ITrig

Im März hatte ich ausführlich über diverse Linux Distributionen für die IT Forensik berichtet (siehe Artikel). Aufbauend dazu möchte ich euch über Änderungen bei einigen Forensiktools informieren.

Kali Linux 1.0.4

Aus Tradition haben die Jungs rund um Kali Linux (ehemals BackTrack) bereits während des Hackertreffens "Black Hat" und "DEF CON" ihr Baby aktualisiert. Mit der neuen Version 1.0.4 wurden auf Wunsch der Community einige Hackertools neu aufgenommen: Pass the Hash Toolkit, enum4linux, RegRipper, Unicornscan, jSQL, JD-GUI, Ghost Phisher, Uniscan, Arachni und Bully.

Die Funktion der einzelnen Tools möchte ich hier nicht näher erklären. Für ein Update benötigt ihr nicht unbedingt ein neues Image, es reicht ein "apt-get update" und "apt-get dist-upgrade" auf der Konsole. Neben neuen Programmen wurde der ARM Support weiter ausgebaut und um BeagleBone Black, CuBox und Efika MX erweitert. Mit dieser breiten Palette ist Kali Linux bisher allein auf weiter Flur. Download Kali Linux 1.0.4

DEFT 8

Auch am Digital Evidence & Forensic Toolkit wird ständig gearbeitet. So haben unsere italienischen Freunde eine neue Version 8 veröffentlicht, welche die zweite Version von DART (Digital Advanced Response Toolkit) enthält.

Zu den Neuerungen zählt eine App Suchmaschine im Stil von Spotlight, eine neue Audit Report Engine und die Möglichkeit Anwendungen als Administrator zu starten. Die nahezu 250 enthaltenen Tools entnehmt ihr besser der offiziellen Liste.

Die Distribution selbst hat ebenfalls einiges an Änderungen erfahren. So gibt es mit dem neuen 64bit Kernel keine Beschränkung mehr auf 4GB RAM, weitere neue Programme sind The Sleuthkit 4.1, Autopsy 2 – Ready for Autopsy 3, Digital Forensics Framework 1.3, Guymager 0.7.1, Cyclone 0.2,  Esximager, Recoll 1.19.5, Bulk extractor Dumpy 0.2 (parsing tool für dumps), Skype extractor und Fastboot (re-flash Android partition tool), usw. Download DEFT 8

Paladin 4.0

Scheint aus unerfindlichen Gründen offline zu sein.

BackBox Linux 3.05

Als Alternative würde sich zum Beispiel BackBox anbieten. Die Distribution basiert auf Ubuntu und XFce. Das Projekt stammt aus Italien und ist seit 2010 am expandieren. Großer Vorteil von BlackBox ist das eigene Repository, welches den Anwender stetig mit Updates versorgt. Ca. 70 Programme sorgen für die richtige Analyse von Wlan, Netzwerk oder VoIP. Daneben gibt es weitere Tools für Reverse Engineering oder Eploitation. Eine komplette Liste der Tools ist hier zu finden. Download BackBox

NetSecL OS 4.0

Diese Sammlung für Penetration Testing kommt aus Bulgarien und basiert, anders als die meisten Forensik-Distros, auf Open Suse 64bit und ist zusätzlich installierbar. Das System ist von Haus aus mit Grsecurity gehärtet und verwaltet seine Pakete im RPM Format. Hier eine Auswahl der ca. 50 Tools auf der DVD: Aircrack-ng, APG(Automated Password Generator) Arping, ArpON (ARP handler inspection), arp-scan, arptables, Arpwatch, Chkrootkit, Clam AntiVirus,coWPAtty, Chntpw, EtherApe, etherdump, Ethtool, FPing, Firewall Builder, icmpinfo, IPTraf-ng, Iputils, Kismet, Mausezahn, Mtr, NDisc6, Nmap, OpenVas, Ostinato, P0f, Pyrit, Wireshark. Download NetSecL 4.0

Matriux 2.49

Eine weitere Sammlung an Penetrations Tools und forensischen Programmen bietet Matriux. Die indische Distribution basiert auf Debian und siedelt sich bei Pentrations-Testing, sowie Forensische Untersuchungen an. Matriux lässt sich installieren und somit als eigenständiges System nutzen. Die neueste Version 2.49b besitzt zwar noch einen Beta-Status, ist jedoch schon einsatzfähig. Die Liste an verfügbaren Programmen kann sich sehen lassen, über 300 Tools aus den Bereichen Auskundschaften, Scannen, Attackierende Tools, Frameworks, VoIP, digitale Forensik, Debugger und Tracer stehen zur Verfügung. Da sollte für jeden etwas dabei sein. Download Matriux

Zusammenfassung

Wie schon beim ersten Artikel habe ich einen Überblick erstellt, damit ihr noch einmal alle Distributionen im Überblick habt.

Durch den Abhörskandal der vergangenen Wochen, ist der Ruf nach Verschlüsselung laut geworden. Besonders im Mailbereich ist der Wunsch nach einem sicheren Transfer groß. Mit der finalen Version 2.2.0 von Gpg4win können Outlook Nutzer nun endlich aufatmen.

Denn das neue Gpg4win unterstützt nicht nur 64bit Systeme, sondern kann ebenfalls mit Outlook 2010 bzw. Outlook 2013 umgehen. GpgOL verwendet allerdings "makeshift", da die volle Crypto Unterstützung mit MIME etwas zu komplex ist. Weitere Tools der Suite sind:

• GnuPG: Haupt-Kryptografie-Komponente mit optional einsetzbarer Smartcard-Unterstützung
  
• Kleopatra: Zertifikatsmanager für X.509 (S/MIME) und OpenPGP
  
• GPA: der GNU Privacy Assistant, ein alternativer Zertifikatsmanager
  
• GpgOL: ein Plugin für Microsoft Outlook 2003/2007/2010/2013 für sichere E-Mail nach den Verfahren X.509 (S/MIME) und OpenPGP
  
• GpgEX: ein Plugin für den Windows-Explorer, mit dem sich Dateien per Kontextmenü verschlüsseln lassen
  
• Claws-Mail: E-Mail-Programm mit integrierter GnuPG
• Gpg4win-Kompendium: Grundlagen zur Benutzung von Gpg4win

Viele Änderungen hat ebenfalls der Zertifikatsmanager "Kleopatra" erfahren. So lässt sich das Tool nun ohne Probleme unter einem Terminal Server aufrufen und unterstützt das Erstellen von portablen Anwendungen. Auch die Verschlüsselung wurde verbessert, so können nun Schlüssel mit einer Länge bis zu 4096bit erstellt werden.

Der komplette Changelog ist hier zu finden.

Installation von Gpg4Win unter Outlook 2010/2013

Für Outlook wird zwingend GpgOL benötigt, dies sollte bei der Installation ausgewählt werden.

Weiter sollten Emails auf das Text Format umgestellt werden.

Danach war bei meiner Testinstallation auch schon Schluss. Unter Outlook 2010 (64bit) wurde leider kein Ribbon oder Plugin integriert und ich konnte Nichts weiter einstellen oder finden. Somit bleibt mir im Moment nur eine Verweis auf das OutlookPrivacyPlugin, welches einwandfrei mit Outlook 2010/2013 funktioniert. Schade, hatte mir auf den ersten Blick mehr erhofft. Eventuell hat ja jemand eine Lösung für das Problem.

GPGEx

Die GpgEX Funktionen scheinen dagegen ohne Probleme über das Kontextmenü aufrufbar zu sein

Download GPG4win

Seit 10 Jahren gibt es nun schon PirateBay, anlässlich dieses Jubiläums, hat die bekannte Filesharing-Plattform einen eigenen Browser veröffentlicht.

PirateBrowser setzt dabei auf einen portablen Firefox 23 mit den vorinstallierten Add-Ons FoxyProxy, sowie dem Tor-Client Vidalia. Diese Konstellation erlaubt es Nutzern die Seite trotz Zensur aufzurufen. Besonders für Anwender in Großbritannien, den Niederlanden, Dänemark, Italien oder Irland ist dieses Browser-Bundle gedacht, denn dort wird die Torrent-Plattform bekanntlich blockiert.

Die Installation ist denkbar einfach und sollte von jedem Nutzer gemeistert werden. Als Startseite ist natürlich die Piratenbucht hinterlegt, dies lässt sich aber jederzeit anpassen.

Was ist der Unterschied zwischen dem PirateBrowser und dem Tor Browser Bundle?

Diese Frage lässt sich schnell beantworten, funktional gibt es keinen. Technisch basiert das Tor Bundle auf der ESR Version von Firefox und verschleiert zusätzlich die eigenen IP Adresse. Beide Pakete bieten keine Anonymität, hier sollte zusätzlich auf VPN zurückgegriffen werden.

Download Pirate Browser

Download Tor Bundle