" einsehen.
 

systemd-analyze [OPTIONS...] {COMMAND} ...

Profile systemd, show unit dependencies, check unit files.

  -h --help               Show this help
     --version            Show package version
     --no-pager           Do not pipe output into a pager
     --system             Operate on system systemd instance
     --user               Operate on user systemd instance
  -H --host=[USER@]HOST   Operate on remote host
  -M --machine=CONTAINER  Operate on local container
     --order              Show only order in the graph
     --require            Show only requirement in the graph
     --from-pattern=GLOB  Show only origins in the graph
     --to-pattern=GLOB    Show only destinations in the graph
     --fuzz=SECONDS       Also print also services which finished SECONDS
                          earlier than the latest in the branch
     --man[=BOOL]         Do [not] check for existence of man pages

Commands:
  time                    Print time spent in the kernel
  blame                   Print list of running units ordered by time to init
  critical-chain          Print a tree of the time critical chain of units
  plot                    Output SVG graphic showing service initialization
  dot                     Output dependency graph in dot(1) format
  set-log-level LEVEL     Set logging threshold for manager
  set-log-target TARGET   Set logging target for manager
  dump                    Output state serialization of service manager
  verify FILE...          Check unit files for correctness

Nach kurzer Pause möchte ich den Betrieb hier langsam wieder etwas anfahren. Ich hoffe ihr habt die Auszeit nicht bemerkt.

Kali Linux 2017-1 - OpenVAS 9, KLCP und neue Treiber

Durch die Pause hat sich bei den forensischen Distributionen etwas getan. 

So wurde Ende April eine neues Kali Rolling-Release veröffentlicht. Die Entwickler haben einen speziellen WLAN Treiber für RTL8812AU Karten mitgeliefert, welcher Injections erlaubt.

Der Treiber muss jedoch extra installiert werden

apt-get install realtek-rtl88xxau-dkms

Zusätzlich unterstützt Kali nun die Cloud in Form von AWS (Amazon) und Azure (Microsoft) in Verbindung mit CUDA GPU cracking (Details)

Netterweise wurde auch das frische OpenVAS 9 Paket in das Release mit aufgenommen und lässt sich einfach installieren (Ein ausführliche Installationsanleitung für Version 8 hatten wir bei ITrig bereits)

apt-get install openvas

Neben den technischen Neuerungen wurde für Juli ein Buch "Kali Linux Revealed" angekündigt.

Ebenso für Leseratten und Lernwillige wurde die Kalizertifizierung "Kali Linux Professional Certification (KLCP)" vorgestellt.
Weitere Infos sind hier zu finden.

Ein Update auf die neueste Kali Version ist mit einem Dist Upgrade schnell erledigt

apt-get update
apt-get dist-upgrade
reboot

Parrot Security 3.6

Nach ein paar Monaten Entwicklungszeit wurde ebenfalls eine neue Version 3.6 von Parrot Sec veröffentlicht.

Hier haben die größten Änderungen unter Haube stattgefunden, um das bestehende System zur verschlanken und die Performance zu verbessern. So wurde hauptsächlich an der Lite und der Studio Version getüftelt.

Schon ein paar Tage länger verfügbar ist Parrot AIR, diese Veröffentlichung ist speziell für drahtlose Geräte ausgelegt, aber bist jetzt nur ein Proof of Concept.

Übersicht forensische Distributionen 05/17

Unter Linux gibt es viele Möglichkeiten Performance oder andere Systemdaten zu messen. Den meisten wird wohl top als erstes in den Sinn kommen, andere nutzen eventuell free, bmon, vmstat, tcdump, htop, netstat oder lsof.

Glances geht einen ähnlichen Weg, versucht allerdings noch mehr Werte wie beispielsweise CPU Last, Speicherverbrauch, Load, Prozesse, Netzwerkdaten, Festplatten I/O Daten, IRQ / Raid Daten, Batteriesensor, Dateisysteme, Docker Container, Wifi, Alarmierung, Systeminfos oder Uptime unter einem Dach zu vereinen.

Man könnte Glances somit als eierlegende Wollmilchsau bezeichnen. Zusätzlich sieht es schick aus und weist den Anwender mit vordefinierten Farbcodes auf bestehende Systemprobleme hin.

Hier zeigt sich ein Vorteil zum bekannten top Befehl, welcher kein Highlighting kennt.

Glances basiert auf Python und greift auf psutil zurück, um Informationen aus dem System zu lesen.

Die Installation kann via wget oder pip vorgenommen werden.

Installation unter Ubuntu/Mint

sudo apt-get install python-pip
pip install --upgrade pip
pip install glances

Alternative Installationsmethode

wget -O- http://bit.ly/glances | /bin/bash

Für Containerfreunde gibt es ebenfalls einen Docker Container

docker pull nicolargo/glances
docker run -v /var/run/docker.sock:/var/run/docker.sock:ro --pid host -it docker.io/nicolargo/glances

Bedienung

Glances lässt sich mit diversen Parametern starten und beherrscht ebenfalls eine Remoteauswertung.

Hier ein paar praktische Startkommandos (alle können mit glances --help gelistet werden)

• Der Client Server Modus kann mit glances -s gestartet werden, wobei auf der Serverseite glances -c 192.168.0.1 aufgerufen werden sollte.
• Der ebenfalls mitgelieferte Webserver Modus kann mit glances -w gestartet werden, dazu wird allerdings das modul bottle benötigt (sudo pip install bottle). Der Server ist dann via http://127.0.0.1:61208/ erreichbar 

Weiter praktische Shortcuts, welche im Programm selbst anwendbar sind:

a – Sort processes automatically
c – Sort processes by CPU%
m – Sort processes by MEM%
p – Sort processes by name
i – Sort processes by I/O rate
d – Show/hide disk I/O stats ols
f – Show/hide file system statshddtemp
n – Show/hide network stats
s – Show/hide sensors stats
y – Show/hide hddtemp stats
l – Show/hide logs
b – Bytes or bits for network I/Oools
w – Delete warning logs
x – Delete warning and critical logs
1 – Global CPU or per-CPU stats
h – Show/hide this help screen
t – View network I/O as combination
u – View cumulative network I/O
q – Quit (Esc and Ctrl-C also work)

Fazit

Top ist sicherlich die erste Wahl, wenn es um eine schnelle Systemanalyse geht. Das Tool ist in nahezu jedem System integriert und benötigt keine extra Dateien.
Für eine ausführliche, farblich abgegrenzte und einfache Auswertung ist Glances aber eine gute Alternative. Dank der vielen Zusatzfunktionen (Remote, Docker Container) ist das Anwendungsspektrum ebenfalls relativ groß. 
Administratoren, welche regelmäßig mit top oder htop arbeiten, können allerdings getrost weitergehen. Der hippe Look sticht zwar ins Auge, viele Werte lassen sich allerdings auch mit systemeigenen Tools auslesen
 

Firefox Test Pilot gibt es schon eine ganze Weile. Dabei handelt es sich um eine Mozilla Plattform für interessierte Firefox Nutzer.

 
Diese können im Rahmen des Projekts verschiedene Browser Erweiterungen ausprobieren oder auch einreichen, welche später evtl. den Weg ins Hauptprogramm finden könnten.

Die Plattform ist seit diesem Jahr auf Deutsch verfügbar und dürfte somit auch hierzulande Anklang finden.

Zurzeit befinden sich vier Experimente auf der Pilot Seite, darunter sind Cliqz für Suchvorschläge, Min Vid für YouTube Freunde, Tab Center für Seitenleisten Fans und Page Shot für Screenshots.

Letzteres habe ich seit einiger Zeit im Einsatz und möchte es darum etwas in den Fokus rücken.

 
Page Shot - Schnelles und einfaches Bildschirmfoto

Das Page Shot Tool bindet sich nach Aktivierung des Test Pilot Addons und Installation der PageShot Erweiterung als kleines Scherensymbol in die Addon-Leiste ein.

Via Click können entweder die ganze Seite oder ein bestimmter Bereich abfotografiert werden. Jeder neue Screenshot wird in einen eigenen Bereich für eine begrenzte Zeit hinterlegt und ist somit später noch abrufbar. Zusätzlich wird der gemachte Screenshot automatisch in die Zwischenablage kopiert.

 
Neben der Screenshotfunktion wurde eine Sharingfunktion eingebunden, welche das direkte Teilen via Facebook, Twitter, Pintererst oder Mail erlaubt. Dazu wird ein einmaliger Link zum Bild erstellt z.B. https://pageshot.net/sartUdxxXXsnxxrRcI/testpilot.firefox.com

Kleine Bemerkung am Rande, anders als die Testpilot Seite oder die Pageshot Info Seite, ist die Screenshot Erweiterung selbst allerdings wieder auf Englisch. 

Wer sich Sorgen um die online gestellten Screenshots macht, den kann ich auf folgende Mozilla Aussage verweisen

„Wir speichern Ihre Screenshots auf Mozillas Servern und haben Zugang zu diesen Screenshots. Wir greifen aber nur auf Ihre Screenshots zu, wenn diese für den Betrieb unserer Dienste verhältnismäßig erforderlich ist, zum Beispiel, wenn uns ein Screenshot gemeldet wird oder zur Diagnose von Problemen. Wir analysieren außerdem alle Screenshots gemeinsam, um Page Shot zu verbessern, zum Beispiel indem wir die durchschnittliche Größe und Zahl von Screenshots pro Benutzer erfassen.“

Mehr unter der Hauptseite

Fazit

Für den schnellen Screenshot zwischendurch ist das Tool perfekt, besonders wenn es gilt diesen übers Netz zu teilen.

Schön wäre es, wenn in Zukunft noch ein paar Bearbeitungsfunktionen wie Markierungen hinzufügen, Größe anpassen oder Rahmen dazu kommen würden, ohne das Tool zu mächtig werden zu lassen. 

So komme ich momentan noch nicht ganz ohne Programme wie GreenShot oder PicPick zurecht, da die oben erwähnten Funktionen dort vorhanden sind und hin und wieder eben gebraucht werden

Gerade geistert das Gespenst der bösen Add-ons durch die Medien.
Der NDR hat recherchiert und festgestellt, dass die Erweiterung Web of Trust (wot) nicht nur Daten sammelt, sondern diese auch weiterverkauft.

Mich wundert dieses Verhalten ehrlich gesagt nicht. Add-Ons mit einer Firma im Hintergrund sind oft gewillt mit ihrer Software Geld zu verdienen.
Das ist nicht nur bei Web of Trust so, auch Add-ons wie AdblockPlus oder Ghostery sind da kritisch zu betrachten. 

Anwender solcher Erweiterungen machen sich selten die Mühe AGBs durchzulesen, auch bei WOT war in den Datenschutzbestimmungen nachzulesen, dass Daten erhoben werden.

Das Web of Trust Daten an Dritte weitergibt ist natürlich nicht schön, aber auch kein riesiger Skandal. Wer solche Add-ons verwendet, ist teilweise selbst Schuld. (Weitere Details zu diesem Thema können bei Kowabit nachgelesen werden).

Dank des offenen Quellcodes hätte jeder die genauen Abläufe des Add-ons nachvollziehen, vorausgesetzt er versteht, was da vor sich geht. Ich schätze die meisten Wot Anwender konnten dies nicht. Somit stellt sich die Frage, welchen Add-ons nun Vertrauen schenken?

Um in Zukunft solchen Enthüllungen aus dem Weg zu gehen, sind weiterhin OpenSource Add-ons zu empfehlen, hier kann jeder den Quellcode einsehen und eventuelle Datenweitergaben aufspüren.

Allerdings sollte ein wenig darauf geachtet werden, wer für die Entwicklung solcher Add-ons verantwortlich ist und was in den Datenschutzbestimmungen steht.

Die besten Open Source Sicherheits Add-ons für Firefox

Erweiterungen der Electronic Frontier Foundation können als relativ unbedenklich angesehen werden. 
Die EFF ist eine amerikanische Organisation, welche sich für Rechte im Informationszeitalter einsetzt. Bekannte Persönlichkeiten wie Bruce Schneier gehören der Organisation an.

PrivacyBadger  - von der Electronic Frontier Foundation, um Tracking zu umgehen bzw. zu blockieren.

HTTPS Everywhere - von der Electronic Frontier Foundation, um HTTPS zu nutzen.

uBlock Origin - um Werbung zu blockieren. Als Alternative zum bekannteren AdblockPlus.

Self-Destructing Cookies  - um unnötige Cookies automatisch zu entfernen

User Agent Switcher - Damit können Webseiten andere Browser untergejubelt werden. Wer also seinen Fingerprint nicht hinterlassen möchte, der kann den Switcher nutzen.

Alle hier erwähnten Add-Ons können auf GitHub eingesehen und analysiert werden. Für ein einigermaßen absichertes Surfen sollten diese fünf Add-ons ausreichen. Natürlich gibt es noch weitere wie disconnect und Co, aber das darf jeder selbst entscheiden.