Nur wer die Bedrohung kennt, kann seinen PC vor Angriffen schützen. Screamix hilft, die Schwachstellen zu finden.

Die große Mehrheit aller Angriffe über das Internet gehen nicht von versierten Hackern aus, sondern von so genannten Script-Kiddies, die dazu einfach zu bedienende Angriffstools verwenden. Die nutzen in aller Regel bekannte Schwachstellen aus, die der Anwender auf seinem Rechner noch nicht behoben hat.

Um solche Schwachstellen in Ihrem System aufzudecken, bevor es andere, verwenden Sie am besten die selben Techniken und Werkzeuge wie die potenziellen Angreifer. Mit diesem Ziel schickt Francesco Soccolini seine Distribution Screamix 1.0 [1] ins Rennen. Sie basiert auf dem bewährten und stabilen Ubuntu 6.06 LTS mit Gnome als Desktop-Umgebung und verfügt ähnlich wie BOSS [2] und Backtrack [3] über eine Vielzahl von Programmen zum Aufspüren von Sicherheitslücken.

Booten und einrichten

Um Screamix zu starten, legen Sie die LinuxUser-DVD ein und booten Ihren Rechner. Achten Sie dabei, dass das DVD-Laufwerk in der Bootreihenfolge im BIOS an erster Stelle steht. Wählen Sie aus dem Boot-Menü Screamix 1.0 – live und drücken Sie die Eingabetaste. Nach Abschluss des Bootvorgangs erscheint zunächst ein etwas gewöhnungbedürftiges Desktop-Theme, das Sie über System | Präferenzen | Thema Ihrem persönlichen Geschmack anpassen. Verwendet Ihr PC eine nicht von Linux unterstützte WLAN-Karte, binden Sie via Ndiswrapper (System | Verwaltung | Windows Wireless Driver) einen Windows-Treiber in das System ein. Um Screamix auf dem Rechner zu installieren, genügt es auf das Installieren-Icon auf dem Desktop zu klicken. Die benötigten Systemressourcen entsprechen denen einer Standard-Ubuntu-Distribution.

Feature-Count

Die Paketliste von Screamix liest sich wie das Who is who der Sicherheitsprogramme zur passiven Überwachung des Netzes sowie zur aktiven Analyse von Schwachstellen. Zu den wichtigsten davon zählen zweifellos der Security-Scanner Nessus [4] und der Penetration-Tester Metasploit Framework 3.0 [5]. Metasploit erlaubt potenzielle Schwachstellen von Rechnern aufzuspüren und mittels selbst definierter Payloads zu testen. Zum Überwachen drahtloser Netzwerke bringt die Distribution unter anderem Airsnort, Prismstumbler und Kismet mit. Eine Übersicht der wichtigsten sicherheitsrelevanten Anwendungen finden Sie in der Tabelle “Screamix: Security-Tools”.

Nessus

Der Security Scanner Nessus stellt ein außergewöhnlich umfangreiches Werkzeug zur Analyse von Schwachstellen auf Rechnern im Netzwerk dar. Er verwendet neben üblichen Techniken wie Portscans eine Vielzahl von Exploits, um das System zu prüfen. Da kontinuierlich neue Schachstellen auftauchen, bindet das Programm diese als Plugins über eine entsprechende Schnittstelle ein. Als Basis bringt Screamix die meist veralteten GPL-Plugins mit. Um aktuelle Versionen zu erhalten, gilt es, sich auf der Webseite von Nessus [6] zu registrieren. Nach der Anmeldung, bei der Sie ausschließlich Ihre Mail-Adresse angeben müssen, erhalten Sie per E-Mail einen Freischaltcode, den Sie in der Konsole von Screamix wie folgt eingeben:

$ sudo nessus-fetch --register Freischaltcode

Danach lädt das Programm die Erweiterungen herunter. Allerdings sind diese sieben Tage alt. Tagesaktuelle Versionen gibt es nur gegen eine Gebühr von 1200 US-Dollar pro Jahr und Scanner.

Vor dem Betrieb von Nessus gilt es, einige vorbereitende Schritte auszuführen. Geben Sie in der Konsole sudo nessus-adduser ein, um einen Benutzer einzurichten, der den Scanner bedienen darf. In der ersten Abfrage wählen Sie den gewünschten Benutzernamen, danach die Authentifizierungsmethode Passwort (pass) oder Zertifikat (cert). Verwenden Sie Passwort, reicht es, den vorgegebenen Eintrag mit [Eingabe] zu übernehmen. Danach geben Sie zwei Mal das gewünschte Passwort an. In der abschließenden Abfrage erlaubt Nessus, dem Benutzer bestimmte Privilegien zuordnen. Hier reicht es, die Eingabe mit [Strg]+[D] zu beenden. Der Benutzer erhält damit alle Scan-Rechte.

Danach starten Sie den Scanner mit der Eingabe von /etc/init.d/nessusd start. Nun öffnen Sie über Internet | Nessus im Gnome-Menü das grafische Frontend des Scanners. Im ersten Reiter (Nessusd Hosts) tragen Sie den eben angelegten Benutzernamen und das zugehörige Passwort ein und klicken auf Log in, um sich am Server anzumelden. In den anderen Reitern stellen Sie danach die Scan-Optionen und Plugins (Abbildung 1) ein, die Nessus zur Schwachstellenanalyse verwendet.

Abbildung 1: Die Plugin-Schnittstelle des Security-Scanner Nessus erlaubt eine genaue Definition der Exploits, die auf das Ziel angewendet werden.

Metasploit-Framework

Das Metasploit-Framework gehört zwischenzeitlich zum festen Repertoire sowohl der meisten Administratoren als auch Script-Kiddies. Anders als Nessus konzentriert es sich weniger auf das Aufdecken von Schwachstellen als vielmehr darauf, sie tatsächlich auszunutzen. Zwar enthält das Framework lediglich 176 Exploits, jedoch lassen sich diese sowohl mit 104 vordefinierten als auch mit eigenen Payloads versehen.

Screamix enthält sowohl die Konsolen-Variante von Metasploit, die Sie mit sudo msfconsole aufrufen, als auch eine webbasierte Oberfläche. Diese starten Sie mit dem Konsolenaufruf sudo msfweb. Im Anschluss öffnen Sie die grafische Oberfläche im Webbrowser durch Eingabe von http://127.0.0.1:55555 (Abbildung 2).

Abbildung 2: Das Metasploit-Framework erlaubt das Kombinieren von Exploits mit verschiedenen Payloads.

Fazit

Mit Screamix 1.0 bekommen Sie eine umfassende Programmsammlung an die Hand, mit deren Hilfe Sie die Sicherheit Ihres Rechners und Netzes prüfen sowie Schwachstellen aufdecken können. Der einziger Kritikpunkt an dieser Distribution: Eine Dokumentation ist praktisch nicht vorhanden.