Skip to content

Aktualisierte Sicherheits Distributionen Übersicht - CAINE 9, NST 26 und Parrot Security 3.9 veröffentlicht

CAINE 9.0 "Quantum" - Digitale Forensik made in Italy

Mit CAINE 9.0 wurde die digitale forensische Distribution aus Italien erneut aktualisiert.
Die Distribution bringt neben den üblichen Bekannten aus dem Linuxumfeld mit Win-Ufo auch Tools für die Untersuchung von Windows Systemen mit.

Quantum wird mit Kernel 4.4.0-97 bzw. Ubuntu 16.04 64Bit ausgeliefert und hat mit Systemback einen einfachen Installer an Bord.

Damit es nach dem Start nicht zu Verwirrungen kommt, hier ein paar Hinweise:

Beim direkten Booten werden alle Laufwerke im Lesemodus gemountet, zusätzlich lässt sich das System in den RAM booten. Der SSH Server ist nun ab Werk deaktiviert und muss gesondert aktiviert werden.

caine

Wie bei anderen Distributionen aus diesem Sektor wurden Tools aktualisiert oder neu aufgenommen, hier eine Auswahl:

  • RegRipper - Windows Registry auslesen und untersuchen
  • The Harvester - Domain und E-Mail Informationssuche
  • Tinfoleak - Twitter Informationsbeschaffung
  • Infoga - Informationssuche via Domain
  • VolDiff  - Malware Memory Footprint Analyse

Weiter sind SafeCopy, PFF tools, pslistutil, mouseemu dazu gekommen.

Download CAINE


 

NST 26 Network Security Toolkit SVN:9267

Das Network Security Toolkit hatte ich mit Version 22 das erste Mal im Blog vorgestellt.

Inzwischen ist Version 26 veröffentlich worden. Der auf Fedora 26 basierende Werkzeugkasten für Adminstratoren beinhaltet viele praktische Tools um Netzwerke zu analysieren oder zu penetrieren.

NST

Neu dabei sind unter anderem The Sleuth Kit, Hashrat Utility oder Robot.txt Analyse mit Parseo, sowie OpenVAS. 

Eine komplette Liste ist hier zu finden.

Download NST


 

Parrot Security 3.9 

parrot-logo

Der Papagei ist weiter recht munter, erst vor kurzem wurde die letzte Version veröffentlicht.

Mit v3.9 wurde eine Sandbox basierend auf firejail integriert. 

Die übliche Systempflege wurde für das Release natürlich ebenfalls betrieben.

Download Parrot


 


Bleibt noch die aktualisierte Übersicht, der hier bereits erwähnten Systeme.

Übersicht forensische Distributionen 11/17

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 5 70+ eigenes Repo Ubuntu Xfce
BlackArch Linux 2017-08-30 1750+ ArchLinux ArchLinux Gnome
CAINE 9 100+ WinUFO Ubuntu Mate
DracOS 3.0 100+ CLI LFS DWM
DEFT Zero 250+ Dart2 Lubuntu 14.04 Lxde
Kali Linux 2017.2 300+ ARM fähig Debian Testing Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 26 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.9 700+ Cloud fähig Debian Buster MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

3 Methoden um alte Kernel unter Ubuntu, Linux Mint oder Elementary OS zu entfernen

Fehler oder Lücken im Kernel von Linux Systemen werden immer mal wieder entdeckt oder einfach neue Kernel mit neuen Funktionen veröffentlicht. 
Bei regemäßigen Updates kann eine ganze Sammlung an alten Kernel Versionen auf einem System entstehen.
Dies macht eine Bereinigung der betroffenen Systeme von Zeit zu Zeit notwendig.

Im Normalfall reicht ein apt-get autoremove autoclean aus, um ein System relativ sauber zu halten. 
Allerdings füllen alte Linux Kernel die Festplatte und werden im Normalfall nicht mehr benötigt.
Um diese zu entfernen gibt es verschiedene Möglichkeiten. Drei Varianten möchte ich heute vorstellen.

kernels-anzeigen

Erste Variante - Händisch

Die erste Variante hatte ich bereits im Blog erwähnt und wird mit Hilfe des Paketmanagers dpkg/apt durchgeführt und bedeutet etwas Handarbeit.

Zunächst werden die vorhandenen Kernels aufgelistet 

dpkg --list |grep linux

um sie danach händisch zu entfernen.

sudo dpkg --purge linux-image-4.4.0-xx-headers-generic linux-image-4.4.0-xx-generic linux-image-extra-4.4.0-xx-generic

Mit ein paar Tricks lässt sich dies auch vereinfachen.

sudo dpkg --purge linux-{image,headers}-4.x.x-{61,62,..}

Zweite Variante - Halbautomatisch

Ubuntu 16.04 hat das Tool byobu an Bord, welches das Kommando purge-old-kernels mitbringt. 

Sollte dies nicht der Fall sein, lässt es sich mit sudo apt install byobu nachinstallieren.

Danach kann eine Bereinigung des Systems relativ einfach durchgeführt werden.

sudo purge-old-kernels

Der Befehl löscht alle Kernel bis auf die zwei letzen. Sollte dies nicht gewünscht sein, kann das Verhalten mit dem --keep Parameter geändert werden.

sudo purge-old-kernels --keep 3

Dieser Befehl behält die letzten drei Kernel und löscht den Rest.

purge-old-kernels

Dritte Variante - Automatisch

Für automatische Updates und andere Aufgaben bringt Ubuntu das Tool unattended-upgrades mit.

Hiermit lässt sich eine Bereinigung komplett automatisieren.

sudo dpkg-reconfigure -plow unattended-upgrade

Nun muss unter /etc/apt/apt.conf.d/50unattended-upgrades folgendes freigeschaltet werden:

Unattended-Upgrade::Remove-Unused-Dependencies "true";

autoremove-kernelFazit

Sollte Zeit eine Rolle spielen, bietet sich die automatische Methode wohl am ehesten an, allerdings ist man hier nicht mehr ganz Herr über das Systemverhalten,was Risiken mit sich bringt. 

Debiananwender werden die erste Variante kennen und nicht missen wollen.

Die zweite Variante purge-old-kernels stellt sicherlich die einfachste und schnellste Methode dar, um ein System von Altlasten zu befreien.
 

pgAdmin 4 v2.0 - Bessere Performance und PostgreSQL 10 Unterstützung

Seit gut einem Jahr ist pgAdmin in Version 4 verfügbar. Die komplett überarbeitete Version wurde damals neu geschrieben und Stand zu anfangs noch auf etwas wackeligen Beinen. Keine Wunder nach einer komplett neu geschriebenen Variante.

Mit der aktuellen Version 2.0 wurden daher bis zu 70 Bugs gefixed. Die Performance des JQuery UI wurde massiv verbessert und eine SSL Unterstützung integriert. Natürlich ist auch die Unterstützung für das aktuelle PostgreSQL 10 mit an Bord. 

Eine Konfiguration im Vorfeld soll nun wegfallen und das PostgreSQL Tool "out of the box" starten.

Alle Änderungen lassen sich im Blog Beitrag nachlesen.

pgadmin4-logo

Installation pgAdmin 4 unter Ubuntu 16.04. LTS

Es gibt mehrere Varianten das Tool auf Ubuntu zu installieren. Leider wird bis jetzt noch kein Repository unterstützt. 

Es kann auf die Python Wheel Variante zurückgegriffen werden.

sudo apt-get install virtualenv python-pip libpq-dev python-dev
virtualenv pgadmin

cd
virtualenv pgadmin
cd pgadmin
source bin/activate
pip install https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v2.0/pip/pgadmin4-2.0-py2.py3-none-any.whl

python ~/pgadmin4/lib/python2.7/site-packages/pgadmin4/pgAdmin4.py

Die Konfigurationsdatei dieser Installation ist unter lib/python2.7/site-packages/pgadmin4/config.py zu finden.

pgadmin-dashboard1

Installation pgAdmin 4 mit Docker Container

Wer lieber auf Docker setzt, der kann auch einen Container verwenden.

docker pull dpage/pgadmin4

docker run -p 80:80 -e "PGADMIN_DEFAULT_EMAIL=user@example.de" -e "PGADMIN_DEFAULT_PASSWORD=SuperSecret" -d dpage/pgadmin4


oder mit einer SSL Variante

docker pull dpage/pgadmin4
docker run -p 443:443 \
-v "/private/var/lib/pgadmin:/var/lib/pgadmin" \
-v "/path/to/certificate.cert:/certs/server.cert" \
-v "/path/to/certificate.key:/certs/server.key" \
-e "PGADMIN_DEFAULT_EMAIL=user@example.de" \
-e "PGADMIN_DEFAULT_PASSWORD=SuperSecret" \
-e "PGADMIN_ENABLE_TLS=True" \
-e "PGADMIN_SERVER_NAME=pgadmin.domain.com" \
-d pgadmin4

 

Fazit

Leider konnte ich die neue Version bis jetzt noch nicht auf Herz und Nieren testen. Allerdings ist trotz der Performance Verbesserungen, immer noch Luft nach oben. Detaillierte Fehler wie beispielsweise mit Postgis (siehe alter Artikel), kann ich adhoc nicht beurteilen.

Die nicht vorhandene Installation via Repository wird einige Ubuntu Nutzer an der Verwendung des Tools hindern, immerhin stehen mit RPM, PIP und Docker Alternativen zur Verfügung. 

Die alte Version 3 wird zwar nicht mehr offiziell unterstützt, kann aber alternativ weiterhin verwendet werden.