Forensische Analyse auf dem PC
Mit DEFT-Linux Hacker-Angriffe erkennen und analysieren
In Zeiten, in denen Domains und Netzwerke großer Unternehmen und Institute fast ununterbrochen Angriffsversuchen durch Bot-Netze unterliegen, ist es für jeden verantwortungsbewussten Admin Pflicht, sein Netzwerk täglich auf Sicherheitsschwachstellen abzuklopfen, den ein- und ausgehenden Datenverkehr zu überwachen oder im Anschluss an einen erkannten Einbruchsversuch eine forensische Analyse durchzuführen. Letztere kommt auch dann zum Einsatz, wenn ein im Zusammenhang mit einer Straftat beschlagnahmter PC als Beweismittel dient und dazu forensisch analysiert werden muss. Selbstverständlich gehört auch das profane Wiederherstellen verloren gegangener oder versehentlich gelöschter Daten - sei es aus Unachtsamkeit oder als Folge eines Hardwaredefekts - in den Aufgabenbereich der Forensik.
Da nicht nur die Angriffswerkzeuge der Hacker, sondern auch die meisten Tools zum Überwachen und Analysieren von IP-Netzwerken oder zum Analysieren und Reparieren von Dateisystemen Open-Source-Software sind - oft handelt es sich sogar um die gleichen Werkzeuge -, basieren Sicherheitstest- und Reparaturlösungen häufig auf Linux wie zum Beispiel DEFT.
- DEFT-Linux in der Praxis
DEFT gibt es derzeit als bootfähige DVD und als Ligth-Version DEFT Zero. Während DEFT Zero als Leichtgewicht konzipiert ist und als spezielle Startoption zum Beispiel auch direkt ins RAM booten kann. - DEFT-Linux in der Praxis
Das DEFT-Auswahlmenü. - DEFT-Linux in der Praxis
Die DVD-Variante offeriert auch eine Boot-Option zum direkten Installieren. - DEFT-Linux in der Praxis
Bei Deft 8.2 ist die Softwareausstattung im Menü DEFT naturgemäß umfangreicher, allerdings gibt hier viele thematische Überschneidungen zum Beispiel zu Kali Linux. So finden sich bei DEFT 8.2 in den Menüs OSINT und Network Forensics auch viele bekannte Penetrationstest-Tools wie Matego. Aber auch Kali Linux liefert zahlreiche Forensic-Tools mit. DEFT Zero dagegen beschränkt sich auf die wichtigsten Forerensic-Tools. - DEFT-Linux in der Praxis
DEFT mountet vorhandene Partitionen nie automatisch, sondern nur bei Bedarf, was etwa mithilfe des Dateimanagers erfolgen kann. - DEFT-Linux in der Praxis
Die DEFT-Linux-Sprachauswahl. - DEFT-Linux in der Praxis
Mit dem grafischen Mount-Manager gelingt das Einbinden von Windows-Partitionen auch wenig Linux-erfahren Nutzern sehr komfortabel. - DEFT-Linux in der Praxis
Grafische Tools wie Guymager erlauben in DEFT das komfortable, bitgenaue Kopieren von Datenträger, ein jeder forensischen Untersuchung vorausgehender Vorgang. - DEFT-Linux in der Praxis
Die Data-Recovery-Tools von DEFT. - DEFT-Linux in der Praxis
Den DEFT SQLite-Browser-starten. - DEFT-Linux in der Praxis
Das Durchforsten der Browser-Daten mit einem SQLite-Browser.
DEFT Zero und DEFT 8.2
Die mit Abstand populärste Linux-basierte Live-Distribution für forensische Analyse ist das aus Italien stammende DEFT-Linux. Die Abkürzung steht für "Digital Evidence & Forensics Toolkit" und ist aktuell in der Version 8.2 erhältlich. Darüber hinaus gibt es einen Release Candidate der DEFT-Light-Variante DEFT Zero. DEFT ist eine bootfähige Live-CD- (DEFT Zero), beziehungsweise DVD und als ISO-Datei für 64-Bit-Intel/AMD-Architekturen zum Download verfügbar. DEFT basiert auf einem 64-Bit-Ubuntu-System - DEFT Zero beispielsweise auf Lubuntu 14.04.02 LTS. DEFT Zero ist für einen minimalistischen Ressourcenbedarf konzipiert, kommt mit 400 MByte Arbeitsspeicher aus und kann sogar komplett ins RAM booten. DEFT Zero soll künftig parallel zur Fullsize-Versionen entwickelt werden. DEFT 8.2 und insbesondere DEFT Zero laufen mit aktuellster Hardware und funktionieren mit 32- und 64-Bit-Plattformen, einschließlich UEFI mit Secure Boot, also auch auf Macbooks und Windows-8-Systemen.