AA_PO-20764-Fotolia-Saniphoto_Fotolia-Hund.jpg

© Saniphoto, Fotolia

Spürhund

IT-Security-Distribution DEFT

22.05.2012
DEFT vereint spezielle Programme für Forensiker mit einigen zusätzlichen Schmankerln in einer Distribution und macht damit die mühsame Einzelinstallation der zahlreichen Tools überflüssig.

Immer raffiniertere Schadsoftware gepaart mit dem Leichtsinn und der Unwissenheit vieler Anwender sowie den konzeptionellen Schwächen einiger Betriebssysteme machen professionellen wie auch Heim-Administratoren das Leben schwer. Nach dem Motto "Vorbeugen ist besser als Heilen" empfiehlt es sich, jede IT-Infrastruktur in Sachen Sicherheit regelmäßig auf Herz und Nieren zu testen, um so das Risiko von Einbrüchen und Schäden zu minimieren.

Als äußerst nützliches Tool, das jeder Admin in seinem Repertoire haben sollte, trägt DEFT-Linux [1] dazu bei, unerwünschte Besucher von den eigenen Servern und Clients fernzuhalten: Es deckt Sicherheitslecks schnell auf, sodass man sie rechtzeitig abdichten kann. Das als Live-System mit Installationsmöglichkeit konzipierte DEFT – das Kürzel steht für Digital Evidence and Forensics Toolkit – gibt Ihnen dazu eine äußerst umfangreiche Sammlung an Werkzeugen aus verschiedenen Welten an die Hand, sodass Sie auch beim Einsatz neuester Hard- und Software bestens gewappnet sind.

DEFT basiert auf Lubuntu und nutzt LXDE als Desktop-Umgebung, was auch im Live-Betrieb ein Arbeiten mit schnellen Reaktionszeiten bei moderater Hardware-Beanspruchung ermöglicht. Optische Gimmicks suchen Sie dagegen vergebens. Das Startmenü des Grub-Bootmanagers offeriert als Optionen neben dem Live-Betrieb auch die Möglichkeit, das System komplett ins RAM zu laden, um auf älteren Rechnern eine bessere Leistung zu erhalten, sowie DEFT auf der Festplatte einzurichten. Unter der Haube arbeitet ein moderner 3.0.0-Kernel, und dank der Ubuntu-Basis mit ihrem schier unerschöpflichen Software-Fundus installieren Sie Programme aller Art unkompliziert nach.

Nach dem Start im Live-Modus präsentiert sich die Distribution zunächst mit einem spartanisch anmutenden Textbildschirm. Von dort aus öffnen Sie bis zu sechs Shell-Sitzungen ([Alt]+[F1]..[F6]) jeweils mit Root-Rechten. Das ermöglicht den reibungslosen Betrieb von DEFT auch auf älteren Rechnern, deren Grafikkarte der X-Server nicht unterstützt. Möchten Sie den grafischen Desktop starten, dann geben Sie am Prompt den Befehl deft-gui ein.

Ein erster Blick in die Menüs der Sicherheitsdistribution zeigt eine sorgfältige Anpassung des Systems an den Einsatzzweck: Neben den meisten gängigen Programmgruppen für universelle Arbeiten finden Sie im Menü DEFT eine stattliche Anzahl von Untermenüs, die neben vielen Linux-Programmen auch Windows-Software enthalten. Letztere bewegt Wine zur problemlosen Kooperation mit Linux (Abbildung 1).

Abbildung 1: Auch die grafische Oberfläche von DEFT bietet eine interessante Programmauswahl.

Forensisches

Professionelles Systemmanagement und forensische Arbeiten lassen sich in vielen Fällen nur über die Kommandozeile schnell und effizient bewältigen. Viele der in DEFT integrierten Programme öffnen daher im grafischen Modus ein Terminal und erwarten die Eingabe entsprechender Befehle und Parameter. So können Sie aus dem Live-Modus im Terminal oder der Shell-Sitzung sofort Partitionsangaben die Massenspeicher des untersuchten Rechners abrufen (fdisk) und bei Bedarf zu prüfende oder reparierende Laufwerke zugänglich machen (mount). Auch mit Disk-Images und Hash-Algorithmen lässt sich auf der Kommandozeile wesentlich effizienter arbeiten als über die wenigen verfügbaren grafischen Tools.

Zu den alltäglichen Aufgaben von Forensikern, die sich oftmals mit der Beweismittelsicherung in Fällen von Computerkriminalität beschäftigen, zählt die Untersuchung von verdächtigen Datenträgern, Partitionen und Dateien. Dazu liefert DEFT ein Spektrum einschlägig bekannter Werkzeuge. Die Beweissicherung erfordert, zunächst verdächtige Images oder Partitionen auf einen unbelasteten Datenträger zu kopieren, da die Arbeit mit Original-Datenpartitionen Veränderungen hervorrufen und so Beweismittel zerstören könnte, sodass sie vor Gericht in keinem Fall standhielte. DEFT ermöglicht die komplette Kopie einer solchen Partition oder eines Images mithilfe von Linux-Bordmitteln wie dem Befehl dd. Haben Sie die Kopie auf einem neutralen Datenträger angelegt, können Sie diesen mounten und auf die Daten in jedem gewünschtem Modus zugreifen.

Um gewisse Schadprogramme auf solchen Datenträgern ausfindig zu machen, kommen verschiedene Applikationen zum Einsatz. Besonders hinterhältig sind Rootkits, die sich unbemerkt in das System einschmuggeln und die Kontrolle von außen auf den befallenen Rechner ermöglichen. DEFT bringt zum Lokalisieren solcher Rootkits mit Rkhunter und Chkrootkit sehr leistungsfähige Tools mit [2]. Als Virenscanner fungiert ClamTK, den Sie allerdings nur über den grafischen Desktop erreichen (DEFT | Antimalware tools | Virus Scanner). Das Python-Skript PDF Parser fahndet in PDF-Dateien nach Schadcode.

Suchen Sie nach gelöschten Dateien und Partitionen oder wollen Sie beschädigte Dateien rekonstruieren, so liefert DEFT dazu mit Test Disk sowie PhotoRec zwei leistungsfähige Kommandozeilenprogramme, die Verborgenes ans Tageslicht befördern [3]. Mit Foremost sowie Scalpel erhalten Sie zudem zwei bekannte Programme, die beschädigte Dateien in vielen Fällen wieder rekonstruieren.

Spezialfälle

Auch die inzwischen sehr beliebten Smartphones knöpft sich DEFT vor. Dazu hat es die Programme Bbwhatsapp, Ipddump, IPhone Analyzer und iPhone Backup Analyzer an Bord, die eine genaue Untersuchung der Smartphone-Daten ermöglichen.

Macht der Netzwerkzugang Probleme oder vermuten Sie einen von Schadsoftware verursachten Datentransfer, steht das Mitschneiden und Analysieren der im Netz ein- und ausgehenden Datenpakete an. Dazu bietet DEFT neben dem klassischen Sniffer Wireshark [4] auch das weniger bekannte Xplico, das insbesondere auch E-Mails und HTTP-Inhalte extrahieren kann. Mit Ettercap steht zudem eine Suite zur Sicherheitsanalyse bereit, das über Man-In-The-Middle-Angriffe dabei hilft, Lücken im Netz aufzudecken.

Manchmal scheitert der Zugang zu einem Rechner bereits an einem Passwortschutz. Neben sogenannten Supervisor-Passwörtern, die den Bootvorgang und den Festplattenzugriff absichern, gibt es auch noch CMOS-Passwortschutzmechanismen, die den Zugriff auf die Hardware erschweren. Daher bietet DEFT auch unterschiedliche Software zum Auslesen und Rekonstruieren vergebener Passwörter an. Zu den vorhandenen Tools gehören bekannte Programme wie der Login-Cracker Hydra, der Passwortanalysator und Cracker John the Ripper sowie Programme zum Ermitteln von Datei- und Archivpasswörtern, wie Pdfcrack oder Fcrackzip. Mit Cmospwd ermitteln Sie zudem ein für den Zugriff auf das Rechner-BIOS vergebenes Passwort.

Mit Outguess [5] liefert DEFT zusätzlich ein steganografisches Tool, mit dem Sie in PNM- und JPEG-Bilddateien Informationen verstecken. Dazu bettet es in eine beliebige Bilddatei beispielsweise einen Text ein, indem es Farbwerte verändert. Insbesondere in Bilddateien mit 24 oder 32 Bit Farbtiefe ist das menschliche Auge nicht mehr in der Lage, einzelne lediglich um ein Bit voneinander abweichende Farbwerte zu erkennen. Diesen Umstand macht sich die Software zunutze und manipuliert die einzelnen Pixelwerte so, dass der Betrachter Original und "Fälschung" nicht mehr unterscheiden kann [6].

DEFT beherbergt darüberhinaus eine stattliche Anzahl sogenannter OSINT-Applikationen. Diese Programme fallen in die Kategorie der Open Source Intelligence, die Methoden der nachrichtendienstlichen Informationsbeschaffung umfasst. In diese Riege zählen Programme oder auch Addons für Webbrowser, die ein anonymes Surfen im Internet gestatten. DEFT trägt zusätzlich einige Online-Dienste zusammen, die das anonyme Surfen ohne einen präparierten Browser bieten. Auch eine gegen Online-Schnüffelei durch viele Extensions gehärtete Variante von Googles Webbrowser Chrome befindet sich im Software-Fundus von DEFT (Abbildung 2).

Abbildung 2: Abgehärtet gegen Schnüffler präsentiert sich Chrome in DEFT.

Daneben finden sich in DEFT mehrere Dutzend Programme für die Beschaffung von unterschiedlichsten Informationen aus dem Internet, das sogenannte Data Mining. Diese Tools dienen sowohl dem Tracking als auch dem Gewinnen von Informationen über bestimmte Personen aus verschiedenen öffentlich zugänglichen Quellen, wie etwa sozialen Netzwerken. Dadurch lassen sich zunehmend detaillierte Profile bis hin zur geografischen Lokalisierung einer Person zusammenstellen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

title_2014_09

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...