Die folgenden fünf Live-Systeme sollten Sie kennen, um den eigenen PC, Server und das Netzwerk gründlich auf Lücken und Probleme zu testen. Update 20.8.: Backtrack Linux 5 R3 ist erschienen.
von David Wolski
Foto:
Der Vorteil von Live-Systemen auf Linux-Basis ist deren Portabilität. Die auf den folgenden Seiten vorgestellten Linux-Systeme sind speziell für den Start von DVD oder USB-Stick angepasst, sie laufen und funktionieren auf nahezu jedem Rechner – ob Windows oder Linux. Sie brauchen keine Installation und funktionieren unabhängig vom fest installierten Betriebssystem. Dank einer äußert aktiven Expertengemeinde gibt es unter Linux keinen Mangel an Sicherheitstools. Die meisten aktuellen Programme dieser Kategorie gibt es sowieso in der Regel nur für Linux. Live-Systeme sind damit die ideale Plattform, um Werkzeuge aus dem Umfeld der IT-Sicherheit betriebsbereit für den Einsatz in der allgemeinen assC-Praxis zu offerieren. Alle hier vorgestellten Systeme bieten zusammen für jeden Anwendungsbereich das ideale Werkzeug: Von Penetrationtests, über Passwort-Überprüfung und Netzwerk-Analyse bis hin zu Computer-Forensik ist tatsächlich alles vertreten.
Die besten Live-Systeme für Sicherheits-Checks
Die Auswahl fiel auf diese fünf aktuellen und bewährten Systeme, weil sie bereits in der Praxis ihren Nutzen beweisen konnten. Ganz informell werden diese Linux-Systeme gerne als "Hacker-DVDs" bezeichnet, aber dieser Name ist im Grunde irreführend. Zwar werden die enthaltenen Tools auch von der einschlägigen Szene mitentwickelt, die Zielgruppe jedoch sind die Administratoren und Sicherheitsexperten. Der Einsatz der Werkzeuge auf dem eigenen PC, Server oder Netzwerk ist also absolut legitim und sehr nützlich. Sie finden damit Sicherheitslücken in Ihren Systemen, bevor es jemand anderes womöglich zur Ihrem Schaden tut. In diesem Kontext sind die Programme auch in Deutschland legal, da dies kein unerlaubter Zugriff auf fremde Computersysteme ist. Beachten Sie, dass der Einsatz in Firmennetzwerken nur nach expliziter Genehmigung stattfinden darf.
Wichtig: Scannen Sie ohne ausdrückliche Erlaubnis niemals fremde PCs oder Netzwerke, denn dies könnte eine Straftat darstellen oder aber zumindest erheblichen Ärger mit den Netzwerk-Administratoren einbringen.
Spezialsysteme: Experimentieren und Erfahrung sammeln
Viele Sicherheits-Tools liegen zudem nur im Quelltext vor und müssten zunächst kompiliert werden. Deshalb ist der unschlagbare Vorteil von spezialisierten Linux-Systemen, dass bereits alles soweit fertig kompiliert und eingerichtet ist. Gerade für Einsteiger in Sachen IT-Sicherheit ist dies besonders hilfreich, denn die ersten Experimente sollen nicht schon beim Kompilieren der ausgewählten Tools scheitern. Sicherheits-Distributionen bringen damit Programme mit, die bei den üblichen Linux-Live-System nicht unbedingt mit an Bord sind.
Alle vorgestellten Live-Systeme besitzen eine grafische Benutzeroberfläche mit Desktop. Mit einigen Ausnahmen laufen die meisten Programme und Tools aber in der Shell und erfordern deshalb etwas Erfahrung mit der Linux-Befehlszeile. Der richtige Umgang mit diesen Werkzeugen ist somit der erste Schritt auf dem Weg zum kompetenten Expertenwissen. Der Beitrag zeigt deshalb nicht nur die Einsatzbereiche und Besonderheiten aller fünf Live-Systeme, sondern gibt für jedes gleich ein praktisches Anwendungsbeispiel. Bei allen Beispielen bleiben wir strikt innerhalb der Grenzen der Legalität und beschreiben grundsätzlich die legitime Verwendung der Sicherheitswerkzeuge.
Backtrack Linux 5 R3
Mit Abstand das bekannteste Live-System für die Suche nach Sicherheitslücken ist Backtrack 5, das mittlerweile in der dritten Revision vorliegt. Die Entwickler von Backtrack bestehen aus einem internationales Team von Sicherheitsexperten der Firmen Offensive Security und Tiger Security. Das Live-System steht vollständig unter der Open-Source-Lizenz GPL. Neue Versionen erscheinen rund alle sechs Monate mit aktualisierten Programmpaketen und Tools. Backtrack basiert auch in der aktuellen Ausgabe 5 R3 vom August 2012 noch auf Ubuntu 10.04, das eine Ubuntu-Version mit Langzeitsupport ist und bis April 2013 gepflegt wird. Backtrack hat allerdings den neueren Linux-Kernel 3.2.6 bekommen. Dies ist natürlich gerade in Hinblick auf die Hardwareunterstützung vorteilhaft, denn bei Linux bedeutet ein neuer Kernel immer auch bessere Treiber für Grafik- und WLAN-Chips.
Obwohl Backtrack dank seiner poliert erscheinenden Desktop-Oberfläche und Ubuntu-Innereien recht zahm zu sein scheint, verlangt das System schon beim Start etwas Aufmerksamkeit, denn die Zielgruppe ist der erfahrene Linux-Anwender. Und so gibt es nach dem Start gleich die erste große Überraschung: Der automatisch angemeldete Benutzer bekommt sofort root“-Rechte, was für Linux absolut unüblich ist. Backtrack bootet erst mal in der Eingabeaufforderung die BASH (Bourne Again Shell). Mit der Eingabe von „startx“ baut sich schließlich der Desktop auf.
Der Desktop von BackTrack
Auf der grafischen Benutzeroberfläche präsentiert Backtrack mit Gnome 2.32 eine bewährte Arbeitsumgebung, übrigens komplett in Englisch. Zunächst startet das System mit US-englischer Tastaturbelegung. Dies können Sie über die Menüleiste „System -> Preferences -> Keyboard“ ändern, indem Sie dort auf „Layouts -> Add“ gehen und „Germany“ auswählen. In einem Netzwerk mit DHCP-Server wird das kabelgebundene Netzwerk im Live-System automatisch aktiviert.
Für die Verbindung mit Drahtlos-Netzwerken gibt es das ausgezeichnete Verwaltungstool Wicd, welches sich in der oberen Menüleiste unter „Applications -> Internet“ befindet. Nur wenn Backtrack über das Bootmenü über „Stealth“ gestartet wird, verzichtet das Live-System auf den automatischen Aufbau einer Verbindung zum Kabel-Netzwerk, damit das Live-System zunächst unsichtbar bleibt
Übersicht der Anwendungen
Alle Anwendungen sind hier unter „Applications" untergebracht, wobei die Spezialtools generell im Untermenü „Backtrack“ zu finden sind. Hier klappt sich eine beeindruckende Liste von Kategorien aus, in der alle Programme einsortiert sind. Wer jedes Tool kennen lernen möchte, sollte sich dafür mehrere Stunden Zeit nehmen. Unter „Information Gathering“ sind alle Netzwerk-Sniffer, WLAN- und Bluetooth-Scanner sowie Werkzeuge zur Datenbank-Analyse untergebracht - alles Programme, die passiv Daten aufzeichnen. Die Kategorie „Vulnerability Assessment“ beinhaltet unter anderem die bekannten Scanner Nessus, OpenVAS und Saint, um Dienste im Netzwerk auf bekannte Sicherheitslücken hin abzuklopfen.
Für Netzwerk-Administratoren und ambitionierte Anwender ist besonders die Kategorie „Exploitation Tools“ interessant. Hier eingeordnet sind die Programme zum gezielten Austesten bekannter Sicherheitslücken im eigenen Netzwerk. Beispielsweise reaver-wps, wepcrack und das Metasploit Framework mit dem Browser-Frontend Armitage. Unter „Privilege Escalation“ befinden sich Programme wie THC-Hydra samt Frontend, mit denen Sie Ihre Passwörter auf deren Widerstandsfähigkeit gegen Hacker abklopfen können. Wer ASP-, PHP- und Perl-Konstrukte auf Sicherheitslücken prüfen will, wird unter „Maintaining Access“ fündig. Weniger aufregend ist der Bereich „Stress Testing“ für Belastungstests von Netzwerken und Servern. Die Kategorie „Forensics“ zeigt eine Auswahl an Programmen wie Sleuthkit zur Analyse von Partitionen mit den Dateisystemen NTFS, FAT, EXT2/3/4 und einige Undelete-Tools. Seit der Revision 3 hat Backtrack die neue Kategorie „Physical Exploitation“ bekommen. Dabei geht es um eine Entwicklungsumgebung für Arduino-Boards, um Embedded-Systeme und Microcontroller auf Sicherheitslücken hin abzuklopfen. Fortgeschrittene Entwicklertools wie Debugger und RFID-Werkzeuge runden die Programmsammlung ab. Insgesamt bietet Backtrack mehr als 300 Einzeltools für verschiedene Einsatzgebiete.
Praktische Anwendung: WPS-Lücke mit aufdecken reaver-wps
Uns interessiert als Anwendungsbeispiel der Einsatz eines verständlichen Programms für ein nachvollziehbares Sicherheitsproblem. Der Klassiker ist reaver-wps für den Test einer Ende 2011 entdeckten Sicherheitslücke, von der viele Router mit WPS-Funktion (Wi-Fi Protected Setup) betroffen sind. Öffnen sie unter Backtrack ein Terminal-Fenster und geben Sie dort
iwconfig
ein. Damit lässt sich der Gerätename der WLAN-Schnittstelle herausfinden. Angenommen, der Name ist „wlan0“, versetzen Sie die WLAN-Schnittstelle mit dem folgenden Kommando in den Monitor-Modus:
airmon-ng start wlan0
Um den WLAN-Chip im Monitor-Modus anzusprechen, verwendet man den neuen, zusätzlichen Gerätenamen, den der vorherige Befehl ausgibt. In den meisten Fällen lautet dieser Name schlicht „mon0“. Diesen Gerätenamen nutzen Sie jetzt, um die BSSID Ihres Routers heraus zu finden. Dies gelingt mit folgendem Kommando:
airodump-ng mon0
In der Liste sehen Sie jetzt die BSSID aller gefundenen Router in Reichweite. Die BSSID des eigenen(!) Routers notieren Sie sich, um anschließend das Tool wps-reaver mit diesem Befehl darauf anzusetzen:
reaver -i mon0 -b [BSSID] -vv
Anstatt des Platzhalters [BSSID] geben Sie die tatsächliche Adresse ein, beispielsweise „00:21:64:4C:FD:72“. Der Angriff kann durchaus einige Stunden in Anspruch nehmen und zeigt bei erfolgreichem Abschluss das von Ihnen gewählte WPA/WPA2-Passwort des Routers an. In diesem Fall müssen Sie WPS auf Ihrem Router de-aktivieren oder, wenn vom Hersteller angeboten, ein aktualisiertes Firmware-Update einspielen, um die Sicherheitslücke zu schließen.
Installationsmöglichkeiten und Aktualisierung
Wie es sich für eine ordentliche Distribution gehört, bietet natürlich auch Backtrack Linux die Installation auf Festplatte an. Es ist also nicht nur ein reines Live-System, sondern eignet sich für die häufige Verwendung auch als permanente Einrichtung auf Ihrem PC. Eine Verknüpfung dazu befindet sich bereits auf dem Desktop. Wer bereits mit Ubuntu gearbeitet hat, trifft bei der Installation von Backtrack einen alten Bekannten: Der Installer ist von Ubuntu 10.04 übernommen und richtet das System in wenigen Schritten auf der Festplatte ein. Dort verlangt Backtrack rund 11 GB Speicherplatz. Ein installiertes Backtrack Linux bietet lediglich einen vorbereiteten Root-Account zur Anmeldung. Dessen Passwort lautet standardmäßig „toor“. Wenn eine neue Version Backtrack Linux erscheint, ist eine erneute Installation übrigens nicht nötigt. Wie Debian und Ubuntu, auf welchem Backtrack basiert, kann das gesamte System mit apt-get aktualisiert werden. Wer also noch Backtrack 5 R2 installiert hat, kommt einfach über die üblichen Update-Befehle an die neuen Programmpakete.
Fazit: Gut gefülltes Sicherheits-Arsenal
Natürlich macht ein perfektes Live-System allein noch niemanden zum Sicherheitsexperten, dazu ist ein breites Allgemeinwissen zur Linux- und Windows-Administration und viel Geduld für Experimente nötig. Das Live-System ist trotz seiner einladenden Desktop-Umgebung nichts für völlige Einsteiger. Allerdings ist Backtrack Linux 5 R3 ein idealer Begleiter für bereits fortgeschrittene oder ambitionierte Anwender. Die umfangreiche Programm-Zusammenstellung von Backtrack bietet nahezu für jeden Zweck das richtige Werkzeug. Langes Stöbern in Mailinglisten, obskuren Webseiten und Kompilieren von Quellcode entfällt damit weitgehend und man kann nach wenigen Handgriffen gleich mit den Analysen und Tests loslegen.
Was uns allerdings fehlt, ist eine Übersicht aller vorinstallierten Tools. Auf der Projektwebseite von Backtrack ist nur eine Teilsumme aller verfügbaren Programme beschrieben. Eine Liste der neu hinzugekommenen Tools zeigt die Release-Ankündigung an. Eine detailliertere, englischsprachige Beschreibung der wichtigsten Programme bietet zudem das Wiki von Backtrack. Es bleibt aber den Anwendern überlassen, sich eine Übersicht zu den verfügbaren Tools zu verschaffen. Außerdem fällt auf, dass einige Programme nicht optimal integriert sind. So ist bei den forensischen Werkzeugen beispielsweise Testdisk nicht richtig eingerichtet und muss über das Terminal mit /pentest/forensics/testdisk/testdisk_static getartet werden. Von solch kleineren Schönheitsfehlern jedoch abgesehen ist Backtrack eines der mächtigsten Live-Systeme dieser Kategorie und trägt seinen Kultstatus zu recht.
Download und Voraussetzungen
Backtrack Linux steht gleich in mehreren Geschmacksrichtungen zur Verfügung: Die Versionen für 32-Bit und 64-Bit stehen jeweils mit Gnome 2 oder KDE 4 zum Download bereit. Neuerdings gibt es auch eine Variante für ARM-Prozessoren, diese allerdings nur mit Gnome 2. Je nach Variante und Desktop-Umgebung ist Backtrack zwischen 2,7 und 3,1 GB groß. Da Backtrack laufend erweitert wird, bringt jede neue Revision einige Megabyte mehr mit. Trotz des nicht gerade kleinen Umfangs ist das Live-System selbst bei Hardwarevoraussetzungen eher bescheiden. Ein Prozessor mit 1 GHz Taktfrequenz sowie ein Minimum von 256 MB RAM genügt. Mit Hilfe von Unetbootin können Sie das ISO-Image von Backtrack auf einen USB-Stick übertragen und damit starten.
Ophcrack Live-CD 2012
Kein umfassendes Sicherheits-Live-System für Analysen und Checks, sondern ein Spezialist für das Entschlüsseln von Windows-Passwörtern ist die Ophcrack Live CD. Es eignet sich somit ideal für Windows-Anwender, die sich selbst ausgesperrt haben, beispielsweise weil ihnen nach einem längeren Urlaubsaufenthalt nicht mehr das Windows-Passwort für ihren heimischen PC einfällt. Da man für den Einsatz dieses Systems direkt vor dem PC sitzen muss und damit keinen heimlichen Angriff per Fernzugriff/Internet durchführen kann, ist Ophcrack Live CD für einen versteckten bösartigen Angriff eher ungeeignet.
Ophcrack ist eine Kombination mehrerer Komponenten: Ophcrack ist ein bekannter Cracker für Hash-Werte (Checksummen) von Windows-Kennwörtern und macht sich dabei Rainbow-Tables zu nutze. Das Live-System nutzt Linux, um den Passwort-Cracker von CD beziehungsweise USB-Stick zu laden. Mit einem integrierten NTFS-Treiber greift das Live-System dann auf die System-Partition von Windows zu und liest aus der Registry die Passwort-Hashes der SAM-Datenbank. Anschließend kann Ophcrack mit dem Entschlüsseln beginnen, was bei schwachen Passwörtern meist nur wenige Sekunden dauert. Sollte das bei Ihnen der Fall sein, so sollten Sie unbedingt Ihr bisheriges Windows-Passwort gegen ein neues, sichereres austauschen.
Die Ophcrack LiveCD fasst alle benötigten Komponenten in ein einfach zu bedienendes Live-System zusammen, das zwar englischsprachig ist, aber weitgehend intuitiv zu bedienen ist. Praktisch ist diese Kombination wie bereits erwähnt, um bei vergessenen Windows-Passwörtern wieder Zugang zum eigenen Rechner zu bekommen, oder um die Qualität und Komplexität der vergebenen Passwörter zu testen. Auch weniger erfahrene Anwender dürften mit der Ophcrack Live-CD gut klar kommen.
Rainbowtables gegen Passwort-Hashes
Ein Hash-Wert ist die Umwandlung einer Zeichenkette in einen eindeutigen Wert als Checksumme, deren Wert eine festgelegte Länge aufweist. Bei der Eingabe eines Passwort ist damit schnell und einfach ein Vergleich möglich, ob das Passwort stimmt, ohne dabei das Kennwort selbst im Klartext speichern zu müssen. Windows speichert alle Benutzerpasswörter als Hash-Wert im Security Accounts Manager (SAM) in der Registry. Hier kommt nun Ophcrack ins Spiel.
Das Programm versucht zunächst, die SAM-Weerte aus der Registry zu lesen und die Passwort-Hashes zu extrahieren. Ist dieser Schritt gelungen, kommen Rainbow-Tables zum Einsatz, um aus dem Einweg-Hash wieder das zugrunde liegende Passwort zu errechnen. Anstatt alle möglichen Hash-Werte zu errechnen und zu testen, werden die Werte zu jeder Passwortvariante nur einmal errechnet und in einer riesigen Liste gespeichert. Diese wäre aber wegen der unzähligen Kombinationen etliche Terabyte groß. Deshalb reduzieren Rainbow-Tables jeden bekannten Hash-Werte zu einem kürzeren Wert, der wieder reduziert wird und so weiter. Damit verkürzen die Rainbow-Tables die benötigte Rechenzeit auf einen Bruchteil der sonst nötigen Zeit.
Der zum Passwort errechnete Hash-Wert gibt nun vor, in welchem Teil der Tabelle nachgesehen werden muss. So sind letztlich nur noch einige Millionen Varianten auszuprobieren. Rainbow-Tables gibt es für verschiedene Systeme und in unterschiedlichen Qualitäten. Für Windows XP sind beispielsweise andere Tables notwendig als für Windows Vista und Windows 7. Die in der Ophcrack Live-CD enthaltenen Tables sind vergleichsweise klein und eigenen sich deshalb nur für alphanumerische Passwörter, die nicht zu lang sein dürfen. Das Live-System eignet sich deshalb vortrefflich, um die Sicherheit der verwendeten Windows-Passwörter einem Praxistest zu unterziehen. Das Knacken dauert – je nach Komplexität des Passworts und Leistungsfähigkeit des PCs – nur Sekunden bis zu Minuten auf langsamen PCs.
Ophcrack in Aktion
Vor dem Start bietet das Live-System ein schickes Bootmenü. Die Sorglos-Startoption ist „Automatik“ bei der Ophcrack nahezu alles im Alleingang erledigt und jeden Schritt von der Erkennung der Windows-Partition bis zum Entschlüsseln der Passwörter ohne jedes Zutun erledigt.
Empfehlenswert ist allerdings die Startoption „Manual“, denn hier können Sie die gewünschte Tastaturbelegung selbst auswählen. Das Live-System selbst nutzt das Mini-Linux Slitaz 4.0 als Grundlage und präsentiert nach dem Start einen unkomplizierten Desktop. Das Knackprogramm Ophcrack wird automatisch gestartet und die Entschlüsselung startet ohne weiteres Zutun.
In der angezeigten Liste der gefunden Windows-Konten sehen Sie bei erfolgreichem Abschluss die zugehörigen Passwörter. Daneben sind noch einige andere Programme auf der CD, etwa der schlanke Web-Browser Midori, ein PDF-Betrachter sowie als Extra der Partitionierer Gparted in der Version 0.10.
Für die Konfiguration von Systemkomponenten bringt das Live-System eine ungewöhnliche Oberfläche mit: Die Systemkonfiguration erfolgt über den Browser. Um beispielsweise die Netzwerkschnittstelle oder eine WLAN-Verbindung zu konfigurieren, klicken Sie rechts oben in die Leiste auf das Stecker-Symbol und dann auf „Einstellungen“. Es startet der Webbrowser, wo Sie als Name und Passwort jeweils „root“ eingeben. Anschließend können Sie das Netzwerk konfigurieren.
Download und Hardwareanforderungen
Die Hardwarevoraussetzungen des Live-Systems sind überschaubar, da hier ein extrem kleines Linux-System als Basis zum Einsatz kommt. Der Hauptspeicher darf für die Rainbow-Tables allerdings nicht zu knapp sein, da diese in den Speicher geladen werden. Das Minimum an Speicher, mit dem Ophcrack noch funktioniert, ist 512 MB. Anders als die restlichen vier vorgestellten Sicherheits-DVDs ist Ophcrack ein reines Live-System, um den Passwort-Cracker unabhängig vom installierten Windows zu starten - eine Installation ist deshalb nicht vorgesehen.
Als Download steht die Ophcrack Live-CD in zwei Varianten bereit: Einmal mit Rainbow-Tables speziell für Windows XP und in einer weiteren Version für Windows Vista/Win7. Die Downloadgröße beträgt für die XP-Version 430 MB und für Vista/7 rund 505 MB. Es ist möglich, die Systeme mit Hilfe von Unetbootin auf einen USB-Stick zu transferieren, um den PC damit zu starten. Leider kommt das zugrunde liegende Linux-System Slitaz 4.0 mit aktueller Hardware nicht gut klar und verweigert auf neuen Notebooks mit Intel Sandy Bridge und Ivy Bridge den Dienst.
Fazit: Verbessert die Windows-Sicherheit, ist aber nicht allmächtig
Wer das Passwort zum Windows-Rechner vergessen hat, sollte in jedem Fall erst mal Ophcrack ausprobieren, da der damit verbundene Aufwand erstaunlich niedrig ist: CD einlegen oder USB-Stick anschließen, PC booten, fertig. Dieser Test lohnt sich in jedem Fall, denn alle anderen Wege, ein Windows-Passwort zurück zu setzen, sind deutlich aufwändiger.
Natürlich ist aber auch Ophcrack keine Allzweckwaffe, denn die mitgelieferten Rainbow-Tables sind wirklich nur für kurze, alphanumerische Passwörter gedacht. In unseren Tests gelang Ophcrack die Entschlüsselung eines Passworts aus Zahlen und Buchstaben mit sechs Zeichen Länge in wenigen Sekunden. Vor einem 10-stelligen Passwort nur aus Buchstaben musste Ophcrack dagegen kapitulierten. Dieser Check ist also auch recht praktisch, um die Sicherheit des eigenen Passworts zu testen: Hat Ophcrack Erfolg, so kann das Passwort nicht viel taugen. Das eine oder andere Sonderzeichen wäre dann sicherlich nicht verkehrt.
Erschwingliche PCs bieten heute immense Rechenleistung und Ophcrack zeigt mit den Rainbow-Tables ein grundsätzliches Problem von unsicheren Passwörtern. Es ist möglich, schwache Kennwörter rasch zu entschlüsseln, wenn der Hash-Wert oder sogar nur Teile davon vorliegen. Das Problem besteht nicht nur bei Windows, zumal auch Online-Passwörter einem Angriff über Rainbow-Tables ausgesetzt sein können, wie der Diebstahl der Passwort-Hashes von LinkedIn und Last.fm im Juni 2012 zeigte .
Blackbuntu 0.3
Der Name ist nicht willkürlich gewählt - auch in Blackbuntu steckt Ubuntu. Im vorliegenden Blackbuntu 0.3 ist dies Ubuntu in der Version 10.10. Dies ist zwar nicht mehr ganz taufrisch, taugt aber als Live-System allemal, zumal hier keine gewöhnlichen Anwendungen im Vordergrund stehen, sondern Sicherheitstools. Diese sind im Live-System in enormer Anzahl vorhanden, das Motto hier lautet „Viel hilft viel“. Damit ist Blackbuntu auch das umfangreichste Live-System in dieser Auswahl und bringt stolze 3,6 GB auf die Scheibe. Die Entwickler sind ein lose verknüpftes, internationales Team von Ubuntu-Fans und Sicherheitsexperten, die Tools aus verschiedenen anderen Sicherheits-Distributionen anpassen und kombinieren.
Düsterer Desktop
Wie nicht anders zu erwarten, präsentiert sich der Desktop von Blackbuntu düster und in einer szenetypischen Optik. Der Desktop besteht aus einem klassischen Gnome 2.32 und wirkt aufgeräumt. Alle Programme für Sicherheits-Checks und Analysen sind unter „Pentest“ untergebracht. Hier klappen sich zahlreiche Unterkategorien auf, die wiederum Unterkategorien enthalten. Und es wird die schiere Masse an vorinstallierten Programmen sichtbar: Wer sich einen Überblick verschaffen will, benötigt dazu reichlich Geduld.
Nach dem Start ist erst mal ein englisches Tastaturlayout in der US-Variante aktiv und kann mit einigen Klicks umgeschaltet werden. Die Einstellungen finden sich, wie bei Gnome üblich, unter „System -> Preferences -> Keyboard -> Layouts“. Allerdings müssen Sie hier zuerst noch auf „Reset to defaults“ klicken und können dann erst eine deutsche Tastenbelegung mit „Add“ hinzufügen. Einfacher ist dagegen die Verwaltung von Netzwerk-Verbindungen und WLAN: Dies übernimmt der „Network Manager“, dessen Symbol rechts oben im Systray/Infobereich sitzt.
Der schwarze Riese
Die Anzahl der Tools dürfte für Einsteiger etwas erdrückend sein. Es dauert allein schon eine Weile, alle Programme in den Menüs durchzugehen. Allerdings haben sich die Entwickler die Mühe gemacht, eine Liste der Programme auf der Projektwebseite zu veröffentlichen. Anders als bei den restlichen Live-Systemen sind zudem alle üblichen Anwendungen eines Ubuntu-Systems vorhanden. Als Office-Programm ist beispielsweise das komplette Libre Office enthalten. Das kostet natürlich Platz, was bei einer Live-DVD allerdings kein Problem ist.
Als Anwendungsbeispiel werfen wir einen Blick auf den „Angry IP Scanner“, der das gesamte Netzwerk anhand eines definierbare Adressbereichs auf Netzwerteilnehmer überprüft. Sie starten das Programm über das Anwendungsmenü „Pentest -> Network Mapping -> Identify Live Host“. In der oberen Zeile geben Sie in den beiden Felder „IP-Range“ die gewünschte IP-Bereich an und klicken dann auf „Start“.
Ein weiteres nützliches Tool für WLANs ist der Gerix-wifi-cracker-ng, der sich unter „Pentests -> Radio Network Analysis -> 80211 -> Cracking“ befindet. Hier überprüfen Sie Ihr drahtloses Netzwerk auf unsichere WEP-Schlüssel oder wandeln das Live-System mit „Fake AP“ in einen Access Point um.
Installation auf Festplatte
Wo Ubuntu drauf steht, ist auch Ubuntu drin. Und so erstaunt es auch nicht, dass sich Blackbuntu wie ein gewöhnliches System von der Live-DVD auf der Festplatte einrichten lässt. Die Installation übernimmt auch hier wieder der bewährte Installer von Ubuntu. Fest eingerichtet benötigt Blackbuntu mindestens 10 GB Platz.
Fazit: Gerade noch aktuell
Die vergleichsweise niedrige Versionsnummer zeigt schon, dass Blackbuntu ein neues Projekt ist. Dank des soliden Unterbaus von Ubuntu ist das Live-System aber insgesamt ausgereift und lädt zum Experimentieren ein. Da die Dokumentation und Erklärungen hauptsächlich im englischsprachigen Forum zu finden sind und die Masse der Tools nahezu überwältigend ist, erscheint Blackbuntu eher geeignet für fortgeschrittene Anwender.
Die bisher eher unregelmäßige Erscheinungsweise lässt hoffen, dass die Entwickler weiterhin an Blackbuntu arbeiten. Denn das System ist recht vielversprechend, auch wenn der letzte Release zu diesem Zeitpunkt (Juli 2012) bereits circa 1,5 Jahre zurück liegt. Viele der üblichen Tools und Exploit veralten in diesem Zeitraum zwar noch nicht und deshalb ist Blackbuntu noch Teil dieser Vorstellung. Aber ein neueres Ubuntu als Grundlage wäre in Hinblick auf Kompatibilität und Hardware-Unterstützung sehr nützlich.
Download und Systemvoraussetzungen
Blackbuntu steht in zwei Geschmacksrichtungen bereit: Einmal mit Gnome 2.32 auf dem Desktop und einmal mit KDE4. Die Gnome-Version gibt es zudem in 32 Bit und 64 Bit. Blackbuntu macht sich in der aktuellen Version 0.3 rar. Momentan steht als direkter Download nur die 64-Bit-Version zur Verfügung (3,6 GB) und die Variante für 32-Bit als Torrent-Download. Der direkte Download-Link der 32-Bit-Version mit KDE führt momentan ins Leere. Damit besteht eine zeitaufwändig Hürde, an diese ISO-Datei überhaupt heran zu kommen. Die Entwickler gehen bei den Hardware-Voraussetzungen auf Nummer sicher und empfehlen mindesten 768 MB RAM, damit alle Programme ordentlich laufen, sowie eine CPU der Pentium-Klasse mit mindestens 1 GHz. Im Notfall funktioniert das Live-System jedoch auch mit weniger Leistung. Das ISO-Image kann auch mit Hilfe von Unetbootin auf einen USB-Stick übertragen werden.
BackBox 2.05
Aus Italien stammt das noch recht junge Projekt BackBox, das 2010 von Informatik-Studenten an der Universität Kalabrien ins Leben gerufen wurde. Inzwischen gibt mit der Entwicklergemeinde „Open Soluzioni“ eine ganze Web-Community, die das Projekt vorantreibt. In verhältnismäßig kurzer Zeit hat es BackBox zu einiger Bekanntheit gebracht.
Unter den hier vorgestellten Live-System ist BackBox mit knapp unter 1 GB Größe die kleinste Sicherheits-DVD. Die vorinstallierten Tools sind eher nach Aktualität ausgewählt und nicht nach dem Anspruch, ein möglichst lückenloses Angebot für alle erdenklichen Checks und Aufgaben zu offerieren. Damit bleibt das Live-System kompakt und übersichtlich - Einladend für Einsteiger, die erst mal mit leichter Kost anfangen möchten. Es bedeutet aber auch, dass fortgeschrittene Anwender eventuell etwas nachinstallieren möchten.
BackBox ist vollständig zu Ubuntu 11.04 kompatibel und zur Not lassen sich weitere Sicherheitstools auch aus den Quellen selbst kompilieren. Letzteres ist natürlich nur dann sinnvoll, wenn BackBox Linux mit dem mitgelieferten Installer permanent auf Festplatte oder in einer virtuellen Maschine installiert wurde.
Fast ein normales Ubuntu
Die neueste Version BackBox 2.05 basiert auf einem Ubuntu 11.04 in einer Variante mit einem schlanken XFCE-Desktop, der schick und übersichtlich gestaltet ist und niemanden überfordert. Die speziellen Sicherheitstools von Backbox sind hier im Anwendungsmenü im Punkt „Auditing“ untergebracht. Alle Programme sind in einzelne Kategorien sortiert, von „Information Gathering“ bis „Wireless Analysis“ . Die Netzwerk-Verbindung inklusive WLAN übernimmt der übliche „Network Manager“, den Sie über das Pfeil-Symbol im Infobereich rechts oben erreichen. Unter den hier vorgestellten Systemen ist BackBox ein Live-System, das einem normalen Linux-System am nächsten. So ist der Anwender nach dem Start nicht automatisch Root, sondern muss sich, wie bei Ubuntu und Co üblich, mit „sudo“ bei Bedarf root-Privilegien beschaffen.
Sicherheitstools: Klasse statt Masse
Obwohl das Live-System mit etwas unter einem Gigabyte Größe eher zu den kompakten Sicherheits-DVDs gehört sind genügend Programme vorinstalliert, um die meisten Ansprüche zu bedienen. Als Anwendungsbeispiel wählen wir Zenmap, ein Front-End für den ausgezeichneten Portscanner Nmap, den die meisten Live-Systeme mit an Bord haben. Zenmap ist eines der wenigen Programme mit grafischer Oberfläche. Sie finden das Programm im Anwendungsmenü unter „Auditing -> Information Gathering -> Network Analysis“. Nach dem Start geben Sie unter „Ziel“ die gewünschte IP-Adresse Ihres PCs im Netzwerk an und wählen im nebenstehenden Auswahlfeld einen „Intense Scan“. Mit „Scan“ starten Sie den Suchlauf und Zenmap präsentiert unten eine Reihe interessanter Ergebnisse zum überprüften PC - etwa Betriebssystem und offene Ports.
Ein weiteres Programm zur Demonstration von BackBox ist der WLAN-Cracker „Fern“, den Sie unter „Auditing -> Wireless Analysis -> Wireless Cracking“ finden. Auch dieses Tool bringt eine grafische Oberfläche und kann die Schlüssel/Passwort-Qualität von WPA/WPA2-Netzwerken testen. Auch hier gilt: Entdecken Sie mit diesem Tool eine Schwachstelle in Ihrem WLAN, dann sollten Sie diese umgehend beseitigen.
BackBox enthält sind aber auch ganz gewöhnliche Programme für die tägliche Arbeit und um Berichte zu den gefundenen Sicherheitslücken zu erstellen. Unter anderem sind auch Abiword und Gnumeric vorinstalliert. Als Browser kommt Firefox zum Einsatz, der praktischerweise gleich für das Anonymisierungsnetzwerk TOR vorkonfiguriert ist.
Installation auf Festplatte
Um BackBox nicht nur als Live-System zu verwenden, sondern fest in einer Partition zu installieren, gibt es auch hier den bewähren Ubuntu-Installer. Bei der Installation auf Festplatte benötigt BackBox mindestens 4,4 GB Platz. Der Nutzen einer Installation ist auch die Verwendung von Sicherheits-Tools für das Netzwerk aus einer virtuellen Maschine heraus. Mit dem Installer können Sie BackBox zudem als Gastsystem unter VMware und VirtualBox einrichten. Direkter Zugriff auf die Hardware steht damit zwar nicht zur Verfügung, die üblichen Netzwerksniffer für kabelgebundene Netzwerke und diverse Scanner funktionieren jedoch.
Fazit: Fast perfekt für Einsteiger
Während andere Live-Systeme versuchen, so viele Sicherheits-Tools wie möglich in das Live-System zu packen, bleibt BackBox recht übersichtlich und bietet eine vernünftige Auswahl bewährter Tools. Mit der deutschen Sprachunterstützung gleich zu Beginn über das Bootmenü ist BackBox somit das fast perfekte Live-System für Einsteiger. Fast - denn es bleiben ein paar Ecken und Kanten: So ist beispielsweise nicht immer ersichtlich, dass einige Sicherheitstools zuerst den Start von Diensten erfordern. So muss beispielsweise für die Verwendung von „Armitage“ als Front-End für Metasploit zunächst der Webserver Apache aus dem Menü „Services“ gestartet werden. Ein weiterer Kritikpunkt ist der etwas ältere Kernel (2.6.38), der den Start auf neuen Notebooks holprig gestaltet: Ohne die manuelle Änderung der Kernel-Parameter im Bootmenü bleibt der Bildschirm häufig dunkel. Abgesehen davon ist BackBox ein angenehm kompaktes Live-System für Sicherheits-Checks und hat nach nur 1,5 Jahren bereits viele Freunde gefunden. Ein Extra-Service für Anwender von Debian und Ubuntu ist das BackBox-Repository. Damit lassen sich zahlreiche Tools von BackBox auch unter jedem anderen Debian und Ubuntu Linux installieren.
Download und Voraussetzungen
Das Live-System ist als Download in 32 Bit und 64 Bit zu haben. Die Größe der ISO-Datei ist mit knapp unter 1 GB vergleichsweise schlank. Um einen PC per USB-Stick zu starten, lässt sich BackBox mit auf einen Stick übertragen. Bei den Anforderungen an die Hardware bleibt das Live-System dank seiner Abstammung bescheiden. Es genügen schon 256 MB Speicher und ein Prozessor der Pentium-Klasse mit 500 MHz. Für den Einsatz mehrerer Tools gleichzeitig und für den mitgebrachten Firefox ist natürlich mehr Speicher nötig. Mit dem Linux-Kernel 2.6.38 wird BackBox nicht auf allen modernen Notebooks sofort funktionieren, auch nicht im optionalen „Compatibility Mode“. Es hat sich bewährt, stattdessen manuell die Kernel-Parameter „acpi=off noacpi“ an den gewünschten Eintrag im Bootmenü anzufügen.
DEFT
Hinter der Abkürzung DEFT steht ein Live-System, das an der Universität Bologna entwickelt wurde, um Forensikern schnell und unkompliziert ein geeignetes Werkzeug zur Analyse von PCs und Festplatten in die Hand zu geben. Der Name DEFT ist eine Abkürzung für „Digital Evidence & Forensic Toolkit“. Seit der ersten Veröffentlichung 2007 hat sich in der der Entwicklung des Programms jedoch einiges getan und heute ist DEFT ein universelles Werkzeug, das auch eine ansehnliche Sammlung von Netzwerk-Tools mitbringt. Unter anderem wird das System von der italienischen „Direzione Investigativa Antimafia“ zur Beweissicherungen genutzt. Die Grundlage des Live-Systems ist ebenfalls Ubuntu, in der vorliegenden Version von DEFT 7.1 ein Ubuntu 11.10. Dies sorgt für einen problemlosen Start auf nahezu allen PCs und Notebooks dank hervorragender Hardware-Unterstützung.
Start und Startoptionen
Beim Start des Systems lohnt es sich, einen Moment auf dem Startbildschirm zu bleiben, um dort mit der F3-Taste die Auswahl des gewünschten Tastaturlayouts zu bestätigen. DEFT kommt dann auch umgehend mit der deutschen Tastenbelegung klar. Die Sprache des Systems ist dagegen wahlweise Englisch, Spanisch oder Italienisch. Nach dem Start bringt DEFT den Anwender bis zur Kommandozeile. Der automatisch angemeldete Benutzer ist von Haus aus Root und eine Passwort-Eingabe ist nicht nötig. Mit „deft-gui“ geht es zur grafischen Benutzeroberfläche.
Schneller, schlanker Desktop
Die derzeit aktuelle Version von DEFT basiert auf dem inoffiziellen Ubuntu-Abkömmling Lubuntu 10.10. Allerdings geht DEFT beim Desktop eigene Wege und präsentiert hier den unkomplizierten und schlanken LXDE in ansprechender Optik. Das Symbol links unten klickt nach Windows-Manier ein Anwendungsmenü auf. Alle Tools zur Analyse sind im Untermenü „DEFT“ untergebracht.
Daneben gibt es noch mehr Nützliches: So ist beispielsweise der Browser Google Chrome in Version 18 ebenfalls mit an Bord. Zum anonymen Surfen gibt einen Client für das TOR-Netzwerk. Dieser befindet sich im Anwendungsmenü unter „DEFT -> OSINTtools -> OSINT Identity Protection Tools“.
Datenrettung mit Photorec
Im Mittelpunkt stehen bei DEFT die Tools zur Datenanalyse und Wiederherstellung. Ein hervorragendes forensisches Werkzeug ist das Programm Photorec. Das Programm findet sich im Anwendungsmenü unter „DEFT -> Carving tools“- es arbeitet im Textmodus. Um mit Photorec gelöschte Dateien zu retten, gehen Sie in der Übersicht der gefundenen Laufwerke mit den Pfeiltasten auf das gewünschte Laufwerk und drücken Return. Als “Partition Table Type” wählen Sie “Intel” und dann die eigentliche Partition auf dem Laufwerk. Nach der Auswahl des Dateisystems können Sie den freien Platz (“Free”) oder das gesamte Laufwerk (“Whole”) nach gelöschten Dateien untersuchen. Für die gefundenen Dateien und Datenreste gehen Sie dann noch im Dateibrowser auf das gewünschte Zielverzeichnis und drücken dann die C-Taste, um die automatische Wiederherstellung zu starten. Je nach Größe des Datenträgers kann der Suchlauf einige Minuten dauern.
Installation
Da DEFT mit seinen Werkzeugen zur Netzwerkanalyse, dem TOR-Browser und den diversen Erweiterungen für OSINT (Open Source Intelligence) umfangreicher ist als ein reines Forensiker-System, bietet sich auch eine Installation auf Festplatte an. Alternativ dazu können Sie DEFT natürlich auch in einer virtuellen Maschine als Gastsystem von VMware oder VirtualBox installieren. Da DEFT auf Ubuntu beruht, ist auch der Installer jener von Ubuntu, der bekanntlich recht bequem und einfach gehalten ist. Auf der Platte benötigt DEFT 7.1 rund 7.7 GB Platz.
Fazit: Aufgeräumtes Live-System für Forensiker
DEFT merkt man seine Herkunft sofort an - das Live-System gibt sich seriös und kommt ohne die düstere Hacker-Ästhetik aus, mit der sich andere Linux-Systeme dieser Kategorie schmücken. Mit dem übersichtlichen Desktop kommen auch die weniger Linux-affinen Anwender sofort an die wichtigen Anwendungen heran. Zwar ist der hauptsächliche Einsatzzweck von DEFT die Datenrettung, Festplattenanalyse und Forensik, aber das Live-System kann durchaus noch mehr: Wer etwas tiefer gräbt und die angebotenen Tools systematisch durchgeht, findet hier auch echte Perlen, die über Forensik hinaus gehen: So ist etwa auch der Cracker THC-Hydra einsatzbereit vorhanden. Von allen hier beschriebenen Live-Systemen wie BackTrack, Blackbuntu und BackBox ist DEFT noch am ehesten für Linux-Einsteiger geeignet.
Download und Voraussetzungen
DEFT gibt es als Live-System in einer 32-Bit-Version zum Download in Form einer ISO-Datei von 2,4 GB Größe. Darüber hinaus bieten die Entwickler auf den Download-Servern eine fertige „Virtual Appliance“ an, um DEFT als Virtuelle Maschine unter VMware laufen zu lassen. Dieser Download ist in vier 7-ZIP-Archive (.7z) aufgeteilt und umfasst rund 8,8 GB. Die Hardwareanforderungen sind aufgrund des ressourcensparenden Desktops gering: Es genügen bereits 512 MB Speicher und eine CPU der Pentium-Klasse unter 1 GHz. Auf neuer Hardware funktioniert DEFT 7.1 nicht immer von Anfang an problemlos. Es empfiehlt sich in diesem Fall, in den Kernel-Optionen beim Boot manuell „acpi=off“ einzutragen. Bei Bedarf kann das ISO-Image auch auf einen USB-Stick übertragen werden. Das optimale Programm dazu ist: Unetbootin.
Dieser Artikel stammt von unserer Schwersterpublikation PC-Welt. (kv)