ITrig

Nach kurzer Pause möchte ich den Betrieb hier langsam wieder etwas anfahren. Ich hoffe ihr habt die Auszeit nicht bemerkt.

Kali Linux 2017-1 - OpenVAS 9, KLCP und neue Treiber

Durch die Pause hat sich bei den forensischen Distributionen etwas getan. 

So wurde Ende April eine neues Kali Rolling-Release veröffentlicht. Die Entwickler haben einen speziellen WLAN Treiber für RTL8812AU Karten mitgeliefert, welcher Injections erlaubt.

Der Treiber muss jedoch extra installiert werden

apt-get install realtek-rtl88xxau-dkms

Zusätzlich unterstützt Kali nun die Cloud in Form von AWS (Amazon) und Azure (Microsoft) in Verbindung mit CUDA GPU cracking (Details)

Netterweise wurde auch das frische OpenVAS 9 Paket in das Release mit aufgenommen und lässt sich einfach installieren (Ein ausführliche Installationsanleitung für Version 8 hatten wir bei ITrig bereits)

apt-get install openvas

 

 

Neben den technischen Neuerungen wurde für Juli ein Buch "Kali Linux Revealed" angekündigt.

Ebenso für Leseratten und Lernwillige wurde die Kalizertifizierung "Kali Linux Professional Certification (KLCP)" vorgestellt.
Weitere Infos sind hier zu finden.

Ein Update auf die neueste Kali Version ist mit einem Dist Upgrade schnell erledigt

apt-get update
apt-get dist-upgrade
reboot

Parrot Security 3.6

Nach ein paar Monaten Entwicklungszeit wurde ebenfalls eine neue Version 3.6 von Parrot Sec veröffentlicht.

Hier haben die größten Änderungen unter Haube stattgefunden, um das bestehende System zur verschlanken und die Performance zu verbessern. So wurde hauptsächlich an der Lite und der Studio Version getüftelt.

Schon ein paar Tage länger verfügbar ist Parrot AIR, diese Veröffentlichung ist speziell für drahtlose Geräte ausgelegt, aber bist jetzt nur ein Proof of Concept.

---

Übersicht forensische Distributionen 05/17

 

Name	Version	Tools	Besonderes	Basis	GUI
Autopsy	4.0	???	The Sleuth Kit	Windows
BackBox	4.7	70+	eigenes Repo	Ubuntu	Xfce
BackTrack	5	300+	out of date	Ubuntu	Gnome
BlackArchLinux	2017-03	1700+	ArchLinux	ArchLinux	Gnome
CaINE	5	100+	WinUFO	Ubuntu	Mate
DracOS	2.1	100+	CLI	LFS	DWM
DEFT	Zero	250+	Dart2	Lubuntu 14.04	Lxde
Kali Linux	2017.1	300+	ARM fähig	Debian	Multi
LionSec	5.0	???		Ubuntu
Matriux	v3 RC1	300+	out of date	Debian	Gnome
NST	24	???	Server integriert	Fedora
NetSecLOS	6.0	50+		OpenSuse	Lxde
Paladin	6.0	30+		Ubuntu
Parrot Security	3.6	700+	Cloud fähig	Debian Jessie	MATE
Pentoo	2015.0 RC5	???	64bit	Gentoo	Xfce
Ronin		150+	out of date	Lubuntu	Lxde
Sans SIFT	3.0	20+		Ubuntu

DEFT Zero 2017.01

Nach einiger Zeit gibt es Neuigkeiten von DEFT. Das Digital Evidence & Forensics Toolkit kommt mit der Zero Version in einer etwas schmaleren Variante daher und hat nur eine Größe von 400 MB.

Zero, basierend auf Lubuntu 14.04.02 LTS, kann direkt in den RAM geladen werden oder alternativ im Text oder GUI Modus starten.

Es unterstützt 32-bit und 64-bit Hardware mit Secure Boot und UEFI.

Interessant ist der Support von NVMExpress Speicher und eMMC (MacBook).

Die volle DEFT Version wird weiterhin parallel entwickelt.

Weitere Infos

---

BlackArch Linux 2017.03

Die Jungs vom BlackArch Linux haben ebenfalls eine neue Version mit 50 neuen Tools veröffentlicht. Die auf Arch Linux basierende Distribution für Penetration-Tester und diejenigen die es werden wollen hat nun laut eigenen Angaben über 1700 Tools an Bord.

Das neue Release wurde auf den Kernel 4.9.11 aktualisiert und hat einen verbesserten Installer erhalten.

---

Parrot Security 3.5

Der "Sicherheits-Papagei" wurde auf den Debian Kernel 4.9.13 aktualisiert und hat Gast Support für Virtualbox und VMware erhalten.

Firefox 45 ESR wurde entfernt und durch die fast aktuelle Version 51 ersetzt.

Außerdem wurde CUPS integriert, somit beherrscht das Debian System nun auch das Drucken.

Ein Cinnamon Support ist bereits vorhanden, aber noch experimentell und somit mit Vorsicht zu genießen.

Vorhandene Security Tools wurden selbstverständlich ebenfalls aktualisiert.

Der komplette Changelog ist hier zu finden.

---

Übersicht forensische Distributionen 03/17

 

Name	Version	Tools	Besonderes	Basis	GUI
Autopsy	4.0	???	The Sleuth Kit	Windows
BackBox	4.7	70+	eigenes Repo	Ubuntu	Xfce
BackTrack	5	300+	out of date	Ubuntu	Gnome
BlackArchLinux	2017-03	1700+	ArchLinux	ArchLinux	Gnome
CaINE	5	100+	WinUFO	Ubuntu	Mate
DracOS	2.1	100+	CLI	LFS	DWM
DEFT	Zero	250+	Dart2	Lubuntu 14.04	Lxde
Kali Linux	2016.2	300+	ARM fähig	Debian	Multi
LionSec	5.0	???		Ubuntu
Matriux	v3 RC1	300+	out of date	Debian	Gnome
NST	24	???	Server integriert	Fedora
NetSecLOS	6.0	50+		OpenSuse	Lxde
Paladin	6.0	30+		Ubuntu
Parrot Security	3.5	700+	Cloud fähig	Debian Jessie	MATE
Pentoo	2015.0 RC5	???	64bit	Gentoo	Xfce
Ronin		150+	out of date	Lubuntu	Lxde
Sans SIFT	3.0	20+		Ubuntu

Unter Linux gibt es viele Möglichkeiten Performance oder andere Systemdaten zu messen. Den meisten wird wohl top als erstes in den Sinn kommen, andere nutzen eventuell free, bmon, vmstat, tcdump, htop, netstat oder lsof.

Glances geht einen ähnlichen Weg, versucht allerdings noch mehr Werte wie beispielsweise CPU Last, Speicherverbrauch, Load, Prozesse, Netzwerkdaten, Festplatten I/O Daten, IRQ / Raid Daten, Batteriesensor, Dateisysteme, Docker Container, Wifi, Alarmierung, Systeminfos oder Uptime unter einem Dach zu vereinen.

Man könnte Glances somit als eierlegende Wollmilchsau bezeichnen. Zusätzlich sieht es schick aus und weist den Anwender mit vordefinierten Farbcodes auf bestehende Systemprobleme hin.

Hier zeigt sich ein Vorteil zum bekannten top Befehl, welcher kein Highlighting kennt.

Glances basiert auf Python und greift auf psutil zurück, um Informationen aus dem System zu lesen.

Die Installation kann via wget oder pip vorgenommen werden.

Installation unter Ubuntu/Mint

sudo apt-get install python-pip
pip install --upgrade pip
pip install glances

Alternative Installationsmethode

wget -O- http://bit.ly/glances | /bin/bash

Für Containerfreunde gibt es ebenfalls einen Docker Container

docker pull nicolargo/glances
docker run -v /var/run/docker.sock:/var/run/docker.sock:ro --pid host -it docker.io/nicolargo/glances

Bedienung

Glances lässt sich mit diversen Parametern starten und beherrscht ebenfalls eine Remoteauswertung.

Hier ein paar praktische Startkommandos (alle können mit glances --help gelistet werden)

• Der Client Server Modus kann mit glances -s gestartet werden, wobei auf der Serverseite glances -c 192.168.0.1 aufgerufen werden sollte.
• Der ebenfalls mitgelieferte Webserver Modus kann mit glances -w gestartet werden, dazu wird allerdings das modul bottle benötigt (sudo pip install bottle). Der Server ist dann via http://127.0.0.1:61208/ erreichbar 

Weiter praktische Shortcuts, welche im Programm selbst anwendbar sind:

a – Sort processes automatically
c – Sort processes by CPU%
m – Sort processes by MEM%
p – Sort processes by name
i – Sort processes by I/O rate
d – Show/hide disk I/O stats ols
f – Show/hide file system statshddtemp
n – Show/hide network stats
s – Show/hide sensors stats
y – Show/hide hddtemp stats
l – Show/hide logs
b – Bytes or bits for network I/Oools
w – Delete warning logs
x – Delete warning and critical logs
1 – Global CPU or per-CPU stats
h – Show/hide this help screen
t – View network I/O as combination
u – View cumulative network I/O
q – Quit (Esc and Ctrl-C also work)

Fazit

Top ist sicherlich die erste Wahl, wenn es um eine schnelle Systemanalyse geht. Das Tool ist in nahezu jedem System integriert und benötigt keine extra Dateien.
Für eine ausführliche, farblich abgegrenzte und einfache Auswertung ist Glances aber eine gute Alternative. Dank der vielen Zusatzfunktionen (Remote, Docker Container) ist das Anwendungsspektrum ebenfalls relativ groß. 
Administratoren, welche regelmäßig mit top oder htop arbeiten, können allerdings getrost weitergehen. Der hippe Look sticht zwar ins Auge, viele Werte lassen sich allerdings auch mit systemeigenen Tools auslesen
 

Firefox Test Pilot gibt es schon eine ganze Weile. Dabei handelt es sich um eine Mozilla Plattform für interessierte Firefox Nutzer.

 
Diese können im Rahmen des Projekts verschiedene Browser Erweiterungen ausprobieren oder auch einreichen, welche später evtl. den Weg ins Hauptprogramm finden könnten.

Die Plattform ist seit diesem Jahr auf Deutsch verfügbar und dürfte somit auch hierzulande Anklang finden.

Zurzeit befinden sich vier Experimente auf der Pilot Seite, darunter sind Cliqz für Suchvorschläge, Min Vid für YouTube Freunde, Tab Center für Seitenleisten Fans und Page Shot für Screenshots.

Letzteres habe ich seit einiger Zeit im Einsatz und möchte es darum etwas in den Fokus rücken.

 
Page Shot - Schnelles und einfaches Bildschirmfoto

Das Page Shot Tool bindet sich nach Aktivierung des Test Pilot Addons und Installation der PageShot Erweiterung als kleines Scherensymbol in die Addon-Leiste ein.

Via Click können entweder die ganze Seite oder ein bestimmter Bereich abfotografiert werden. Jeder neue Screenshot wird in einen eigenen Bereich für eine begrenzte Zeit hinterlegt und ist somit später noch abrufbar. Zusätzlich wird der gemachte Screenshot automatisch in die Zwischenablage kopiert.

 
Neben der Screenshotfunktion wurde eine Sharingfunktion eingebunden, welche das direkte Teilen via Facebook, Twitter, Pintererst oder Mail erlaubt. Dazu wird ein einmaliger Link zum Bild erstellt z.B. https://pageshot.net/sartUdxxXXsnxxrRcI/testpilot.firefox.com

Kleine Bemerkung am Rande, anders als die Testpilot Seite oder die Pageshot Info Seite, ist die Screenshot Erweiterung selbst allerdings wieder auf Englisch. 

Wer sich Sorgen um die online gestellten Screenshots macht, den kann ich auf folgende Mozilla Aussage verweisen

„Wir speichern Ihre Screenshots auf Mozillas Servern und haben Zugang zu diesen Screenshots. Wir greifen aber nur auf Ihre Screenshots zu, wenn diese für den Betrieb unserer Dienste verhältnismäßig erforderlich ist, zum Beispiel, wenn uns ein Screenshot gemeldet wird oder zur Diagnose von Problemen. Wir analysieren außerdem alle Screenshots gemeinsam, um Page Shot zu verbessern, zum Beispiel indem wir die durchschnittliche Größe und Zahl von Screenshots pro Benutzer erfassen.“

Mehr unter der Hauptseite

Fazit

Für den schnellen Screenshot zwischendurch ist das Tool perfekt, besonders wenn es gilt diesen übers Netz zu teilen.

Schön wäre es, wenn in Zukunft noch ein paar Bearbeitungsfunktionen wie Markierungen hinzufügen, Größe anpassen oder Rahmen dazu kommen würden, ohne das Tool zu mächtig werden zu lassen. 

So komme ich momentan noch nicht ganz ohne Programme wie GreenShot oder PicPick zurecht, da die oben erwähnten Funktionen dort vorhanden sind und hin und wieder eben gebraucht werden

Unter dem Namen IT Landscape for sysadmins ist eine kleine aber feine Übersicht diverser OpenSource Projekte zu finden.

Unterteilt in Kategorien wie Protokolle, Cloud & Virtualisierung, Storage, Monitoring, Support Systeme, Messaging, Automation oder Essentials finden sich viele bekannte FOSS (Free and Open Source Software) Tools.

Solche Landschaftsgrafiken sind ja vom Marketing, Social Media oder IT Dienstleistern durchaus bekannt, bisher ist mir aber keine Übersicht für OpenSource Software untergekommen.
Umso besser, dass Alen Krmelj Mitte 2015 das Projekt Sysadmin Open Source Landscape ins Leben gerufen hat.

Die Sammlung kann sich jetzt schon sehen lassen und darf dank ihrer offenen Architektur von allen erweitert werden. Dazu genügt ein Klick auf das Plus Symbol in der jeweiligen Kategorie.

Wer sich die IT-Landschaft ausdrucken möchte, der kann dank der verschienden Ansichten (oben rechts) eine einfach Liste abspeichern. 

Fazit

Tolles Projekt, welches bei der Suche nach Lösungen in einem bestimmten Bereich sicherlich eine gute Hilfestellung im Hinblick auf eine große Auswahl an Software bietet. Gerade für Systemadministratoren oder andere Berufe im IT Wesen bietet diese Grafik einen Mehrwert.