ArchStrike zählt zur Riege der bekannten Distributionen für Pentesting und ethisches Hacken. Dabei belegt es dank seiner Basis Arch Linux eine gute Ausgangsposition in der Anwendergunst.

In letzter Zeit tauchen vermehrt neue Distributionen für Sicherheitstests auf, wie etwa das auf Debian basierende und noch in den Startlöchern stehende Thorn Linux. Aber auch für Anwender von Arch Linux gibt es eine neue Distribution für Penetrationstests und ethisches Hacken. Das Projekt begann unter dem Namen ArchAssault als Erweiterung für die Paketverwaltung, mit dem Ziel, Arch Linux mit zusätzlichen Tools für umfangreiche Sicherheitstest auszustatten.

Schließlich entstand aus dem Software-Archiv eine vollständige Distribution, die – wie nicht anders zu erwarten – auf Arch Linux basiert. Damit gibt es neben BlackArch eine zweite Arch-Distribution für Pentester, Sicherheitsfachleute und Enthusiasten. Das Ergebnis hört auf den Namen ArchStrike 2016.07.21 [1].

Wir sehen uns an, was der Neuling interessierten Anwendern zu bieten vermag. Eines spricht auf jeden Fall für ihn: Aufgrund der Aktualität der Rolling-Release-Distribution Arch Linux bleibt auch ArchStrike immer auf dem neusten Stand.

Vom Repo zur Distribution

ArchStrike bindet über die beiden Paketquellen archstrike und archstrike-testing insgesamt über 1200 Werkzeuge [2] für Penetrationstests und sicherheitsrelevantes ethisches Hacken ein. Dadurch erklärt sich auch die Größe des ISO-Images [3], das mit fast 4 GByte zu Buche schlägt. Bei der Abbilddatei handelt es sich um ein Live-Image mit Installationsroutine, die ein Arch Linux mit Openbox [4] als Fenstermanager mitsamt den beiden ArchStrike-Archiven auf die Festplatte bannt.

Der Installer erledigt diese Aufgabe im Textmodus. Er bietet eine manuelle und eine automatische Partitionierung jeweils mit und ohne LVM. Nach der Partitionierung besteht die Auswahl zwischen verschiedenen Paketsätzen wie Base oder Base-Devel mitsamt verschiedenen Kerneln, wie dem langzeitunterstützten LTS oder einem mit Grsecurity [5] gehärteten Kernel. LTS-Base stellt in der Regel die beste Wahl dar, da der Kernel ausgiebiger getestet wurde als der normale Kernel in Base.

ArchStrike gibt es für Systeme mit 32- und 64-Bit-Prozessoren. Darüber hinaus bieten die Entwickler OVA-Images für Virtualbox und VMware an, sodass sich das System ohne Installation in einer virtuellen Maschine laden lässt. Allerdings bringen diese Images es auf eine Größe von 7,7 beziehungsweise 9,2 GByte. Obendrein nimmt die beim Start angelegte virtuelle Festplatte 50 GByte in Anspruch, von denen das System eingangs 15 GByte belegt. Die Zugangsdaten der Live-Medien lauten für den unprivilegierten Anwender archstrike als User und Passwort, für den Root-Zugang müssen Sie root als Passwort und Account eingeben.

Geführte Installation

Der textbasierte Installer führt sicher durch die Installation, die je nach Auswahl der Komponenten auf aktueller Hardware ein bis zweieinhalb Stunden dauert, was an der großen Anzahl an installierten Paketen liegt. Aktivieren Sie zusätzlich die Installation von Paketen aus archstrike-testing, können Sie sich getrost für die nächsten 90 Minuten etwas anderes vornehmen.

Nur an einer Stelle, gleich zu Beginn der Installationsroutine, müssen Sie achtgeben: Im Test wollte es nicht gelingen, die Tastatur auf Deutsch umzustellen. Der entsprechende Dialog hakte stets an der gleichen Stelle. Im Gespräch mit einem der Entwickler erkannte dieser den Fehler und sagte dessen Beseitigung für die nächste Veröffentlichung zu. Als Übergangslösung stellen Sie einfach nach der Installation die Tastatur auf Deutsch um.

Ansonsten wirkt der Installer aufgeräumt und stellt den Anwender vor keine großen Hürden. Im Vergleich zu einer normalen Einrichtung von Arch Linux fällt das Einspielen von ArchStrike deutlich leichter. Allerdings bietet das System deutlich weniger Stellschrauben als eine manuelle Arch-Installation – was wiederum Arch-Einsteigern entgegenkommt.

Installieren Sie mit UEFI statt des herkömmlichen BIOS, müssen Sie die Einrichtungsroutine vor dem Start der Installation aktualisieren (Listing 1).

$ sudo pacman -Syy && sudo pacman -S archstrike-installer

Abschlussfragen

Nach dem Aufspielen aller Pakete gilt es, noch einige Fragen zu beantworten. In der X.org-Umgebung beispielsweise stehen neben Openbox auch die Desktop-Umgebung XFCE, weitere Fenstermanager sowie ein Display-Manager zur Wahl. Neben der im Test gewählten Installation von Grund auf lässt sich ArchStrike alternativ einer bestehenden Arch-Installation überstülpen: Das erledigen Sie entweder händisch oder über das im Anwender-Repository AUR befindliche archstrike-setuptool. Die Schritte zum manuellen Hinzufügen führt das ArchStrike-Wiki [6] auf.

Haben Sie XFCE und den angebotenen Display-Manager LightDM installiert, dann melden Sie sich nach dem Neustart mit dem zuvor angelegten User an. Zunächst sieht XFCE aus wie der Fenstermanager Openbox aus der Live-Sitzung (Abbildung 1). Bevorzugen Sie ein Panel am unteren Bildschirmrand, dann müssen Sie hier selbst tätig werden.

Eine spartanische Leiste am oberen Bildschirmrand – sie lässt sich über einen Einstellungsdialog noch etwas aufpeppen – gibt Zugriff auf die installierten Anwendungen und die Einstellungsdialoge. Aufgrund des geschilderten Fehlers bei der Umstellung der Tastaturbelegung auf Deutsch sollten Sie ohnehin als Erstes den Menüpunkt Settings | Keyboard ansteuern.

Abbildung 1: Der Desktop von ArchStrike nach der Installation mit XFCE als Desktop-Umgebung.

Werkzeugsuche

Falls Sie sich schon länger mit Pentesting beschäftigen, kennen Sie in der Regel die Werkzeuge Ihrer Wahl. Als Anfänger hingegen müssen Sie sich bei ArchStrike im Browser durch die Paketliste arbeiten und die Beschreibungen der einzelnen Tools lesen. So lernen Sie Stück für Stück die Programme kennen und ermitteln die für Sie interessanten Anwendungen. Die Werkzeuge lassen sich nur über das Terminal oder über den Dialog Programm starten ausführen, im Gegensatz zu anderen Pentesting-Distros fehlen Anwendungsstarter im Menü.

Auch über den Paketmanager Pacman lässt sich nach Werkzeugen für bestimmte Aufgaben suchen. So zeigt etwa der Befehl pacman -Sg | grep archstrike die vorhandenen Kategorien an (Listing 2). Interessieren Sie sich beispielsweise für die Kategorie Malware, listet der Befehl pacman -Sgg | grep archstrike-malware die verfügbaren Werkzeuge in dieser Rubrik auf (Listing 3).

$ pacman -Sg | grep archstrike
archstrike
archstrike-scanners
archstrike-misc
archstrike-crackers
archstrike-voip
archstrike-forensics
archstrike-networking
archstrike-wireless
archstrike-recon
archstrike-webapps
archstrike-desktop
archstrike-hardware
archstrike-defense
archstrike-exploit
archstrike-spoof
archstrike-analysis
archstrike-fingerprinting
archstrike-crypto
archstrike-backdoors
archstrike-malware

$ pacman -Sgg | grep archstrike-malware
archstrike-malware backdoorme-git
archstrike-malware bamfdetect
archstrike-malware cuckoo
archstrike-malware damm-git
archstrike-malware depdep
archstrike-malware gcat-git
archstrike-malware malheur
archstrike-malware maltrieve-git
archstrike-malware metasploit-payload-creator
archstrike-malware peepdf
archstrike-malware pupy-binaries-git
archstrike-malware pupy-git
archstrike-malware pyew-git
archstrike-malware rspet-git
archstrike-malware thezoo-git
archstrike-malware twittor-git
archstrike-malware viper-git
archstrike-malware viper-git-docs
archstrike-malware vmcloak
archstrike-malware dissy
archstrike-malware malwaredetect
archstrike-malware origami
archstrike-malware sea-git
archstrike-malware zerowine

Mit genügend Ausdauer lassen sich aus dem riesigen Fundus viele Schätze heben. So zeichnet Zenmap grafische Diagramme von Netzwerken auf der Basis von Nmap (Abbildung 2), mit Dsniff geht es bereits ans Eingemachte: Dahinter verbirgt sich ein Satz von Werkzeugen zur Netzwerkanalyse und zum Passwort-Sniffing. Mit der Familie der Aircrack-Tools rücken Sie WLAN-Netzen auf die Pelle (Abbildung 3). Die Burp-Suite eignet sich, um Schwachstellen in Webseiten ans Licht zu bringen. Dazu schaltet sie sich zwischen Browser und Webserver. Mit dem mächtigen Metasploit-Framework lassen sich Virenangriffe simulieren; einige Exploits bringt es bereits mit.

Abbildung 2: Zenmap stellt alle im Netz aufgefundenen Netzwerkkomponenten grafisch dar.

Fern WIFI Cracker dient der Simulation von Attacken in Netzwerken.” width=”300″ height=”199″ /> Abbildung 3: Der Fern WIFI Cracker dient der Simulation von Attacken in Netzwerken.

Fazit

ArchStrike eignet sich vor allem für Sicherheitsforscher und Enthusiasten, die schon etwas Erfahrung sowohl mit Linux als auch mit Pentesting mitbringen. Das Projekt fühlt sich offensichtlich den hohen Qualitätsstandards der Paketierung unter Arch Linux verpflichtet, die Aktualität der ausgelieferten Software spricht für sich. Allerdings fehlt es hier und da noch an Komfort, von den rund 1200 Werkzeugen führt das Anwendungsmenü bisher nur wenige auf. Hier wollen die Entwickler nach eigenen Angaben jedoch noch nacharbeiten.

Andere Pentesting-Distributionen zeigen sich in diesem Punkt besser organisiert: So bietet das ebenfalls auf Arch Linux basierende BlackArch [7] rund 1300 Werkzeuge, die das System sauber in Kategorien sortiert. Allerdings erfordert BlackArch mehr manuelle Nacharbeit, um nach der Installation das System komplett einzurichten. Zudem wirkt das rot-schwarze Design des Desktops nicht gerade einladend.

Das auf Debian Testing setzende Kali Linux [8], Nachfolger des bekannten Backtrack, hat hier die Nase weit vorne, führt aber mit rund 300 Sicherheits-Tools weitaus weniger entsprechende Software in den Paketquellen. Zudem kann Debian “Testing” meist in Sachen Aktualität mit Arch Linux nicht mithalten. Einen breiteren Überblick über aktuelle Pentesting-Distributionen bietet Ihnen bei Interesse die Webseite von Concise Cybersecurity [9].