AA_PO-20764-Fotolia-Saniphoto_Fotolia-Hund.jpg

© Saniphoto, Fotolia

Spürhund

IT-Security-Distribution DEFT

22.05.2012
DEFT vereint spezielle Programme für Forensiker mit einigen zusätzlichen Schmankerln in einer Distribution und macht damit die mühsame Einzelinstallation der zahlreichen Tools überflüssig.

Immer raffiniertere Schadsoftware gepaart mit dem Leichtsinn und der Unwissenheit vieler Anwender sowie den konzeptionellen Schwächen einiger Betriebssysteme machen professionellen wie auch Heim-Administratoren das Leben schwer. Nach dem Motto "Vorbeugen ist besser als Heilen" empfiehlt es sich, jede IT-Infrastruktur in Sachen Sicherheit regelmäßig auf Herz und Nieren zu testen, um so das Risiko von Einbrüchen und Schäden zu minimieren.

Als äußerst nützliches Tool, das jeder Admin in seinem Repertoire haben sollte, trägt DEFT-Linux [1] dazu bei, unerwünschte Besucher von den eigenen Servern und Clients fernzuhalten: Es deckt Sicherheitslecks schnell auf, sodass man sie rechtzeitig abdichten kann. Das als Live-System mit Installationsmöglichkeit konzipierte DEFT – das Kürzel steht für Digital Evidence and Forensics Toolkit – gibt Ihnen dazu eine äußerst umfangreiche Sammlung an Werkzeugen aus verschiedenen Welten an die Hand, sodass Sie auch beim Einsatz neuester Hard- und Software bestens gewappnet sind.

DEFT basiert auf Lubuntu und nutzt LXDE als Desktop-Umgebung, was auch im Live-Betrieb ein Arbeiten mit schnellen Reaktionszeiten bei moderater Hardware-Beanspruchung ermöglicht. Optische Gimmicks suchen Sie dagegen vergebens. Das Startmenü des Grub-Bootmanagers offeriert als Optionen neben dem Live-Betrieb auch die Möglichkeit, das System komplett ins RAM zu laden, um auf älteren Rechnern eine bessere Leistung zu erhalten, sowie DEFT auf der Festplatte einzurichten. Unter der Haube arbeitet ein moderner 3.0.0-Kernel, und dank der Ubuntu-Basis mit ihrem schier unerschöpflichen Software-Fundus installieren Sie Programme aller Art unkompliziert nach.

Nach dem Start im Live-Modus präsentiert sich die Distribution zunächst mit einem spartanisch anmutenden Textbildschirm. Von dort aus öffnen Sie bis zu sechs Shell-Sitzungen ([Alt]+[F1]..[F6]) jeweils mit Root-Rechten. Das ermöglicht den reibungslosen Betrieb von DEFT auch auf älteren Rechnern, deren Grafikkarte der X-Server nicht unterstützt. Möchten Sie den grafischen Desktop starten, dann geben Sie am Prompt den Befehl deft-gui ein.

Ein erster Blick in die Menüs der Sicherheitsdistribution zeigt eine sorgfältige Anpassung des Systems an den Einsatzzweck: Neben den meisten gängigen Programmgruppen für universelle Arbeiten finden Sie im Menü DEFT eine stattliche Anzahl von Untermenüs, die neben vielen Linux-Programmen auch Windows-Software enthalten. Letztere bewegt Wine zur problemlosen Kooperation mit Linux (Abbildung 1).

Abbildung 1: Auch die grafische Oberfläche von DEFT bietet eine interessante Programmauswahl.

Forensisches

Professionelles Systemmanagement und forensische Arbeiten lassen sich in vielen Fällen nur über die Kommandozeile schnell und effizient bewältigen. Viele der in DEFT integrierten Programme öffnen daher im grafischen Modus ein Terminal und erwarten die Eingabe entsprechender Befehle und Parameter. So können Sie aus dem Live-Modus im Terminal oder der Shell-Sitzung sofort Partitionsangaben die Massenspeicher des untersuchten Rechners abrufen (fdisk) und bei Bedarf zu prüfende oder reparierende Laufwerke zugänglich machen (mount). Auch mit Disk-Images und Hash-Algorithmen lässt sich auf der Kommandozeile wesentlich effizienter arbeiten als über die wenigen verfügbaren grafischen Tools.

Zu den alltäglichen Aufgaben von Forensikern, die sich oftmals mit der Beweismittelsicherung in Fällen von Computerkriminalität beschäftigen, zählt die Untersuchung von verdächtigen Datenträgern, Partitionen und Dateien. Dazu liefert DEFT ein Spektrum einschlägig bekannter Werkzeuge. Die Beweissicherung erfordert, zunächst verdächtige Images oder Partitionen auf einen unbelasteten Datenträger zu kopieren, da die Arbeit mit Original-Datenpartitionen Veränderungen hervorrufen und so Beweismittel zerstören könnte, sodass sie vor Gericht in keinem Fall standhielte. DEFT ermöglicht die komplette Kopie einer solchen Partition oder eines Images mithilfe von Linux-Bordmitteln wie dem Befehl dd. Haben Sie die Kopie auf einem neutralen Datenträger angelegt, können Sie diesen mounten und auf die Daten in jedem gewünschtem Modus zugreifen.

Um gewisse Schadprogramme auf solchen Datenträgern ausfindig zu machen, kommen verschiedene Applikationen zum Einsatz. Besonders hinterhältig sind Rootkits, die sich unbemerkt in das System einschmuggeln und die Kontrolle von außen auf den befallenen Rechner ermöglichen. DEFT bringt zum Lokalisieren solcher Rootkits mit Rkhunter und Chkrootkit sehr leistungsfähige Tools mit [2]. Als Virenscanner fungiert ClamTK, den Sie allerdings nur über den grafischen Desktop erreichen (DEFT | Antimalware tools | Virus Scanner). Das Python-Skript PDF Parser fahndet in PDF-Dateien nach Schadcode.

Suchen Sie nach gelöschten Dateien und Partitionen oder wollen Sie beschädigte Dateien rekonstruieren, so liefert DEFT dazu mit Test Disk sowie PhotoRec zwei leistungsfähige Kommandozeilenprogramme, die Verborgenes ans Tageslicht befördern [3]. Mit Foremost sowie Scalpel erhalten Sie zudem zwei bekannte Programme, die beschädigte Dateien in vielen Fällen wieder rekonstruieren.

Spezialfälle

Auch die inzwischen sehr beliebten Smartphones knöpft sich DEFT vor. Dazu hat es die Programme Bbwhatsapp, Ipddump, IPhone Analyzer und iPhone Backup Analyzer an Bord, die eine genaue Untersuchung der Smartphone-Daten ermöglichen.

Macht der Netzwerkzugang Probleme oder vermuten Sie einen von Schadsoftware verursachten Datentransfer, steht das Mitschneiden und Analysieren der im Netz ein- und ausgehenden Datenpakete an. Dazu bietet DEFT neben dem klassischen Sniffer Wireshark [4] auch das weniger bekannte Xplico, das insbesondere auch E-Mails und HTTP-Inhalte extrahieren kann. Mit Ettercap steht zudem eine Suite zur Sicherheitsanalyse bereit, das über Man-In-The-Middle-Angriffe dabei hilft, Lücken im Netz aufzudecken.

Manchmal scheitert der Zugang zu einem Rechner bereits an einem Passwortschutz. Neben sogenannten Supervisor-Passwörtern, die den Bootvorgang und den Festplattenzugriff absichern, gibt es auch noch CMOS-Passwortschutzmechanismen, die den Zugriff auf die Hardware erschweren. Daher bietet DEFT auch unterschiedliche Software zum Auslesen und Rekonstruieren vergebener Passwörter an. Zu den vorhandenen Tools gehören bekannte Programme wie der Login-Cracker Hydra, der Passwortanalysator und Cracker John the Ripper sowie Programme zum Ermitteln von Datei- und Archivpasswörtern, wie Pdfcrack oder Fcrackzip. Mit Cmospwd ermitteln Sie zudem ein für den Zugriff auf das Rechner-BIOS vergebenes Passwort.

Mit Outguess [5] liefert DEFT zusätzlich ein steganografisches Tool, mit dem Sie in PNM- und JPEG-Bilddateien Informationen verstecken. Dazu bettet es in eine beliebige Bilddatei beispielsweise einen Text ein, indem es Farbwerte verändert. Insbesondere in Bilddateien mit 24 oder 32 Bit Farbtiefe ist das menschliche Auge nicht mehr in der Lage, einzelne lediglich um ein Bit voneinander abweichende Farbwerte zu erkennen. Diesen Umstand macht sich die Software zunutze und manipuliert die einzelnen Pixelwerte so, dass der Betrachter Original und "Fälschung" nicht mehr unterscheiden kann [6].

DEFT beherbergt darüberhinaus eine stattliche Anzahl sogenannter OSINT-Applikationen. Diese Programme fallen in die Kategorie der Open Source Intelligence, die Methoden der nachrichtendienstlichen Informationsbeschaffung umfasst. In diese Riege zählen Programme oder auch Addons für Webbrowser, die ein anonymes Surfen im Internet gestatten. DEFT trägt zusätzlich einige Online-Dienste zusammen, die das anonyme Surfen ohne einen präparierten Browser bieten. Auch eine gegen Online-Schnüffelei durch viele Extensions gehärtete Variante von Googles Webbrowser Chrome befindet sich im Software-Fundus von DEFT (Abbildung 2).

Abbildung 2: Abgehärtet gegen Schnüffler präsentiert sich Chrome in DEFT.

Daneben finden sich in DEFT mehrere Dutzend Programme für die Beschaffung von unterschiedlichsten Informationen aus dem Internet, das sogenannte Data Mining. Diese Tools dienen sowohl dem Tracking als auch dem Gewinnen von Informationen über bestimmte Personen aus verschiedenen öffentlich zugänglichen Quellen, wie etwa sozialen Netzwerken. Dadurch lassen sich zunehmend detaillierte Profile bis hin zur geografischen Lokalisierung einer Person zusammenstellen.

Grafische Tools

Neben den zahlreichen oben erwähnten Anwendungen für die Kommandozeile bietet DEFT auch etliche Programme für die grafische Oberfläche. Damit Sie sowohl CLI- als auch GUI-Software simultan nutzen können, haben die Entwickler alle angebotenen Tools in den Menüs des LXDE-Desktops untergebracht. Sofern Sie dort ein Programm aufrufen, das die Kommandozeile voraussetzt, startet ein Terminal gestartet, in dem Sie die Software ausführen. In den einzelnen Untermenüs eingruppiert finden sich jedoch auch jene Programme, die eine komplett grafische Bedienoberfläche bieten.

Neben einigen System-Tools wie dem Mount-Manager und den üblichen Standard-Programmen unter Linux – wie LibreOffice, Firefox oder Chrome – finden Sie hier auch das Vidalia Control Panel zur Installation eines anonymen Internet-Zugangs, den Profiler Maltego oder BitPim, ein grafisches Werkzeug zum Auslesen von Smartphone-Daten. Da einige der Programme auf Wine oder Java aufsetzen, sind beide Laufzeitumgebungen bereits eingerichtet (Abbildung 3).

Abbildung 3: Durch BitPim hat Ihr Smartphone keine Geheimnisse mehr.

Insbesondere Forensiker müssen ihre einzelnen Arbeitsschritte genau dokumentieren, um Sachverhalte im Bedarfsfall auch gerichtsfest darlegen zu können. DEFT bietet daher im Menü DEFT | Reporting tools mehr als ein halbes Dutzend Anwendungen, die der Visualisierung von Arbeitsschritten und Informationen dienen. Darunter befinden sich neben Screenshot- und Aufzeichnungsprogrammen für Desktop-Aktivitäten auch Mindmapper, die einzelne Arbeitsabläufe grafisch darstellen. Schließlich bringt DEFT auch einen Texteditor sowie einen elektronischen Notizblock mit, sodass keinerlei Informationen verloren gehen können.

Fazit

DEFT präsentiert sich das "Schweizer Taschenmesser" sowohl für ambitionierte Administratoren als auch für Forensiker, die Daten und Datenträger professionell bearbeiten müssen. Dank Lubuntu-Unterbau eignet sich die Distribution ausgezeichnet für den Einsatz auch auf älteren Maschinen, wobei im Test selbst auf acht Jahre alten Systemen die in DEFT implementierten Java-Programme erstaunlich flott zu Werke gingen. Auch die Stabilität und die optische Konsistenz der einzelnen Applikationen geben keinerlei Anlass zur Kritik. Die Fülle der (meist kommandozeilenbasierten) Programme lässt kaum noch Wünsche offen, wobei DEFT dem Nutzer allerdings deutlich mehr als nur Grundlagenwissen abverlangt: Einige der Programme können, sofern man sie nicht sachgemäß anwendet, reichlich Schaden anrichten.

Infos

[1] DEFT-Linux: http://www.deftlinux.net

[2] Rootkits aufspüren: Erik Bärwaldt, "Alarmstufe Root", LU 03/2009, S. 76, http://www.linux-community.de/17880

[3] Testdisk und PhotoRec: Erik Bärwaldt, "Spurensuche", LU 07/2010, S. 68, http://www.linux-community.de/21144

[4] Wireshark: Erik Bärwaldt, "Effektiver Räuber", LU 02/2009, S. 70, http://www.linux-community.de/17598

[5] Outguess: Erik Bärwaldt, "Gut versteckt!", LU 11/2007, S. 94, http://www.linux-community.de/14367

[6] Steganografie brechen: Erik Bärwaldt, "Gut versteckt?", LU 04/2008, S. 80, http://www.linux-community.de/15241

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare