Neues von der Forensik Front. Wie die Entwickler rund um die Linux Distribution "Kali Linux" verlauten lassen, ist eine neue Version 1.0.8 erschienen.
Das neue Kali bringt EFI (Extensible Firmware Interface) mit. Anwender erhalten damit eine breitere Hardwareunterstützung, beispielsweise für Mac Books.
Neben EFI wurden die vorhandene Tools aktualisiert und einige Bugs gefixed
Der Vollständigkeit halber will ich noch kurz erwähnen, dass in der letzten Woche die Version 1.0.7 der bekannten Hacker und Forensik CD Kali Linux veröffentlicht wurde.
Neben der Aktualisierung des Kernels und diverser Programmpakete, unterstützt die Distribution nun auch die Verschlüsselung der Home Partition via LUKS (Linux Unified Key Setup).
Die Verschlüsselung wird erst dann wichtig, wenn der sogenannte persistente Modus aktiviert ist. In dieser Variante können auf einem USB Stick persönliche Einstellungen hinterlegt werden. Damit diese sicher sind, werden sie verschlüsselt.
Im äußersten Notfall kann der Stick auf mit Hilfe der Nuke Funktion komplett bereinigt werden.
Für den Hausgebrauch reicht ein USB Stick mit 8-16GB völlig aus. USB 3.0 ist "nice to have", aber nicht zwingend nötig.
Im Zuge der Defcon 2014 wurde eine aktualisierte Version des Digital Evidence & Forensic Toolkit, kurz DEFT veröffentlicht. Das kleine Update auf Version 8.1 der forensischen Lubuntu live DVD enthält die aktualisierte Variante der Tool Sammlung Dart 2 (Digital Advanced Response Toolkit).
Leider ist immer noch keine VMware Version der Distribution verfügbar.
Weiter zeigt der File Manager des Livesystem nun an, in welcher Form Festplatten gemountet wurden. Außerdem wird Bitlocker nun voll unterstützt.
Folgende Tools und Funktionen wurden ebenfalls aktualisiert oder sind neu dabei:
Übersicht IT Forensik System I
Übersicht IT Forensik Systeme II
DEFT 8.1 ist nun auch als virtuelle Maschine für VMware verfügbar. Download
Die italienische Distribution CAINE (Computer Aided INvestigative Environment) ist in Version 5.0 erschienen. Ich hatte die alte Version bereits im letzten Jahr vorgestellt. Mit v5.0 Blackhole läuft das System nun unter Kernel 3.8.0-35 mit Ubuntu 12.04.3 64BIT, sowie der Unterstützung für UEFI/SECURE Boot.
Als neuer Installer kommt Systemback zum Einsatz. Als neuer Partner konnte Win-UFO (Ultimate Forensic Outflow) gewonnen werden, dabei handelt es sich um ein Sammlung von Windows Tools mit diversen Cache und Log Viewern, Malware Scannern, Passwort und Registry Tool, einige aus dem NirSoft und Piriform Umfeld.
Für eine sichere Untersuchung von anderen Festplatten eignet sich das Tool Rebuild Fstab, ist dieses aktiviert, werden angesteckte Festplatten im Lesemodus gemountet. Gleiches gilt für das Systray Tool Mounter. Weitere Details, sowie den Changelog findet ihr auf der Homepage.
Linux Distributionen für Penetrationstests oder IT Forensik hatte ich ja schon einige vorgestellt (siehe hier oder hier). Die bekannteste "Kali Linux" hat nun ein Update erhalten. In Version 1.0.6 hat ein Selbstzerstörungsmechanismus Einzug gehalten "emergency self-destruction of LUKS", dieser erlaubt es im Notfall die komplette Installation zu zerstören.
Weiter wurde der Linux Kernel auf 3.12 aktualisiert. Neu eingeführt wurde ein Build Script für ARM Geräte "Offensive Security Trusted ARM image scripts", damit soll die Menge der ARM Image Releases eingedämmt werden.
Ebenfalls lassen sich mit den " Kali AMAZON AMI and Google Compute image generation scripts" nun Images für Amazon erstellen (Amazon Machine Images).
Wie immer bei neuen Releases wurden bestehende Tools aktualisiert und die üblichen Optimierungen sind ins System eingeflossen. Der Changelog ist hier zu finden.