Skip to content

Sicherheitsupdates - DEFT Zero, Parrot Security und BlackArch Linux mit neuen Versionen

DEFT Zero 2017.01

Nach einiger Zeit gibt es Neuigkeiten von DEFT. Das Digital Evidence & Forensics Toolkit kommt mit der Zero Version in einer etwas schmaleren Variante daher und hat nur eine Größe von 400 MB.

DEFT-Zero

Zero, basierend auf Lubuntu 14.04.02 LTS, kann direkt in den RAM geladen werden oder alternativ im Text oder GUI Modus starten.

Es unterstützt 32-bit und 64-bit Hardware mit Secure Boot und UEFI.

Interessant ist der Support von NVMExpress Speicher und eMMC (MacBook).

Die volle DEFT Version wird weiterhin parallel entwickelt.

Weitere Infos

Download DEFT


BlackArch Linux 2017.03

Die Jungs vom BlackArch Linux haben ebenfalls eine neue Version mit 50 neuen Tools veröffentlicht. Die auf Arch Linux basierende Distribution für Penetration-Tester und diejenigen die es werden wollen hat nun laut eigenen Angaben über 1700 Tools an Bord.

BlackArch-Linux

Das neue Release wurde auf den Kernel 4.9.11 aktualisiert und hat einen verbesserten Installer erhalten.

Download Black Arch


Parrot Security 3.5

Der "Sicherheits-Papagei" wurde auf den Debian Kernel 4.9.13 aktualisiert und hat Gast Support für Virtualbox und VMware erhalten.

Firefox 45 ESR wurde entfernt und durch die fast aktuelle Version 51 ersetzt.

Parrot-Security

Außerdem wurde CUPS integriert, somit beherrscht das Debian System nun auch das Drucken.

Ein Cinnamon Support ist bereits vorhanden, aber noch experimentell und somit mit Vorsicht zu genießen.

Vorhandene Security Tools wurden selbstverständlich ebenfalls aktualisiert.

Der komplette Changelog ist hier zu finden.

Download Parrot


Übersicht forensische Distributionen 03/17

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.7 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
BlackArchLinux 2017-03 1700+ ArchLinux ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DracOS 2.1 100+ CLI LFS DWM
DEFT Zero 250+ Dart2 Lubuntu 14.04 Lxde
Kali Linux 2016.2 300+ ARM fähig Debian Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.5 700+ Cloud fähig Debian Jessie MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

Security Distros: LionSec Linux 5, Pentoo RC5 und NST Version 24-7977 veröffentlicht

Ein kurzer Einschub zu neuen Releases im Security Distributions Sektor.


Pentoo 2015.0 RC5

Pünktlich zum Start der DEF CON 2016 wurde Pentoo 2015.0 RC5 veröffentlicht. Das finale Release lässt somit weiterhin auf sich warten.

Dies ist aber nicht weiter tragisch, denn die vorhandene Version läuft recht stabil.

pentoo

Die größte Änderungen dürften die neuen Benutzerrechte darstellen. Anders als bei anderen Distributionen hat der Standardnutzer "pentoo" nun keine root Rechte mehr nach dem Booten. 

Wie von Ubuntu bekannt, wird für Befehle  aus den Verzeichnissen /sbin or /usr/sbin "sudo" benötigt.

Zusätzlich wurden alle Pakete auf Vordermann gebracht.

Die laaange Liste aller integrierten Tools findet ihr auf der Entwicklerseite von Pentoo.

pentoo download


Network Security Toolkit 24 SVN:7977

Die neueste Version des Network Security Toolkit (siehe Artikel) ist bereits im Juli veröffentlicht worden, soll hier aber nicht unerwähnt bleiben.

nst-gui

(alter Screenshot)

NST ist inzwischen nur noch als 64bit Variante erhältlich. Mit dem Update wurde ein Multi-Traceroute (MTR) Tool eingebunden. 

Die unter ntop bekannte Deep Packet Inspection kann nun als 3D Grafik ausgewertet werden.

Mit SSLyze ist inzwischen ein guter SSL Sicherheits Scanner mit an Bord (siehe Artikel)

NST

LionSec Linux 5

Neu im Bunde der Sicherheits Distributionen ist LionSec Linux.

Aktuell unter der Version 5.0 verfügbar handelt es sich um eine Ubuntu basierte Distributionen, welche eine breite Sammlung an Tools für Computer Forensik, Penetrations Tests  und Wlan Analyse mitbringt. Die Oberfläche macht laut Screenshots einen recht schicken Eindruck.

LionSec-Linux

Ähnlich wie Tails hat das System einen anonymen Modus, welcher das verschleierte Surfen erlaubt.

Ich hatte noch keine Zeit das System genauer unter die Lupe zu nehmen, darum verweise ich hier auf das youtube Video.

LionSec hat folgenden Systemvoraussetzungen

  • 1.7 GHz processor (for example Intel Celeron) or better.
  • 2.0 GB RAM (system memory).
  • 8 GB of free hard drive space for installation.
  • Either a CD/DVD drive or a USB port for the installer media.
  • Internet access is helpful (for installing updates during the installation process

LionSec


Überblick forensische Sicherheitsdistributionen

Eine Gesamtübersicht der bereits erwähnten Systeme.

Name Version Tools Besonderheiten Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.6 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DEFT Zero RC1 250+ Dart2 Lubuntu Lxde
Kali Linux 2016 300+ ARM fähig Debian Gnome
LionSec 2016 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

Digitale Forensik - SANS SIFT Version 3.0 und Autospy 3.0.9

An der Computer Forensik Front hat sich wieder etwas getan. SANS SIFT (SANS Investigate Forensic Toolkit) wurde in Version 3.0 veröffentlicht. Ich hatte euch das IT-Forensik Kit bereits früher vorgestellt.

SANS SIFT 3.0 

In der neuen Version wurden folgende Schlüsselfunktionen angepasst

  • Ubuntu LTS 12.04  64 bit System
  • Better memory utilization
  • Auto-DFIR package update and customizations
  • Latest forensic tools and techniques
  • VMware Appliance ready to tackle forensics
  • Cross compatibility between Linux and Windows
  • Option to install stand-alone via (.iso) or use via VMware Player/Workstation
  • Online Documentation Project at sift.readthedocs.org
  • Expanded Filesystem Support

Die Zugangsdaten sind in der neuen Version gleich geblieben Login "sansforensics" Password "forensics":

Bei Bedarf lassen sich bestehende Ubuntu Installationen in eine SWIFT Workstation verwandeln. Download

sans-sift

Autospy 3.0.9

Bei der Toolsammlung Autospy handelt es sich um ein modular aufgebautes Forensic Programm. Das heißt, mitgelieferte Tools, können um neue Funktionen erweitert werden. Das Set ist in der neuen Version bisher nur für Windows verfügbar und bietet neben Hash Filtering, Keyword Suche, Webartifacts und einer grafischen Logauswertung folgende Funktionen an:

  • Timeline Analysis: Displays system events in a graphical interface to help identify activity.
  • Keyword Search: Text extraction and index searched modules enable you to find files that mention specific terms and find regular expression patterns.
  • Web Artifacts: Extracts web activity from common browsers to help identify user activity.
  • Registry Analysis: Uses RegRipper to identify recently accessed documents and USB devices.
  • LNK File Analysis: Identifies short cuts and accessed documents
  • Email Analysis: Parses MBOX format messages, such as Thunderbird.
  • EXIF: Extracts geo location and camera information from JPEG files.
  • File Type Sorting: Group files by their type to find all images or documents.
  • Media Playback: View videos and images in the application and not require an external viewer.
  • Thumbnail viewer: Displays thumbnail of images to help quick view pictures.
  • Robust File System Analysis: Support for common file systems, including NTFS, FAT12, FAT16, FAT32, HFS+, ISO9660 (CD-ROM), Ext2, Ext3, and UFS from The Sleuth Kit.
  • Hash Set Filtering: Filter out known good files using NSRL and flag known bad files using custom hashsets in HashKeeper, md5sum, and EnCase formats.
  • Tags: Tag files with arbitrary tag names, such as 'bookmark' or 'suspicious', and add comments.
  • Unicode Strings Extraction: Extracts strings from unallocated space and unknown file types in many languages (Arabic, Chinese, Japanese, etc.).

Ein Blick ist das Tool sicherlich wert, hier geht es zum Download.

Überblick 

Mit dem neuen Autospy 3 und dem wieder verfügbaren Paladin 5.0, sind inzwischen schon zehn forensische IT Systeme vorhanden, welche bei der Analyse von Computer oder Mobilsystemen behilflich sind. Die meisten unter Ihnen werden im ISO Format angeboten. Nur zwei (Kali Linux und SIFT 3.0) sind auch als fertiges VMWare Images verfügbar.

ITForensikTools-Ueberblick