Skip to content

BackBox 4.2 veröffentlicht und aktualisierte Übersicht forensischer Sicherheits- Distributionen

Es muss nicht immer Kali Linux sein, wer auf der Suche nach einer forensischen Linux Distribution ist, der kann ebenso einen Blick auf BackBox werfen.

backbox

BackBox - Sicherheitsanalyse für alle

Das auf Ubuntu 14.04 basierende System für Sicherheitsanalytiker ist in Version 4.2 erschienen.
Die neue Version bringt neben aktueller Toolsammlung (es wurde beispielsweise das hier vorgestellte WPScan integriert bzw. aktualisiert) weitere Verbesserungen des Systems mit.

Die im Changelog angepriesenen Neuigkeiten wie LVM Verschlüsselung oder RAM Wiping wurde allerdings schon bei den letzten Versionen 4.x gelistet. (siehe Artikel), darum kann hier schlecht nachvollzogen werden, ob diese wirklich neu sind.

backbox


Übersicht forensische Sicherheits- Distributionen

Die Auflistung der auf ITrig erwähnten oder anderweitig bekannten Distributionen für Penetrationstest oder forensische Untersuchungen wurde schon lange nicht mehr aktualisiert, darum hier ein aktueller Überblick.

Neu dabei und alleine wegen der Masse an Tools sehenswert (vielleicht schreibe ich auch einen Artikel) ist Black Arch Linux. Die Arch Linux Variante bringt stolze 1200 Tools mit. Ob hier gilt "Masse statt Klasse" muss ich allerdings selbst erst überprüfen.

uebersicht-forensik-distributionen

Das könnte dich auch interessieren

Kali Linux 1.1.0 veröffentlicht

OpenVAS 7 - auf Ubuntu installieren und konfigurieren

Caine 6.0 - die dunkle Materie für forensische Distributionen

Lynis - IT Sicherheitsaudit für Linux

Digitale Forensik - DEFT 8.1 und DART 2 2014 veröffentlicht

Im Zuge der Defcon 2014 wurde eine aktualisierte Version des Digital Evidence & Forensic Toolkit, kurz DEFT veröffentlicht. Das kleine Update auf Version 8.1 der forensischen Lubuntu live DVD enthält die aktualisierte Variante der Tool Sammlung Dart 2 (Digital Advanced Response Toolkit).

Leider ist immer noch keine VMware Version der Distribution verfügbar. 

deft-8.1

Weiter zeigt der File Manager des Livesystem nun an, in welcher Form Festplatten gemountet wurden. Außerdem wird Bitlocker nun voll unterstützt.

Folgende Tools und Funktionen wurden ebenfalls aktualisiert oder sind neu dabei:

  • The Sleuthkit 4.1.3
  • Digital Forensics Framework 1.3
  • Full support for Android and iOS 7.1 logical acquisitions (libmobiledevice & adb)
  • JD GUI 
  • Skype Extractor 0.1.8.8
  • Maltego 3.4 Tungsten
  • Neue Version des OSINT Browser

Download DEFT 8.1

Übersicht IT Forensik System I

Übersicht IT Forensik Systeme II 

[Update]

DEFT 8.1 ist nun auch als virtuelle Maschine für VMware verfügbar. Download

Linux Script - Postfix Mail Server Logauswertung mit dem Postfix Log Entry Summarizer

Wer sich schon einmal mit MTAs (Mail Transfer Agent) auseinandergesetzt hat, dem wird Postfix sicherlich ein Begriff sein. Postfix zählt zu den bekanntesten Mailservern im Linuxbereich, ist schnell und recht einfach zu konfigurieren, eine gewisse Grundkenntnis vorausgesetzt. Für einen sicheren Mailverkehr möchte ich hier noch einmal auf das Crypto Handbuch verweisen.

Letzte Woche war ja ein wenig Exchange Server im Programm, heute soll es aber um eine Auswertung des Mailverkehrs, welcher täglich über einen Postfix Server rauscht, gehen. 

Postfix Log Entry Summarizer

Hierfür gibt es sicherlich einige Monitoring Tools, eines davon ist Pflogsumm (Postfix Log Entry Summarizer), welches eine ausführliche Auswertung bietet, ohne, dass der Anwender viel konfigurieren muss.

Unter Ubuntu ist dieses Tool recht schnell konfiguriert und im Optimalfall erhaltet ihr am Ende eine Übersicht aller Nachrichten, egal ob gesendet, empfangen oder geblockt. Auch der Traffic, die Menge oder die Mailadressen werden ausgewertet. Bis zu dieser Statistik ist aber noch ein wenig Vorarbeit zu leisten.

Pflogsumm installieren (Ubuntu)

sudo apt-get install pflogsumm 

Postfix Log Entry Summarizer konfigurieren

Ihr habt nun die Möglichkeit das Tool direkt aufzurufen und euch eine Liveauswertung geben zu lassen, um zu sehen was gerade auf dem Mailserver passiert. Pflogsumm macht nichts anderes, als auf die Logfiles des Postfix Server zurückzugreifen und diese auszuwerten. Mit einem Einzeiler lässt sich so eine Statistik in eine Datei schreiben oder per Mail versenden.

sudo pflogsumm -u 5 -h 5 --problems_first -d today /var/log/mail.log >> test oder

sudo pflogsumm -u 5 -h 5 --problems_first -d today /var/log/mail.log | mail -s "Postfix Mail Report" info@example.com

 

Vorarbeit zur regelmäßigen Postfix Analyse

Eine IST Auswertung mag zwar interessant sein, die regelmäßige Auswertung der letzten Tage ist jedoch um einiges interessanter. Realisierbar ist dies mit den Logs des Vortages, diese werden Mittels logrotate gepackt und können danach ausgewertet werden. Zunächst muss logrotate angepasst werden, damit täglich neue Logs geschrieben werden.

sudo nano /etc/logrotate.conf

/var/log/mail.log {
    missingok
    daily
    rotate 7
    create
    compress
    start 0
    }
sudo nano /etc/logrotate.d/rsyslog

    #/var/log/mail.log

Wenn gewünscht ist, dass die Logrotation pünktlich zu einer gewissen Uhrzeit laufen soll, sagen wir um 2 Uhr Nachts , ist es nötig crontab zu editieren und dort die Laufzeit anzupassen.

sudo nano /etc/cron.daily anzupassen 0 2   * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Skript zur Postfix Analyse 

Nun können wir unser eigenes Script zusammen stellen, welches am Schluss eine Auswertung versendet. 

sudo nano mailstatistiken.sh

#!/bin/bash
#
###############
# mailstats   #
###############

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

# Log Archive entpacken
gunzip /var/log/mail.log.1.gz

#Temporaere Datei anlegen
MAIL=/tmp/mailstats

#Etwas Text zum Anfang
echo "Taeglicher Mail Stats Report, erstellt am $(date "+%H:%M %d.%m.%y")" > $MAIL
echo "Mail Server Aktivitaeten der letzten 24h" >> $MAIL

#Pflogsumm aufrufen
/usr/sbin/pflogsumm --problems_first /var/log/mail.log.1 >> $MAIL

# Versenden der Auswertung
cat /tmp/mailstats | mail -s "Postfix Report $(date --date='yesterday')" stats@example.com

#Archiv wieder packen, damit alles seine Ordnung hat
gzip /var/log/mail.log.1

Insgesamt eine leichte Übung. Das fertige Skript noch mit "chmod +x" ausführbar machen und am besten via "crontab -e" zu einem gewünschten Zeitpunkt ausführen.

Am Ende solltet ihr jeden Tag per Mail eine ausführliche Zusammenfassung der E-Mails Statistiken erhalten. 

Grand Totals

------------

messages

   4321   received

   1234   delivered

      5   forwarded

      1   deferred  (3  deferrals)

      0   bounced

      0   rejected (0%)

      0   reject warnings

      0   held

      0   discarded (0%)

   1234m  bytes received

   1234m  bytes delivered

    123   senders

    321   sending hosts/domains

   1234   recipients

    123   recipient hosts/domains

message deferral detail

-----------------------

  smtp (total: 3)

         3   invalid sender domain 'example.de' (misconfigured ...

message bounce detail (by relay): none

message reject detail: none

message reject warning detail: none

message hold detail: none

message discard detail: none

smtp delivery failures: none

Warnings: none

Fatal Errors: none

Panics: none

Master daemon messages: none

Per-Hour Traffic Summary

------------------------

    time          received  delivered   deferred    bounced     rejected

    --------------------------------------------------------------------

    0000-0100           0          0          0          0          0 

.....

Kali Linux 1.0.6 veröffentlicht - Selbstzerstörung inbegriffen

Linux Distributionen für Penetrationstests oder IT Forensik hatte ich ja schon einige vorgestellt (siehe hier oder hier). Die bekannteste "Kali Linux" hat nun ein Update erhalten. In Version 1.0.6 hat ein Selbstzerstörungsmechanismus Einzug gehalten "emergency self-destruction of LUKS", dieser erlaubt es im Notfall die komplette Installation zu zerstören.

kali-linux

Weiter wurde der Linux Kernel auf 3.12 aktualisiert. Neu eingeführt wurde ein Build Script für ARM Geräte "Offensive Security Trusted ARM image scripts", damit soll die Menge der ARM Image Releases eingedämmt werden.

Ebenfalls lassen sich mit den " Kali AMAZON AMI and Google Compute image generation scripts" nun Images für Amazon erstellen (Amazon Machine Images).

Wie immer bei neuen Releases wurden bestehende Tools aktualisiert und die üblichen Optimierungen sind ins System eingeflossen. Der Changelog ist hier zu finden.

Download Kali Linux 1.0.6

7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

Die IT-Forensik wird ein immer wichtigeres Mittel, um Hackerangriffe oder sonstige Arten von Datendiebstählen aufzudecken und zurück zu verfolgen. Für so eine Beweismittelsicherung dienen meist Linux Distributionen für forensische Zwecke. Davon gibt es inzwischen einige freie Lösungen, welche sich nicht nur der Beweissicherung verschrieben haben, sondern ebenfalls Tools zu Systemanalyse, Datenrettung oder Penetrationstests mitbringen.

Ich möchte euch heute ein kleine Zusammenstellung der mir bekannten Forensik-Distributionen geben. Alle Distributionen können von CD/DVD/VMWare gebootet werden (Live-Linux) und enthalten hunderte Tools zu den oben erwähnten Themengebieten. Welches Programme für welchen Zweck am Besten geeignet sind, unterscheidet sich von Fall zu Fall und kann hier nicht näher behandelt werden.

7 forensische Linux Distributionen

BackTrack

Zählt zu den bekanntesten Linux-Live-Distributionen und ist über die Jahre sehr gewachsen. Offensive Security hat der Toolsammlung mit Kali Linux nun einen freien Nachfolger beschert. Download BackTrack - Network Security Suite

backtrack

Caine 4.0

Die Forensic-Distribution Caine aus Italien, genauer von der italienischen Universität von Modena und Reggio Emilia, kann in der neuen Version 4.0 mit einer Reportingfunktion punkten. Zusätzlich wurden Tools wie LibreOffice 4.0.1, Sqliteman, Sdparm oder Remote Filesystem Mounter integriert. Auf der Homepage befindet sich eine komplette Liste der enthaltenen Tools. Download Caine 4.0 - Computer Aided INvestigative Environment

caine

DEFT 7.2

DEFT ist die Abkürzung für "Digital Evidence & Forensic Toolkit". Die Live CD hat ihren Ursprung in Italien und bringt in der neuen Version Autopsy 3 (Beta 5) mit (welches 1GB RAM voraussetzt). Weitere Pakete sind unter anderem Digital Forensic Framework 1.2, Log2timeline, Iphone Analyzer, Guymager und eine Sammlung an Tools für Windows Systeme namens DART (Digital Advanced Response Toolkit), welche unter der Windowsemulation Wine betrieben werden. Hier findet der geübte Windowsnutzer z.B. die gesamte Nirsoft Softwarepalette. Die komplette Liste an Windows Programmen kann hier eingesehen werden.
Die Live CD zur IT-Beweissicherung wird in einem 90 seitigen Handbuch ausführlich beschrieben und dürfte zunächst keine Fragen offen lassen. Download DEFT 7.2

deft


Kali Linux 1.0

Im Stillen wurde der Nachfolger von BackTrack entwickelt, dabei viel die Wahl des Systems auf Debian, welches mit eigenen Repositories unterstützt wird. Dank des neuen Unterbaus, kann sich der Nutzer die Oberfläche nun selbst aussuchen, zur Wahl stehen bekannte Kandidaten wie KDE, GNOME, XFCE, LXDE, E17 oder MATE.
Kali Linux unterstützt 32bit und 64bit, sowie ARM Systeme. Ob eine GUI verwendet werden soll oder nicht, bleibt jedem selbst überlassen. Eine ausführliche Deutsche Dokumentation führt an die sachgerechte Verwendung der Penetrationstests und Sicherheits-Auditings heran. Die Bedienung ist im Vergleich zum Vorgänger durchaus einfacher und übersichtlicher geworden, dafür wurde die Auswahl an Tools etwas angepasst. Download Kali Linux 1.0 - Freie Forensik Suite.

kali-linux

Paladin 4.0

Mit Paladin 4.0 bietet Surumi ebenfalls eine freie Forensik Suite an. Die DVD beinhaltet neben einer Sammlung der bekanntesten Forensiktools im "Forensic Tool Chest" auch die Möglichkeit iOS und iPhones zu analysieren. Leider muss man sich vor dem Download registrieren. Download Paladin 4.0 - Freie Forensik Suite.

paladin

Ronin

Auch wenn der Name "Ronin" im IT Bereich wirklich oft zur Verwendung kommt, wird mit RONIN Linux - Security Distribution eine weitere Open Source Distribution angeboten. Mit 160 verschiedenen Programmen zur Analyse, muss sich die Live CD vor keinen anderen verstecken. Die Tool Liste gibt Einblick in den vollen Funktionsumfang.

ronin

SANS  (SIFT) 2.14

Das Investigate Forensic Toolkit des SANS Institutes schlägt in eine ähnliche Richtung wie Caine oder Paladin. Es kann, nach einer Registrierung, als VMware Image heruntergeladen werden und danach zur Untersuchung eines Windows PC verwendet werden. (Login: "sansforensics" Password: "forensics"für das PTK ist es admin/forensics).
Neben Tools wie The Sleuth Kit mit GUI (File system Analysis Tools), log2timeline (Timeline GenerationTool),ssdeep, md5deep (HashingTools), Foremost/Scalpel (File Carving), WireShark (Network Forensics), Vinetto (thumbs.db examination), Pasco (IE Web History examination), Rifiuti (Recycle Bin examination),Volatility Framework (Memory Analysis), PyFLAG (GUI Log/Disk Examination) und DFF (Digital Forensic Framework) bietet das Image eine Beweissicherung in den Formaten Expert Witness (E01), RAW (dd) und  Advanced Forensic Format (AFF) an.

Neu in Version 2.14 sind Tools für Firefox, iPhone, Blackberry und Android.

sans-sift

Zusammenfassung

Jede Linux Distribution bietet seine Vor- und Nachteile. Am besten verschafft man sich selbst einen Überblick und lädt verschiedene Distros in VMware, um sich zum einen mit der Bedienung vertraut zu machen und zum anderen die mitgelieferten Forensiktools zu testen. Es ist jedoch Vorsicht geboten, da sich einige Werkzeuge am Rande der Legalität bewegen (Stichwort Hackerparagraf).
Die Tabelle soll noch einmal einen kleinen Überblick zur Toolauswahl jeder einzelnen Distribution geben.

Ueberblick-IT-Forensik