Skip to content

Digitale Forensik - SANS SIFT Version 3.0 und Autospy 3.0.9

An der Computer Forensik Front hat sich wieder etwas getan. SANS SIFT (SANS Investigate Forensic Toolkit) wurde in Version 3.0 veröffentlicht. Ich hatte euch das IT-Forensik Kit bereits früher vorgestellt.

SANS SIFT 3.0 

In der neuen Version wurden folgende Schlüsselfunktionen angepasst

  • Ubuntu LTS 12.04  64 bit System
  • Better memory utilization
  • Auto-DFIR package update and customizations
  • Latest forensic tools and techniques
  • VMware Appliance ready to tackle forensics
  • Cross compatibility between Linux and Windows
  • Option to install stand-alone via (.iso) or use via VMware Player/Workstation
  • Online Documentation Project at sift.readthedocs.org
  • Expanded Filesystem Support

Die Zugangsdaten sind in der neuen Version gleich geblieben Login "sansforensics" Password "forensics":

Bei Bedarf lassen sich bestehende Ubuntu Installationen in eine SWIFT Workstation verwandeln. Download

sans-sift

Autospy 3.0.9

Bei der Toolsammlung Autospy handelt es sich um ein modular aufgebautes Forensic Programm. Das heißt, mitgelieferte Tools, können um neue Funktionen erweitert werden. Das Set ist in der neuen Version bisher nur für Windows verfügbar und bietet neben Hash Filtering, Keyword Suche, Webartifacts und einer grafischen Logauswertung folgende Funktionen an:

  • Timeline Analysis: Displays system events in a graphical interface to help identify activity.
  • Keyword Search: Text extraction and index searched modules enable you to find files that mention specific terms and find regular expression patterns.
  • Web Artifacts: Extracts web activity from common browsers to help identify user activity.
  • Registry Analysis: Uses RegRipper to identify recently accessed documents and USB devices.
  • LNK File Analysis: Identifies short cuts and accessed documents
  • Email Analysis: Parses MBOX format messages, such as Thunderbird.
  • EXIF: Extracts geo location and camera information from JPEG files.
  • File Type Sorting: Group files by their type to find all images or documents.
  • Media Playback: View videos and images in the application and not require an external viewer.
  • Thumbnail viewer: Displays thumbnail of images to help quick view pictures.
  • Robust File System Analysis: Support for common file systems, including NTFS, FAT12, FAT16, FAT32, HFS+, ISO9660 (CD-ROM), Ext2, Ext3, and UFS from The Sleuth Kit.
  • Hash Set Filtering: Filter out known good files using NSRL and flag known bad files using custom hashsets in HashKeeper, md5sum, and EnCase formats.
  • Tags: Tag files with arbitrary tag names, such as 'bookmark' or 'suspicious', and add comments.
  • Unicode Strings Extraction: Extracts strings from unallocated space and unknown file types in many languages (Arabic, Chinese, Japanese, etc.).

Ein Blick ist das Tool sicherlich wert, hier geht es zum Download.

Überblick 

Mit dem neuen Autospy 3 und dem wieder verfügbaren Paladin 5.0, sind inzwischen schon zehn forensische IT Systeme vorhanden, welche bei der Analyse von Computer oder Mobilsystemen behilflich sind. Die meisten unter Ihnen werden im ISO Format angeboten. Nur zwei (Kali Linux und SIFT 3.0) sind auch als fertiges VMWare Images verfügbar.

ITForensikTools-Ueberblick

Linux Server auf Botnet Windigo testen

Der Sicherheitsspezialist ESET hat in dieser Woche über die Operation Windigo berichtet. Angeblich wurden seit 2011 mehr als 10 000 linuxbasierte Server von diesem Botnet befallen.

Über diverse Rootkits (Linux/Ebury, Linux/Cdorked, Linux/Onimiki oder Perl/Calfbot) verschafft sich das Botnet Zugriff auf SSH Zugangsdaten oder DNS.

Zusätzlich werden OpenSSH Dateien manipuliert (ssh, sshd, ssh-add). Bei neueren Versionen (Stand Februar 2014) des Rootkits wird angeblich die libkeyutils.so abgehändert und dadurch um einige KB größer.

Ein Befall durch das Botnetz lässt sich mit einem Konsolenbefehl überprüfen:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System sauber" || echo "System infiziert"

Sollte das System befallen sein, empfehle ich den Server komplett neu aufzusetzen, da durch die offenen Zugangsdaten zusätzliche Änderungen am System vorgenommen worden sein könnten.

linux-logo

Linux Anleitung - Wordpress Installation in 5 Minuten

In der letzten Woche habe ich auf die Schnelle eine Wordpress Installation benötigt.

Bei vielen Providern wird dies zwar bereits als "One Click Installation" angeboten, aber auch auf einem lokal installiertem Ubuntu System ist diese Anforderung in wenigen Minuten und mit wenigen Befehlen erledigt. 

Bevor es los geht, kurz noch etwas vorweg: Ubuntu liefert in den eigenen Repositories zwar eine Wordpress Installation aus. Ich empfehle aber diese Option zu ignorieren und immer die neueste Version zu installieren.

Aktuelle Wordpress Version unter Ubuntu, Mint oder Elementary OS installieren

Benötigte Pakete installieren

sudo apt-get install apache2

sudo apt-get install libapache2-mod-php5

sudo apt-get install mysql-server

Passwort vergeben und merken 

sudo apt-get install php5-mysql

Neuestes Wordpress herunterladen und installieren

cd /

sudo mkdir blog

cd blog/

sudo wget http://wordpress.org/latest.tar.gz

sudo tar -xvf latest.tar.gz

sudo cp wordpress/wp-config-sample.php wordpress/wp-config.php

Datenbank anlegen und einrichten

mysql> create database blog;

Query OK, 1 row affected (0.00 sec)

mysql> create user wp_admin@localhost;

Query OK, 0 rows affected (0.00 sec)

mysql> set password for wp_admin@localhost=PASSWORD("meinPasswort");

Query OK, 0 rows affected (0.00 sec)


mysql> grant all privileges on 'blog.*' to wp_admin@localhost identified by 'meinPasswort';

Query OK, 0 rows affected (0.00 sec)

quit

Rechte für Apache vergeben und den richtigen Seitenpfad einrichten

sudo usermod -a -G www-data root

sudo chown -R www-data:www-data wordpress/

sudo nano /etc/apache2/sites-enabled/000-default

DocumentRoot /blog/wordpress

<Directory /blog/wordpress/>

                Options Indexes FollowSymLinks MultiViews

                AllowOverride None

                Order allow,deny

                allow from all

 </Directory>

Wordpress Datenbank Einstellungen konfigurieren

sudo nano /blog/wordpress/wp-config.php

// ** MySQL settings - You can get this info from your web host ** //

/** The name of the database for WordPress **/

define('DB_NAME', 'blog');

/** MySQL database username **/

define('DB_USER', 'wp_admin');

/** MySQL database password **/

define('DB_PASSWORD', 'meinPasswort');

Dienste neu starten und Seite aufrufen

sudo service apache2 restart

sudo service mysql restart 

Fertige Installation unter http://localhost aufrufen. Thats it.

WordPress-Installation

Die 100 besten freien Schriftarten 2014

Wie bereits im letzten Jahr haben die Kollegen von awwwards eine Zusammenstellung von 100 freien Fonts veröffentlicht. Bei dieser riesigen Auswahl dürfte für jeden die passende Schriftart dabei sein. Alternativ kann in der Auswahl der letzten Jahre (2012, 2013) gestöbert werden.

Um die Suche zwischen den einzelnen Schriftarten etwas zu vereinfachen, wurden diese in Kategorien unterteilt

Top 100 Fonts 2014 

schriftarten-2014