Möchten Sie Rechner oder Netzwerke auf Schwachstellen prüfen, so eignet sich dazu kaum eine andere Distribution so gut wie Backtrack: Das Live-System stellt eine reiche Auswahl an Werkzeugen für Penetrationstests zur Verfügung.

Im Reigen der sicherheitsorientierten Distributionen nimmt Backtrack Linux [1], das sich selbst als Penetration-Testing-Distribution bezeichnet, eine Sonderrolle ein. Zwar lassen sich prinzipiell mit jeder Linux-Live-CD im Netz Schwachstellen anderer Systeme aufspüren, doch Backtrack bündelt das dazu erforderlich Instrumentarium in einzigartiger Weise.

Die Backtrack-Macher distanzieren sich klar von dem Gedanken, einen Werkzeugkasten für Möchtegern-Hacker zur Verfügung zu stellen (siehe Kasten “Dual Use”). Sie wollen Admins, Sicherheitsbeauftragten und Forensikern eine möglichst umfangreiche Sammlung an Werkzeugen für Security Audits unter einer gemeinsamen Oberfläche an die Hand geben.

Zur Ausstattung gehören neben Schwachstellenscannern, Sniffern für LAN und WLAN sowie Passwort-Crackern allerdings auch Exploitation-Frameworks wie Metasploit samt der komfortableren grafischen Oberfläche Armitage. Auch unter den Scannern und Sniffern ist mit OpenVAS, Whireshark, Aircrack-ng, Ettercap, Snort, Kismet, Nmap, Uniscan und John the Ripper die Prominenz der Szene vertreten. Hinzu kommen interessante Newcomer wie Jigsaw, Creddump, Urlcrazy, Ironwasp oder Ghost Pisher. Die weitere Ausstattung umfasst das Social Engineer Toolkit 3.0, das Browser Exploitation Framework BeEF 0.4.3.2, sowie Maltego 3.1, ein Social-Engineering-Werkzeug.

Erste Schritte

Das auf Ubuntu basierende Backtrack 5 R2 gibt es in 32- und 64-Bit-Varianten wahlweise mit Gnome- oder KDE-Desktop [2]. Neben der Live-Nutzung unterstützt Backtrack auch das Installieren auf Festplatte oder USB-Stick. Der Vorteil der Festplatten-Installation besteht darin, dass Sie auch Daten speichern können.

Backtrack bootet per Default in eine Kommandozeile, auf der Sie als Root arbeiten, wenngleich das Bootmenü auch weitere Optionen bietet (Abbildung 1). Dazu zählen etwa ein Stealth-Modus mit deaktiviertem Netzwerk und eine Forensik-Betriebsart ohne jegliche eingehängte Laufwerke.

Abbildung 1: Das Boot-Menü von Backtrack offeriert eine Auswahl verschiedener Betriebsarten.

Möchten Sie mit einer GUI arbeiten, geben Sie am Backtrack-Prompt den Befehl startx ein. Mithilfe des Icons Install BackTrack auf dem grafischen Desktop lässt sich Backtrack auch problemlos auf der Festplatte installieren (Abbildung 2), wo es mindestens 12 GByte freien Platz braucht.

Abbildung 2: Backtrack lässt sich mittels eines Installers problemlos auf der Festplatte installieren.

Reiche Auswahl

Der Funktionsumfang von Backtrack offenbart sich, sobald sie die die Menüs öffnen. Bei der KDE-Version beispielsweise finden Sie unterhalb des K-Menü-Eintrags BackTrack nicht weniger als zwölf thematisch gruppierte Untermenüs zu unterschiedlichen Funktionsbereichen, die zum Teil weitere Untermenüs enthalten. Die hier enthaltenen Tools summieren sich auf über 300.

Die Gruppierung in den Untermenüs orientiert sich an Aufgabenbereichen. So finden Sie etwa den beliebten Sniffer Wireshark unter BackTrack | Information Gathering | Network Analysis | Network Traffic Analysis. Einige Werkzeuge eigenen sich für mehrere Aufgaben und finden sich deshalb auch in unterschiedlichen Kategorien.

Im Folgenden stellen wir Ihnen eine Auswahl an Tools aus dem Backtrack-Werkzeugkasten vor – alle Tools zu besprechen würde ein Buch füllen. Ohnehin handelt es sich bei den meisten um Kommandozeilenwerkzeuge, deren Einsatz fundiertes Hintergrundwissen erfordert.

Passwörter prüfen

Starke Passwörter stellen nach wie vor den beste Zugriffsschutz dar. Sie sollten es potenziellen Angreifen daher so schwer wir möglich zu machen, ein von Ihnen verwendetes Passwort per Brute-Force-Attacke zu erraten. Ob ein Wordlist-Generator hinter Ihr Passwort kommt, hängt freilich nicht zuletzt von der Komplexität der verwendeten Wordlist ab – gängige Varianten umfassen heute dutzende GByte [3]. Dennoch scheitern Brute-Force-Attacken an genügend langen und komplexen Passwörtern.

Backtrack beherbergt Werkzeuge, die auf das Erraten beziehungsweise Entschlüsseln von Passwörtern abzielen, im Menü BackTrack | Privilege Escalation | Password Attacks. Es gliedert sich in die vier Kategorien GPU Tools, Offline-Attacks, Online Attacks und Physical Attacks mit entsprechenden Tools.

Online-Verfahren attackieren unmittelbar die Login-Methode des anzugreifenden Systems. Zu den populären Tools dieser Kategorie zählt Hydra, für das Backtrack auch die komfortable GTK-Oberfläche Xhydra (hydra-gtk) mitliefert (Abbildung 3). Sie macht Brute-Force-Attacken besonders einfach: Sie tragen lediglich auf der Target-Seite den oder die gewünschten Ziel-Rechner sowie Ports ein und geben im Reiter Passwords den für den Angriff zu verwendenden Username oder eine Username-Liste an. Gleiches gilt für die zu verwendende Wordlist.

Abbildung 3: Das Online-Brute-Force-Tool Hydra lässt sich über die grafische Oberfläche Xhydra komfortabel bedienen.

Für den Bereich der Offline-Attacken gilt John the Ripper (kurz John oder JtR) als klassisches Werkzeug. “Offline” bedeutet hier, dass das entsprechende Tool die Authentisierungsmethode des anzugreifenden System quasi nachempfindet, dazu aber die Authentisierungsdaten (Passwort-Hashes) des Systems benötigt. JtR erwartet also eine lokal vorhandene Passwortdatei, auf die es einen Wörterbuchangriff anwendet. JtR kann prinzipiell DES, MD5 und Blowfish knacken.

Das Prüfen der generierten Passwörter erfordert in der Regel wesentlich mehr Rechenaufwand als das Generieren von Kennwörtern. Hier helfen sogenannte GPU-Tools weiter, denn Grafikkarten stechen CPUs beim Knacken von Passwörtern deutlich aus. Blacktrack liefert dazu den Brute-Force-Cracker Oclhashcat [4] in je einer Version für Nvidia- und ATI-Grafikkarten mit.

WLAN-Sicherheit

Seit sich WPA2 flächendeckend durchgesetzt hat, ist das Thema WLAN-Sicherheit etwas in den Hintergrund gerückt. Doch auch die Sicherheit von WPA und WPA2 hängt von der Qualität der verwendeten Passwörter ab. Es lohnt sich also durchaus, die Sicherheit von WLAN-Passwörtern durch eine Wörterbuch-Attacke zu prüfen. Backtrack liefert zu diesen Zweck eine Reihe von Programmen mit.

Im Menü BackTrack | Exploitation Tools | Wireless Exploitation Tools | WLAN Exploitation findet sich mit Aircrack-ng einer der populärsten Vertreter dieser Zunft. Um etwa eine Schnittstelle im Monitor-Modus auf Kanal 4 zu überwachen und dann Datenpakete oder Handshakes abzufangen, nutzen Sie die Befehle aus den beiden ersten Zeilen von Listing 1.

Anschließend benötigen Sie das Tool Aireplay-ng [5] aus dem Aircrack-ng-Paket. Es dient primär dazu, Traffic für das spätere Verwenden mit Aircrack-ng zum Entschlüsseln von WEP- oder WPA-Keys zu generieren. Mit Aireplay-ng decken Sie beispielsweise eine versteckten ESSID auf, nehmen einen WPA/WPA2-Verbindungsvorgang für einen späteren Angriff auf oder erstellen einen ARP-Request.

# airmon-ng start wlan0 4
# airodump-ng -c 4 -w output --bssid 00:24:FE:CD:0F:0A wlan0
# aireplay-ng -0 8 -a 00:24:FE:CD:0F:0A -c BC:05:43:DB:81:03 wlan0
# aircrack-ng -a 2 -b 00:24:FE:CD:0F:0A -e testwlan -w Wordlist *.cap

Im Beispiel aus der dritten Zeile von Listing 1 steht der Parameter -0 steht für “Deauthentication”. Die folgende 8 gibt die Anzahl der Deauth-Vorgänge an. Es ist durchaus möglich und üblich, hier mehrere anzugeben, wobei eine 0 für andauerndes Senden stünde. Der Parameter -a übergibt die BSSID des Access-Points, während -c für die MAC-Adresse des zu attackierenden Clients und wlan0 für das verwendete Interface steht. Weitere mögliche Parameter finden Sie in der Dokumentation zu Aircrack-ng.

Nach dem Aufzeichnen des Handshakes setzen Sie Aircrack-ng direkt darauf an, das Passwort herauszubekommen. Dazu dient das Kommando aus der letzten Zeile von Listing 1. Hier geben Sie mit -w Wordlist den Pfad zur zu verwendenden Wordlist/Rainbow-Table an. Beißt Aircrack-ng sich dabei die Zähne aus, bestätigt das die Sicherheit des gewählten Passworts.

Unter Wireless Exploitation findet sich auch das Menü Bluetooth Exploitation. Mit den darin enthaltenen Werkzeugen prüfen Sie Bluetooth- oder RFID-Systeme auf deren Sicherheit.

Informationen beschaffen

Jeder erfolgreiche Abgriff setzt vorab das Sammeln von Informationen voraus – etwa um herauszubekommen, welche Dienste das Zielsystem über welche Interfaces und Ports anbietet. Blacktrack fasst sämtliche Werkzeuge zur Informationssammlung unter dem Menüpunkt BackTrack | Information Gathering zusammen.

Das Untermenü Network-Analysis fächert dazu in zahlreiche weitere Untermenüs auf, etwa VOIP Analysis zur Analyse von Telefonie-Systemen oder VPN Analysis. Klassische Portscanner wie Nmap stecken im Untermenü Network Scanners, während sich Wireshark unter Network Traffic Analysis findet.

Die genannten Tools decken aber nur einen Teil der von Blacktrack gebotenen Möglichkeiten zur Informationsbeschaffung ab. Hinzu kommen eine Reihe von Spezialisten in den Untermenüs Web Application Analysis, Database Analysis und Wireless Analysis.

OpenVAS

Schwachstellen-Ermittler finden Sie bei Blacktrack 5 unter Vulnerability Assessment. Beim “Open Vulnerability Assessment System” oder kurz OpenVAS [6], einer freien Nessus-Variante, handelt es sich um die derzeit mit Abstand professionellste Open-Source-Lösung zur Schwachstellenanalyse. Dem OpenVAS-Framework liegt eine komplexe Client-Server-Architektur zugrunde.

Wen oder was OpenVAS überhaupt scannen soll, legen Sie in einer Session fest. Das Prüfen selbst erledigen vordefinierte Tests, die sogenannten Network Vulnerability Tests (NVTs). Von diesen in der Nessus Attack Scripting Language NASL geschriebenen Skripten bringt Backtrack lediglich eine Basisausstattung mit. Tagesaktuelle NVTs besorgen Sie sich über eine von den OpenVAS-Entwicklern angebotenen Feed-Service (OpenVAS NVT Sync), der auf Rsync und Wget basiert.

Backtrack hat auch Skripte zum Starten von Manager, Scanner oder einem der drei Clients CLI, Greenbone Security Assistant (Web) (Abbildung 4) oder Greenbone Security Desktop (nativ) an Bord. Sie können also OpenVAS in Zusammenhang mit Backtrack sowohl als Server verwenden als auch als einfache und schnelle Möglichkeit, einen OpenVAS-Client zur Verfügung zu stellen. Der OpenVAS-Server lädt beim Start automatisch die verfügbaren Plugins.

Greenbone Security Assistant ist ein leistungsfähiges Web-Interface für OpenVAS.” width=”300″ height=”221″ /> Abbildung 4: Der Greenbone Security Assistant ist ein leistungsfähiges Web-Interface für OpenVAS.

Forensik

Backtrack enthält keineswegs nur Angriffs- und Analyse-Werkzeuge, sondern widmet sich auch dem Thema digitale Forensik. Es verteilt die enorme Anzahl mitgelieferter Tools aus diesem Bereich im Menü Backtrack | Forensics auf zwölf Untermenüs.

Rkhunter [7] aus dem Untermenü Anti-Virus Forensic Tools beispielsweise sucht nach Rootkits, Backdoors und lokalen Exploits [8]. Das Programm vergleicht dazu vorhandene Dateien mit Hilfe von MD5-Hashes mit kompromittierten Dateien oder sucht nach Ordnern, die von Rootkits angelegt wurden. Ferner findet Rkhunter falsche Dateirechte, versteckte Dateien oder verdächtigen Zeichenketten in Kernel-Modulen.

Exploits im Eigenbau

Mit Backtrack testen Sie Ihr Netzwerks gezielt auf Schwachstellen. Das Untermenü Exploitation-Tools bietet dazu sechs Untermenüs, in denen sich auf Netzwerk, Web, Datenbanken, WLAN und Social Media spezialisierte Werkzeuge finden, darunter das populäre Social Engineering Toolkit [9]. Damit erstellen Sie beispielsweise Phishing-Seiten. Ferner gibt es ein Untermenü, das ausschließlich Open-Source-Exploitation-Tools enthält. Solche Werkzeuge nutzen bekannte Schwachstellen in Programmen aus, um Schadcode einzuschleusen. Einer der mächtigsten und bekanntesten Vertreter dieser Zunft heißt Metasploit [10].

Das Metasploit-Framework finden Sie im Untermenü Network Exploitation Tools. Zunächst müssen Sie einen der über 700 mitgelieferten Exploits für Windows, Unix/Linux oder Mac OS X auswählen. Danach konfigurieren Sie dazu eine sogenannte Nutzlast (“Payload”), also den Code, der bei einem erfolgreichen Einbruch auf dem Zielrechner ausgeführt werden soll, etwa einen VNC-Server oder eine Shell.

Der Funktionsumfang von Metasploit fällt derart umfangreich aus, dass eine Beschreibung den Umfang dieses Beitrags sprengen würde. Erwähnung verdient aber in jedem Fall, dass Backtrack mit Armitage [11] eine grafische Oberfläche für Metasploit mitliefert, die den Einsatz des Frameworks wesentlich komfortabler macht (Abbildung 5).

Abbildung 5: Die grafische Benutzerschnittstelle Armitage erleichtert den Umgang mit Metasploit.

Was es sonst noch gibt

Bislang kam nur einen Bruchteil der Tools in Blacktrack zur Sprache. Die Distribution enthält beispielsweise auch Dradis [12], eine Collaboration-Lösung, die sich speziell an den Bedürfnissen von Penetrationstestern und Forensikern orientiert. Zu deren Arbeit gehört unter anderem auch das Dokumentieren. So lassen sich etwa mit dem Tool RecordMyDesktop Screencasts des eigenen Vorgehens anfertigen. Backtrack ist aber auch außerhalb des Menüs BackTrack mit zahlreichen hilfreichen Tools bestückt, wie etwa Truecrypt, Safecopy oder DDRescue.

Fazit

Mit seinen weit über 300 mitgelieferten Security-Tools eignet sich Backtrack nicht für Anfänger. Dass die Distribution alle mitgelieferten Werkzeuge in einer komplexen Menüstruktur verfügbar macht, erleichtert keineswegs deren Benutzbarkeit: Bei fast allen Tools handelt es sich um Kommandozeilenprogramme, deren Anwenden jeweils ein umfangreiches Studium der verfügbaren Parameter voraussetzt. Bei Backtrack handelt es sich daher nicht um eine Sicherheitsdistribution im üblichen Sinne und schon gar nicht um einen Alltags-Desktop: Der Einsatz erfordert ein eingehendes Auseinandersetzen mit den Themen Penetrationstests, Sicherheit und Forensik.