Skip to content

Sicherheitsupdates - DEFT Zero, Parrot Security und BlackArch Linux mit neuen Versionen

DEFT Zero 2017.01

Nach einiger Zeit gibt es Neuigkeiten von DEFT. Das Digital Evidence & Forensics Toolkit kommt mit der Zero Version in einer etwas schmaleren Variante daher und hat nur eine Größe von 400 MB.

DEFT-Zero

Zero, basierend auf Lubuntu 14.04.02 LTS, kann direkt in den RAM geladen werden oder alternativ im Text oder GUI Modus starten.

Es unterstützt 32-bit und 64-bit Hardware mit Secure Boot und UEFI.

Interessant ist der Support von NVMExpress Speicher und eMMC (MacBook).

Die volle DEFT Version wird weiterhin parallel entwickelt.

Weitere Infos

Download DEFT


BlackArch Linux 2017.03

Die Jungs vom BlackArch Linux haben ebenfalls eine neue Version mit 50 neuen Tools veröffentlicht. Die auf Arch Linux basierende Distribution für Penetration-Tester und diejenigen die es werden wollen hat nun laut eigenen Angaben über 1700 Tools an Bord.

BlackArch-Linux

Das neue Release wurde auf den Kernel 4.9.11 aktualisiert und hat einen verbesserten Installer erhalten.

Download Black Arch


Parrot Security 3.5

Der "Sicherheits-Papagei" wurde auf den Debian Kernel 4.9.13 aktualisiert und hat Gast Support für Virtualbox und VMware erhalten.

Firefox 45 ESR wurde entfernt und durch die fast aktuelle Version 51 ersetzt.

Parrot-Security

Außerdem wurde CUPS integriert, somit beherrscht das Debian System nun auch das Drucken.

Ein Cinnamon Support ist bereits vorhanden, aber noch experimentell und somit mit Vorsicht zu genießen.

Vorhandene Security Tools wurden selbstverständlich ebenfalls aktualisiert.

Der komplette Changelog ist hier zu finden.

Download Parrot


Übersicht forensische Distributionen 03/17

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.7 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
BlackArchLinux 2017-03 1700+ ArchLinux ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DracOS 2.1 100+ CLI LFS DWM
DEFT Zero 250+ Dart2 Lubuntu 14.04 Lxde
Kali Linux 2016.2 300+ ARM fähig Debian Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.5 700+ Cloud fähig Debian Jessie MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

Die IT-Forensik wird ein immer wichtigeres Mittel, um Hackerangriffe oder sonstige Arten von Datendiebstählen aufzudecken und zurück zu verfolgen. Für so eine Beweismittelsicherung dienen meist Linux Distributionen für forensische Zwecke. Davon gibt es inzwischen einige freie Lösungen, welche sich nicht nur der Beweissicherung verschrieben haben, sondern ebenfalls Tools zu Systemanalyse, Datenrettung oder Penetrationstests mitbringen.

Ich möchte euch heute ein kleine Zusammenstellung der mir bekannten Forensik-Distributionen geben. Alle Distributionen können von CD/DVD/VMWare gebootet werden (Live-Linux) und enthalten hunderte Tools zu den oben erwähnten Themengebieten. Welches Programme für welchen Zweck am Besten geeignet sind, unterscheidet sich von Fall zu Fall und kann hier nicht näher behandelt werden.

7 forensische Linux Distributionen

BackTrack

Zählt zu den bekanntesten Linux-Live-Distributionen und ist über die Jahre sehr gewachsen. Offensive Security hat der Toolsammlung mit Kali Linux nun einen freien Nachfolger beschert. Download BackTrack - Network Security Suite

backtrack

Caine 4.0

Die Forensic-Distribution Caine aus Italien, genauer von der italienischen Universität von Modena und Reggio Emilia, kann in der neuen Version 4.0 mit einer Reportingfunktion punkten. Zusätzlich wurden Tools wie LibreOffice 4.0.1, Sqliteman, Sdparm oder Remote Filesystem Mounter integriert. Auf der Homepage befindet sich eine komplette Liste der enthaltenen Tools. Download Caine 4.0 - Computer Aided INvestigative Environment

caine

DEFT 7.2

DEFT ist die Abkürzung für "Digital Evidence & Forensic Toolkit". Die Live CD hat ihren Ursprung in Italien und bringt in der neuen Version Autopsy 3 (Beta 5) mit (welches 1GB RAM voraussetzt). Weitere Pakete sind unter anderem Digital Forensic Framework 1.2, Log2timeline, Iphone Analyzer, Guymager und eine Sammlung an Tools für Windows Systeme namens DART (Digital Advanced Response Toolkit), welche unter der Windowsemulation Wine betrieben werden. Hier findet der geübte Windowsnutzer z.B. die gesamte Nirsoft Softwarepalette. Die komplette Liste an Windows Programmen kann hier eingesehen werden.
Die Live CD zur IT-Beweissicherung wird in einem 90 seitigen Handbuch ausführlich beschrieben und dürfte zunächst keine Fragen offen lassen. Download DEFT 7.2

deft


Kali Linux 1.0

Im Stillen wurde der Nachfolger von BackTrack entwickelt, dabei viel die Wahl des Systems auf Debian, welches mit eigenen Repositories unterstützt wird. Dank des neuen Unterbaus, kann sich der Nutzer die Oberfläche nun selbst aussuchen, zur Wahl stehen bekannte Kandidaten wie KDE, GNOME, XFCE, LXDE, E17 oder MATE.
Kali Linux unterstützt 32bit und 64bit, sowie ARM Systeme. Ob eine GUI verwendet werden soll oder nicht, bleibt jedem selbst überlassen. Eine ausführliche Deutsche Dokumentation führt an die sachgerechte Verwendung der Penetrationstests und Sicherheits-Auditings heran. Die Bedienung ist im Vergleich zum Vorgänger durchaus einfacher und übersichtlicher geworden, dafür wurde die Auswahl an Tools etwas angepasst. Download Kali Linux 1.0 - Freie Forensik Suite.

kali-linux

Paladin 4.0

Mit Paladin 4.0 bietet Surumi ebenfalls eine freie Forensik Suite an. Die DVD beinhaltet neben einer Sammlung der bekanntesten Forensiktools im "Forensic Tool Chest" auch die Möglichkeit iOS und iPhones zu analysieren. Leider muss man sich vor dem Download registrieren. Download Paladin 4.0 - Freie Forensik Suite.

paladin

Ronin

Auch wenn der Name "Ronin" im IT Bereich wirklich oft zur Verwendung kommt, wird mit RONIN Linux - Security Distribution eine weitere Open Source Distribution angeboten. Mit 160 verschiedenen Programmen zur Analyse, muss sich die Live CD vor keinen anderen verstecken. Die Tool Liste gibt Einblick in den vollen Funktionsumfang.

ronin

SANS  (SIFT) 2.14

Das Investigate Forensic Toolkit des SANS Institutes schlägt in eine ähnliche Richtung wie Caine oder Paladin. Es kann, nach einer Registrierung, als VMware Image heruntergeladen werden und danach zur Untersuchung eines Windows PC verwendet werden. (Login: "sansforensics" Password: "forensics"für das PTK ist es admin/forensics).
Neben Tools wie The Sleuth Kit mit GUI (File system Analysis Tools), log2timeline (Timeline GenerationTool),ssdeep, md5deep (HashingTools), Foremost/Scalpel (File Carving), WireShark (Network Forensics), Vinetto (thumbs.db examination), Pasco (IE Web History examination), Rifiuti (Recycle Bin examination),Volatility Framework (Memory Analysis), PyFLAG (GUI Log/Disk Examination) und DFF (Digital Forensic Framework) bietet das Image eine Beweissicherung in den Formaten Expert Witness (E01), RAW (dd) und  Advanced Forensic Format (AFF) an.

Neu in Version 2.14 sind Tools für Firefox, iPhone, Blackberry und Android.

sans-sift

Zusammenfassung

Jede Linux Distribution bietet seine Vor- und Nachteile. Am besten verschafft man sich selbst einen Überblick und lädt verschiedene Distros in VMware, um sich zum einen mit der Bedienung vertraut zu machen und zum anderen die mitgelieferten Forensiktools zu testen. Es ist jedoch Vorsicht geboten, da sich einige Werkzeuge am Rande der Legalität bewegen (Stichwort Hackerparagraf).
Die Tabelle soll noch einmal einen kleinen Überblick zur Toolauswahl jeder einzelnen Distribution geben.

Ueberblick-IT-Forensik