Linux Distributionen für Penetrationstests oder IT Forensik hatte ich ja schon einige vorgestellt (siehe hier oder hier). Die bekannteste "Kali Linux" hat nun ein Update erhalten. In Version 1.0.6 hat ein Selbstzerstörungsmechanismus Einzug gehalten "emergency self-destruction of LUKS", dieser erlaubt es im Notfall die komplette Installation zu zerstören.

Weiter wurde der Linux Kernel auf 3.12 aktualisiert. Neu eingeführt wurde ein Build Script für ARM Geräte "Offensive Security Trusted ARM image scripts", damit soll die Menge der ARM Image Releases eingedämmt werden.

Ebenfalls lassen sich mit den " Kali AMAZON AMI and Google Compute image generation scripts" nun Images für Amazon erstellen (Amazon Machine Images).

Wie immer bei neuen Releases wurden bestehende Tools aktualisiert und die üblichen Optimierungen sind ins System eingeflossen. Der Changelog ist hier zu finden.

Download Kali Linux 1.0.6

Die IT-Forensik wird ein immer wichtigeres Mittel, um Hackerangriffe oder sonstige Arten von Datendiebstählen aufzudecken und zurück zu verfolgen. Für so eine Beweismittelsicherung dienen meist Linux Distributionen für forensische Zwecke. Davon gibt es inzwischen einige freie Lösungen, welche sich nicht nur der Beweissicherung verschrieben haben, sondern ebenfalls Tools zu Systemanalyse, Datenrettung oder Penetrationstests mitbringen.

Ich möchte euch heute eine kleine Zusammenstellung der mir bekannten Forensik-Distributionen geben. Alle Distributionen können von CD/DVD/VMware gebootet werden (Live-Linux) und enthalten hunderte Tools zu den oben erwähnten Themengebieten. Welches Programme für welchen Zweck am Besten geeignet sind, unterscheidet sich von Fall zu Fall und kann hier nicht näher behandelt werden.

7 forensische Linux Distributionen

BackTrack

Zählt zu den bekanntesten Linux-Live-Distributionen und ist über die Jahre sehr gewachsen. Offensive Security hat der Toolsammlung mit Kali Linux nun einen freien Nachfolger beschert.

Download BackTrack - Network Security Suite

Caine 4.0

Die Forensic-Distribution Caine aus Italien, genauer von der italienischen Universität von Modena und Reggio Emilia, kann in der neuen Version 4.0 mit einer Reportingfunktion punkten. Zusätzlich wurden Tools wie LibreOffice 4.0.1, Sqliteman, Sdparm oder Remote Filesystem Mounter integriert. Auf der Homepage befindet sich eine komplette Liste der enthaltenen Tools.

Download Caine 4.0 - Computer Aided INvestigative Environment

DEFT 7.2

DEFT ist die Abkürzung für "Digital Evidence & Forensic Toolkit". Die Live CD hat ihren Ursprung in Italien und bringt in der neuen Version Autopsy 3 (Beta 5) mit (welches 1GB RAM voraussetzt). Weitere Pakete sind unter anderem Digital Forensic Framework 1.2, Log2timeline, Iphone Analyzer, Guymager und eine Sammlung an Tools für Windows Systeme namens DART (Digital Advanced Response Toolkit), welche unter der Windowsemulation Wine betrieben werden. Hier findet der geübte Windowsnutzer z.B. die gesamte Nirsoft Softwarepalette. Die komplette Liste an Windows Programmen kann hier eingesehen werden.
Die Live CD zur IT-Beweissicherung wird in einem 90 seitigen Handbuch ausführlich beschrieben und dürfte zunächst keine Fragen offen lassen.

Download DEFT 7.2

Kali Linux 1.0

Im Stillen wurde der Nachfolger von BackTrack entwickelt, dabei fiel die Wahl des Systems auf Debian, welches mit eigenen Repositories unterstützt wird. Dank des neuen Unterbaus, kann sich der Nutzer die Oberfläche nun selbst aussuchen, zur Wahl stehen bekannte Kandidaten wie KDE, GNOME, XFCE, LXDE, E17 oder MATE.
Kali Linux unterstützt 32bit und 64bit, sowie ARM Systeme. Ob eine GUI verwendet werden soll oder nicht, bleibt jedem selbst überlassen.

Eine ausführliche Deutsche Dokumentation führt an die sachgerechte Verwendung der Penetrationstests und Sicherheits-Auditings heran. Die Bedienung ist im Vergleich zum Vorgänger durchaus einfacher und übersichtlicher geworden, dafür wurde die Auswahl an Tools etwas angepasst.

Download Kali Linux 1.0 - Freie Forensik Suite.

Paladin 4.0

Mit Paladin 4.0 bietet Surumi ebenfalls eine freie Forensik Suite an. Die DVD beinhaltet neben einer Sammlung der bekanntesten Forensiktools im "Forensic Tool Chest" auch die Möglichkeit iOS und iPhones zu analysieren. Leider muss man sich vor dem Download registrieren.

Download Paladin 4.0 - Freie Forensik Suite.

Ronin

Auch wenn der Name "Ronin" im IT Bereich wirklich oft zur Verwendung kommt, wird mit RONIN Linux - Security Distribution eine weitere Open Source Distribution angeboten. Mit 160 verschiedenen Programmen zur Analyse, muss sich die Live CD vor keinen anderen verstecken. Die Tool Liste gibt Einblick in den vollen Funktionsumfang.

SANS  (SIFT) 2.14

Das Investigate Forensic Toolkit des SANS Institutes schlägt in eine ähnliche Richtung wie Caine oder Paladin. Es kann, nach einer Registrierung, als VMware Image heruntergeladen werden und danach zur Untersuchung eines Windows PC verwendet werden. (Login: "sansforensics" Password: "forensics"für das PTK ist es admin/forensics).
Neben Tools wie The Sleuth Kit mit GUI (File system Analysis Tools), log2timeline (Timeline GenerationTool),ssdeep, md5deep (HashingTools), Foremost/Scalpel (File Carving), WireShark (Network Forensics), Vinetto (thumbs.db examination), Pasco (IE Web History examination), Rifiuti (Recycle Bin examination),Volatility Framework (Memory Analysis), PyFLAG (GUI Log/Disk Examination) und DFF (Digital Forensic Framework) bietet das Image eine Beweissicherung in den Formaten Expert Witness (E01), RAW (dd) und  Advanced Forensic Format (AFF) an.

Neu in Version 2.14 sind Tools für Firefox, iPhone, Blackberry und Android.

Zusammenfassung

Jede Linux Distribution bietet seine Vor- und Nachteile. Am besten verschafft man sich selbst einen Überblick und lädt verschiedene Distros in VMware/Virtualbox, um sich zum einen mit der Bedienung vertraut zu machen und zum anderen die mitgelieferten Forensiktools zu testen.

Es ist jedoch Vorsicht geboten, da sich einige Werkzeuge am Rande der Legalität bewegen (Stichwort Hackerparagraf).

Diese Tabelle soll noch einmal einen kleinen Überblick zur Toolauswahl jeder einzelnen Distribution geben.

Wolfram|Alpha, die bekannte Faktensuchmaschine, analysiert bei Bedarf das eigene Facebokk Profil. Dabei werden bis zu 60 unterschiedliche Daten analysiert.

Für die Analyse muss lediglich "facebook report" als Suchbegriff eingegeben werden, danach muss der App "Wolfram Connection" Zugang zum eigenen Profil gewährt werden und schon kann die Analyse beginnen.

Die semantische Suchmaschine bereitet danach, in bekannter Manier, das eigene Facebook Profil mit den dazugehörigen Zahlen auf. Angefangen von den eigenen Daten wie, Geburtstag, Alter und Heimatstadt, geht die Auswertung schnell in Balken- oder Kuchendiagramme über, welche die eigenen Aktivitäten oder die der Freunde auflisten.

Grob werden folgende Punkte abgearbeitet:

• Detaillierte persönliche Informationen
• Aktivitäten nach Datum und Zeit
• Art der Aktivität
• Anzahl der Postings, Likes und Kommentare
• Mittlere Postinglänge
• Welche Worte wurden am häufigsten verwendet
• Postings mit den meisten Likes
• Posting mit den meisten Kommentaren
• Top Kommentatoren
• Top Sharer
• App Aktivitäten nach Datum und Zeit
• Facebookaktivitäten
• Fotos mit den meisten Kommentaren oder Likes
• Geschlechterverteilung der Freunde
• Beziehungsstatus der Freunde
• Alter der Freunde
• Die ältesten Freunde
• Wohnorte der Freunde
• Sprache, Politische Einstellung und Religion der Freunde
• Die häufigsten Namen der Freunde
• Freunde mit den gleichen Freunden
• Ballungszentren
  

WolframAlpha verdeutlicht mit seiner Faktenanalyse einmal mehr, wie viele Daten jeder einzelne Facebook zur Verfügung stellt und welche Schlüsse daraus gezogen werden können. Mein persönliches Highlight sind die "am meisten verwendeten Worte bei Postings"

Piwik hat ein Major Release veröffentlicht und trägt nun Versionsnummer 1.8. Die Google Analytics Alternative bringt zahlreiche Änderungen mit sich, wie beispielsweise neue Vergleichsfunktionen, frei gestaltbare Dashboards, neue Reports, Integration von Server Logs und Performaceverbesserungen, um nur ein paar zu nennen. Die kompletten Änderungen sind hier zu finden.

Am interessantesten ist wohl die Einbindung der Server Logs. So übernimmt Piwik bei Bedarf die Serveranalyse, die vielen vom eigenen Hoster unter Namen wie AWStats, Webalizer oder Urchin bekannt sein dürfte. Das Analysetool wurde "Log Analytics 2012-style" getauft, weil es laut Entwicklern so 2012 ist. Eine Anleitung, wie die Serveranalyse integriert wird, findet ihr hier.

Ebenfalls wichtig für Webnutzer, die nicht verflogt werden möchten, ist die neue Do Not Track Funktion, welche standardmäßig aktiviert ist. Im Firefox kann diese optional aktiviert werden kann (Im IE 10 wird diese Funktion ebenfalls vorhanden sein). Piwik registriert diese Option und trackt den User nicht.

Ein Update auf die neue Version oder der Umstieg von anderen Anbieter ist somit jedem ans Herz zu legen

Download Piwik 1.8

Vor kurzem habe ich über Twitter ein praktisches Programm namens "ThinkUp" gefunden. Das Tool ist eine Open Source Social Media Monitoringsoftware. Der Bereich Social Media wird beim zentralen Monitoring bis jetzt leider nicht sehr gut abgedeckt. Das soll sich nun ändern.

Auf diesem Blog wird inzwischen Piwik (Google Analytics läuft aus) als Monitoring Tool verwendet. Dort hat man zwar jede Menge Möglichkeiten seine Seite zu analysieren, jedoch bleibt der Social Media Bereich außen vor. Diesen muss man bis jetzt immer noch für jedes einzelne Netzwerk, in dem man aktiv ist, selbst vornehmen. Genau in diese Lücke stößt ThinkUp. Das Monitoringtool unterstützt zurzeit Facebook und Twitter und kontrolliert Followers, Replies und Postings. Das Ganze wird zusätzlich grafisch aufbereitet und bietet einen Überblick über die Social Aktivitäten. Die Software benötigt nur eine MySQL DB mit PHP 5.2.

Sollte ich mal wieder einen Abend Zeit finden, werde ich das Tool aufsetzen und in ein paar Wochen einen genauen Erfahrungsbericht darüber bringen.