Skip to content

Installation DracOS 2.1, sowie Neues von Parrot Security OS und BlackArch Linux

Gegen Ende letzten Jahres gab es noch ein paar Änderungen an der Security Distributionen Front. Aber zunächst möchte ich ein neues Security OS vorstellen. 

DracOS 2.1 - Leak

Neu im Sicherheitsbunde ist ein indonesisches Security OS. 

DracOS ist ein Penetration OS, welches auf Linux from Scratch aufbaut. Der regelmäßige Leser erinnert sich vielleicht daran (Artikel).
Es verwendet die Kommandozeile in Verbindung mit den Dynamic Windows Manager. Das heißt ihr solltet fit auf der CLI sein, wenn ihr die Distribution verwendet oder es eben werden.

In der aktuellen Version 2 gibt es noch keinen Paketmanager, dieser soll aber folgen.
Wie bei anderen Distribution sind jede Menge Tools zur Informationsgewinnung, Sicherheitslückenfindung oder Malware Analyse vorinstalliert.

Details zu allen Programmen lassen sich hier finden. DracOS Codename "Leak" wurde bereits im Oktober 2016 veröffentlicht und wird stets weiter entwickelt.

 

Installation Dracos 2.1

Die Installation erfolgt über git und den Installer DRACER oder ganz normal via ISO Datei

sudo apt-get install squashfs-tools rsync
git clone https://github.com/Screetsec/super-dracos
cd super-dracos
sudo chmod +x DracosInstaller.sh
sudo ./DracosInstaller

[02]  CREATE PARTITION WITH FDISK
[03]  START INSTALL DRACOS

dracos-dracer

Ich habe eine Installation zu Testzwecken via ISO realisiert, diese ist einfach via VirtualBox oder VMware möglich.

Erste Schritte mit DracOS

Nach einer Installation via VirtualBox muss zunächst ein Login erfolgen.
Hierzu wird der Login "root" und das Passwort "toor" eingegeben.

Danach wird schlicht das Terminal angezeigt, für den Start der GUI muss "startx" eingegeben werden.

Auch nach dem Start der Oberfläche ist weiterhin die Tastatur das Hauptbewegungsmittel, da es sich bei DracOS wie schon erwähnt um eine CLI Steuerung handelt.

Wichtige Tastatur Shortcuts für die Bedienung sind

Menü öffnen windows + shift + d
Browser öffnen windows + shift + l
Screenshot printscreen
Terminal öffnen windows + shift + enter
Dateimanager öffnen windows + shift + c
Fenster verschieben windows + left click
Fenstergröße anpassen windows + right click

Zusätzlich dazu kann auch das Fenster Layout geändert werden

Null windows + f
Monocle windows  + m
Tile windows + t
Apples Grid windows + g


Fazit

DracOS bringt frischen Wind in die Security OS Szene, mit seinem LFS Ansatz ist es eine gelungene Abwechslung zu herkömmlichen Distributionen. Tools sind zahlreich vorhanden und das OS benötigt nicht viele Ressourcen.

DracOS



Parrot Security OS 3.3

Das bereits vor zwei Monaten vorgestellte Sicherheits OS Parrot Security wurde in Version 3.3 veröffentlicht.

Parrot-SecurityDie größten Änderungen der neuen Version dürfte der Wechsel zum Kernel 4.8, GCC 6.2 und PHP7 darstellen.
Des weiteren wurden fast alle der integrierten Security Tools aktualisiert.

 

Parrot Sec




BlackArch Linux 2016.12.29

Ebenfalls kurz vor Weihnachten wurde die neueste Version von BlackArch veröffentlicht.

Die auf ArchLinux basierende Distribution, mit stolzen 6.3 GB an Daten, wurde im Zuge des Rolling Releases auf 2016.12.29 aktualisiert.

BlackArch-Linux

Auch hier wurde der Kernel auf 4.8.13 aktualisiert, sowie viele Programme. Laut Changelog sind über 100 neue Tool hinzugekommen.

BlackArch bietet nun auch eine offizielle Unterstützung für VirtualBox und VMware, hierzu wird nun ein OVA Image bereitgestellt.

Black Arch




Fehlt nur noch der Überblick

Gesamtübersicht der bereits erwähnten Security Systeme

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.7 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
BlackArchLinux 2016.12.29 1500+ ArchLinux ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DracOS 2.1 100+ CLI LFS DWM
DEFT Zero RC1 250+ Dart2 Lubuntu Lxde
Kali Linux 2016.2 300+ ARM fähig Debian Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.3 700+ Cloud fähig Debian Jessie MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

Media Center News - OpenELEC 7.0, LibreELEC 7.0.3 und USB-SD Creator 1.2

Nachdem vor wenigen Tagen OpenELEC 7.0 veröffentlicht worden ist und damit Kodi 16.1, Bluetooth Audio Support und OpenVPN in das Media System Einzug gehalten hat, ist der Fork LibreELEC mit der Version (Jarvis) v7.0.3 nachgezogen. 

openelec

Download OpenELEC 7.0

LibreELEC

LibreELEC

LibreELEC hatte im Vergleich zum Original schon im Mai 2016 auf Kodi 16.1 aktualisiert. Das Libre Embedded Linux Entertainment Center hat damit die letzte Version des siebener Zweigs veröffentlicht und arbeitet bereits an Version 8.0.
Wer die aktuell im Betastadium befindliche Version testen möchte, kann nun direkt im Update Channel auf LibreELEC 8.0 umschalten. Da einige Addons mit der neuen Version noch nicht funktionieren, ist hier allerdings Vorsicht geboten.

LibreELEC

Wechsel von OpenELEC auf LibreELEC

Hierzu muss lediglich die aktuelle .tar Datei des gewünschten Systems in den Update Ordner des bestehenden Systems kopiert werden, nach einem Neustart wird das Update erkannt und automatisch installiert.

Download LibreELEC

LibreELEC

Info: Die neueste LibreELEC 7.0.3 Version benötigt 215MB und passt somit in alte OpenELEC Boot Partitionen mit 230MB.

LibreELEC USB-SD Creator

Der SD bzw. USB Creator wurde ebenfalls bereits im letzten Jahr veröffentlicht. Die letzte Version 1.2 im Oktober. Das Tool erlaub es mit wenigen Klicks verschiedene Systeme (Raspberry Pi, x68_64, WeTek, Slice oder Cubox) mit LibreELEC zu bespielen.

LibreELEC-USB-SD-Creator

Es läuft unter Linux, macOS und Windows und bietet euch die aktuelle finale und beta Version zum Download an. Offline können natürlich auch andere Images verwendet werden.  

Download LibreELEC USB-SD Creator

LIBRE ELEC SD Creator
Ein wirkliches praktisches Tool, welches sicherlich vielen das Bespielen von SD Karten vereinfacht.

Multi Remote Management - Adieu dRemote, lang lebe mRemoteNG

Lange hat sich das Multi Remote Management Tool dRemote nicht gehalten. 
Der Entwickler hat vor wenigen Tagen mitgeteilt, dass er sich dem Projekt nicht weiter widmen werde.
Nicht umsonst veweist er auf mRemoteNG, welches als Alternative übrig geblieben ist.

mRemoteNG

mRemoteNG

Das Remote Session Programm wird munter weiter entwickelt, die letzte stabile Version 1.74 Final ist vom Juli. 
Die nächste Generation hat momentan zwar noch Beta Status ist allerdings schon auf 1.75 Beta 3 angelangt.

Wer die Beta verwendet oder testen möchte, sollte vorher seine Konfigurationsdatei sichern, da sich das Schema der confCons.xml seit Beta 1 geändert hat.

Ein Wechsel ist via Export/Import der Konfigurationsdatei möglich.

mRemoteNG

CAINE 8.0 blazar mit Win-UFO für live Forensik verfügbar

Schon vor ca. 4 Wochen wurde eine neue Version von C.A.I.N.E veröffentlicht. Das Computer Aided Investigative Environment System von Giancarlo Giustini ist mit Version 8 im 8. Jahr immer noch im Rennen.

Die neueste Variante basiert auf Ubuntu Linux 16.04 LTS, MATE, LightDM und bringt den Kernel Kernel 4.4.0-45 mit.

caine

Die Distribution unterstützt UEFI/Secure Boot und Legacy Boot. Der Installer basiert auf SystemBack, welches auf ITrig schon als Image Tool für eigene Distributionen Erwähnung gefunden hat.

Nach dem ersten Start von CAINE werden alle Geräte als Read Only gemountet. Diese Sperre muss manuell aufgehoben werden.

Das System kann wahlweise in den RAM gebootet werden und ist damit um einiges flotter.

Wer CAINE remote verwalten möchte, kann auf den integrierten VNC Server zurückgreifen.

Win-UFO

Win-UFO

Ein Unterschied dieser forensischen Distribution zu anderen, ist die Unterstützung für Win-UFO 6.0. Dabei handelt es sich um eine Toolsammlung für Windows Systeme.

Hier sind viele Programme aus dem Nirsoft oder Sysinternals Repertoire enthalten, welche das Auslesen von Logs, History, Passwörten und Co erlauben oder die Analyse von Ports und Verbindungen.

Insgesamt sind ca. 100 Windows Tools in der Sammlung enthalten.

 

Fazit

CAINE 8.0 bietet auch in der neuesten Version eine gute Plattform mit forensischen Tools und Co. Mit Win-UFO ist zusätzlich eine große Auswahl an Programmen für reine Microsoft Systeme an Bord. Viel Neues ist in "blazar" allerdings nicht dazu gekommen

Die Distribution kann als ISO heruntergeladen werden. Die Entwickler warnen aktuell aber vor Problemen mit VirtualBox.

Caine

ssh-audit - OpenSSH Sicherheit testen, konfigurieren und härten

Secure Shell (SSH) dürfte fast jeder schon einmal gehört haben, nicht nur wegen der vielen Updates in letzter Zeit.

Das Netzwerkprotokoll, welches häufig zur Wartung oder zum Datenaustausch mit entfernten Geräten verwendet wird, ist aus dem Alltag kaum wegzudenken.

SSH ermöglicht eine sichere Verbindung in unsicherer Umgebung, dank Verschlüsselung und Authentifizierung.

Neben Passwortauthentifizierung kann das Protokoll mit Public Key Verfahren genutzt werden, was durchaus zu empfehlen ist.

Die Einstellungen in der Konfiguration "/etc/ssh/sshd_config" dazu sind schnell gesetzt:

PubkeyAuthentication yes

PasswordAuthentication no

 

Neben der Authentifizierungsmethode gibt es allerdings noch weitere Einstellungsmöglichkeiten.

Um Verbindungen zwischen Client und Server möglichst sicher zu gestalten, können in der Konfiguration verschiedene Einstellungen gesetzt werden.

Unter anderen folgende Werte.

 

  • KexAlgorithms (Key Exchange): Die Schlüsselaustausch-Algorithmen für die symmetrische Verschlüsselung.
  • Ciphers Die Ciphers zur symmetrischen Verschlüsselung der Verbindung.
  • MACs (Message authentication codes): Nachrichten Authentifizierungsverfahren, um die Integrität zu sichern.
  • HostKeyAlgorithms Algorithmus welchen der Client verwendet

 

Durch alte bzw. gebrochene oder mangelhafte Verschlüsselung kann es zu Sicherheitslücken kommen, welche sich durch richtige Einstellungen vermeiden lassen.

Mit Hilfe des Kommandozeilen Tools ssh-audit lassen sich fehlerhafte SSH Einstellungen schnell ausfindig machen.

ssh-audit - OpenSSH Sicherheit testen und richtig konfigurieren

Das Programm liest die Version und Einstellungen von OpenSSH aus und zeigt im Ampelformat an, welche Algorithmen und Ciphers abgeschaltet werden sollten.

ssh-auditDazu werden zusätzliche Infos eingeblendet. Warum genau diese Cipher oder jener Algorithmus nicht mehr verwendet werden sollten.

In der aktuellen Programmversion 1.7.x werden folgende Hauptfeatures unterstützt.

  •     SSH1 and SSH2 protocol server support
  •     grab banner, recognize device or software and operating system, detect compression
  •     gather key-exchange, host-key, encryption and message authentication code algorithms
  •     output algorithm information
    • available since 
    • removed/disabled 
    • unsafe/weak/legacy, etc
  •     output algorithm recommendations
    • append or remove based on recognized software version;
  •     output security information
    • related issues
    • assigned CVE list, etc
  •     analyze SSH version compatibility based on algorithm information
  •     historical information from OpenSSH, Dropbear SSH and libssh
  •     no dependencies, compatible with Python 2.6+, Python 3.x and PyPy

Installation unter Ubuntu 16.04 und Python3

Die Installation ist relativ einfach, allerdings kann es sein, dass mit Ubuntu 14.04 und Python 2.7 und Ubuntu 16.04 mit Python 3 noch ein paar Handgriffe notwendig sind.

wget https://github.com/arthepsy/ssh-audit/archive/v1.7.0.zip

unzip v1.7.0.zip

cd ssh-audit-1.7.0/

Zum Starten des Audits muss Python Script und eine Serveradresse aufgerufen werden. Als ersten Test bietet sich localhost an.

Unter Ubuntu 16.04 muss allerdings darauf geachtet werden, dass Python 3 richtig eingerichtet ist. Darum sollte hier noch ein Symlink gesetzt werden, damit das Script richtig ausgeführt werden kann

$ python -V
-bash: /usr/bin/python: No such file or directory

$ sudo ln -s /usr/bin/python3 /usr/bin/python

$ ls -l /usr/bin/ |grep python
lrwxrwxrwx 1 root   root          16 Oct 29 19:29 python -> /usr/bin/python3

Danach kann das Audit Script den Ubuntu 16.04 Server auf schwache Einstellungen kontrollieren. Hier ein Auszug.

sudo ./ssh-audit.py localhost

# general
(gen) banner: SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1
(gen) software: OpenSSH 7.2p2
(gen) compatibility: OpenSSH 7.2+, Dropbear SSH 2013.62+
(gen) compression: enabled (zlib@openssh.com)

# key exchange algorithms
(kex) curve25519-sha256@libssh.org          -- [info] available since OpenSSH 6.5, Dropbear SSH 2013.62
(kex) ecdh-sha2-nistp256                    -- [fail] using weak elliptic curves
                                            `- [info] available since OpenSSH 5.7, Dropbear SSH 2013.62
(kex) ecdh-sha2-nistp384                    -- [fail] using weak elliptic curves

# host-key algorithms
(key) ssh-rsa                               -- [info] available since OpenSSH 2.5.0, Dropbear SSH 0.28
(key) rsa-sha2-512                          -- [info] available since OpenSSH 7.2
 

# encryption algorithms (ciphers)
(enc) chacha20-poly1305@openssh.com         -- [info] available since OpenSSH 6.5
                                            `- [info] default cipher since OpenSSH 6.9.
(enc) aes128-ctr                            -- [info] available since OpenSSH 3.7, Dropbear SSH 0.52
(enc) aes192-ctr                            -- [info] available since OpenSSH 3.7
(enc) aes256-ctr                            -- [info] available since OpenSSH 3.7, Dropbear SSH 0.52
 

# message authentication code algorithms
(mac) umac-64-etm@openssh.com               -- [warn] using small 64-bit tag size
                                            `- [info] available since OpenSSH 6.2
(mac) umac-128-etm@openssh.com              -- [info] available since OpenSSH 6.2
 

OpenSSH Härtung (ab Version OpenSSH 6.7)

Bei der neuesten OpenSSH Version können verschiedene Sicherheitseinstellungen gesetzt werden.

Im Screenshot seht ihr eine laut Audit optimale Einstellung für einen Server zum jetzigen Zeitpunkt.

ssh-gehaertet


Die Einstellungen kommen wie folgt zu Stande: 

Zunächst zum Key Exchange. Elliptische Kurven vom National Institute of Standards and Technology (Nist) haben nicht den besten Ruf und sind durch Timingangriffe verletzbar. SHA1 zählt auch nicht mehr zu den besten Methoden unserer Zeit und kann ebenfalls deaktiviert werden.

Das heißt von den verfügbaren Möglichkeiten (siehe unten) bleiben nur noch curve25519-sha256 und diffie-hellman-group-exchange-sha256 als Auswahl übrig. 

  • curve25519-sha256: ECDH over Curve25519 with SHA2
  • diffie-hellman-group1-sha1: 1024 bit DH with SHA1
  • diffie-hellman-group14-sha1: 2048 bit DH with SHA1
  • diffie-hellman-group-exchange-sha1: Custom DH with SHA1
  • diffie-hellman-group-exchange-sha256: Custom DH with SHA2
  • ecdh-sha2-nistp256: ECDH over NIST P-256 with SHA2
  • ecdh-sha2-nistp384: ECDH over NIST P-384 with SHA2
  • ecdh-sha2-nistp521: ECDH over NIST P-521 with SHA2
Quelle

Für Mac, HostKeys und Ciphers gelten ähnliche Regeln. Auch hier sollten Einstellungen mit MD5/SHA1 oder CBC entfernt werden. Open SSH Audit hebt diese in roter Schrift hervor. Am Ende bleibt eine sichere Einstellung und folgende Angaben unter /etc/ssh/sshd_config.

Diese beispielhaften Einstellungen wurde so gewählt, dass eine Verbindung via Windows und PuTTY möglich ist.

debianbanner no

KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

MACs hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256

HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa

Fazit

open-ssh audit bietet eine einfache und schnelle Möglichkeit SSH Verbindungen zu testen und bei Bedarf auch zu härten. Das Tool erklärt dem Nutzer seine Wahl und ist somit recht verständlich.

Allerdings sollte immer auf die jeweilige Umgebung in Verbindung mit den Einstellungen geachtet werden. Auch sollte nach einer Änderung zwingend eine Testverbindung aufgebaut werden (SSH Dienst neu starten nicht vergessen).

Details zu weiteren Einstellungen und deren Funktion, welche der Audit zurzeit nicht bieten kann, sollten an anderer Stelle nachgelesen werden. Hier empfiehlt sich das Raven Wiki für einen ersten Überblick

ssh audit