Die in diesem Artikel vorgestellten Linux-Derivate werden auch gerne als Hacker-Distributionen bezeichnet. Der Ausdruck ist nicht ganz falsch. Allerdings sind die Lösungen nicht mit einem böswilligen Hintergedanken entwickelt worden. Vielmehr sollen Administratoren Werkzeuge an die Hand gegeben werden, mit denen sie die eigene IT-Umgebung auf Sicherheitslöcher testen können. Denn es ist ja logisch: Nur wer weiß, wo sich Schwachstellen befinden, kann diese schließen.
TecChannel möchte deutlich darauf hinweisen, dass diese Tools nur zu Sicherheitszwecken eingesetzt werden dürfen. Wollen Sie damit ein Firmennetzwerk testen, sollten Sie das unbedingt mit Ihrem Vorgesetzten absprechen und sich eine entsprechende Erlaubnis einholen. Denn wenn Sie versuchen, sich unerlaubten Zugriff auf Fremdrechner oder Fremdnetzwerke zu verschaffen, ist dies strafbar.
Linux-Anfänger sollten sich im Klaren sein, dass sie mit den hier vorgestellten Systemen nicht viel Spaß haben werden. Es handelt sich um hoch spezialisierte Linux-Distributionen, die viele Automatismen der Mainstream-Ausgaben nicht enthalten. Sie sollten sich deshalb mit Linux zumindest ein bisschen auskennen. Auch für Sicherheits- und Netzwerktests sind entsprechende Kenntnisse erforderlich, um zu verhindern, dass man mit den enthaltenen Tools Schaden anrichten.
Die Hardwarekompatibilität ist beim Einsatz der hier vorgestellten Distributionen oft zweitrangig. Sie können die Sicherheitsdistributionen wunderbar in virtuellen Maschinen betreiben und die gewünschten Tests durchführen. Eine Ausnahme gibt es, wenn Sie das WLAN auf Sicherheit überprüfen möchten: Virtuelle Maschinen und WLAN-Karten funktionieren in der Regel nicht.
Die bekannteste Sicherheitsdistribution: BackTrack
BackTrack Linux entstand durch eine Zusammenführung der Sicherheitsdistributionen Auditor Security Linux und WHAX. "Je leiser Du bist, desto mehr kannst Du hören" ist das Motto der Entwickler. BackTrack lässt sich als Live-CD nutzen. Nach dem Start landen Sie zunächst auf der Kommandozeile, da die meisten Sicherheitswerkzeuge Konsolen-Tools sind.
Eine grafische Oberfläche rufen Sie mittels Befehl startx auf. Danach startet sich KDE 3.5.10. Als alternative Desktop-Umgebung bieten die Entwickler Fluxbox an.
Sie können BackTrack auch relativ einfach auf die Festplatte installieren. Dazu starten Sie die grafische Oberfläche und führen die Datei install.sh aus, die sich auf dem Desktop befindet. Alternativ könnten Sie über die Konsole ubiquity aufrufen. Nun öffnet sich eine Installationsroutine, die Ubuntu-Anwendern bestens bekannt sein dürfte. Damit ist sogar eine Dual-Boot-Konfiguration mit Windows flott eingerichtet.
Das Betriebssystem auf einen USB-Stick zu bannen ist ebenfalls ein Kinderspiel. Am einfachsten ist es, wenn Sie dafür Unetbootin verwenden. Das USB-Gerät muss mindestens 2 GByte groß und als Dateisystem Fat32 formatiert sein. Wissenswert für den späteren Start sind Benutzername und Passwort: root / toor.
An Applikationen lässt BackTrack kaum Wünsche offen. Es gibt wohl keine Distribution, die mehr Sicherheits-, Forensic- und Penetrations-Tools an Bord hat. Ob Aircrack-NG, das Metasploit-Framework, Passwortsicherheit, Sniffer, Fuzzer oder Snort - alle Werkzeuge aufzuzählen und genau darauf einzugehen würde den Rahmen dieses Artikels sprengen.
Darüber hinaus bringt BackTrack noch einige Serverdienste mit. Beispielsweise können Sie auf recht einfache Weise SSH-, HTTP- oder MySQL-Dienste starten.
Die Hersteller von BackTrack, Offensive Security, bieten übrigens auch Kurse an, bei denen Sie die Zertifikate OSCP und OSCE erwerben können. In der How-To-Sektion der Website stellen die BackTrack-Entwickler viele wertvolle Anleitungen zur Verfügung. Dazu sollten Sie aber der englischen Sprache mächtig sein. Weitere wertvolle Informationsquellen sind das BackTrack Wiki und das Forum.
Das schwarze Ubuntu: Blackbuntu
Es dürfte anhand des Namens nicht schwer zu erraten sein, dass Blackbuntu auf Ubuntu basiert. Diese Sicherheitsdistribution startet in eine grafische Oberfläche, die GNOME verwendet. Sie lässt sich sowohl als Live-Medium betreiben als auch auf die Festplatte installieren. Dies funktioniert in gewohnter Ubuntu-Manier.
Den Entwicklern gelingt es recht gut, eine Brücke zwischen Desktop-Betriebssystem und reiner Testdistribution zu schlagen. Auf Blackbuntu finden Sie auch Anwendungen wie Brasero, Shotwell, Rythmbox, Transmission Evolution und VLC-Player. Ebenso haben Sie mittels Ubuntu Software Center Zugriff auf Tausende andere Pakete. Das Betriebssystem basiert auf Ubuntu 10.10 Maverick Meerkat und ist natürlich zu dessen Repositories kompatibel. Im Prinzip handelt es sich um eine ganz normale Ubuntu-Ausgabe mit dunklem Anstrich und durch Hunderte Sicherheits-Tools erweitert.
An Sicherheits-Tools lässt die Distribution ebenfalls kaum Wünsche offen. Sie finden unter anderem die Metasplot-Frameworks 2 und 3, searchsploit, Passwort-Knacker und diverse WLAN-Werkzeuge wieder.
Die reichhaltige Softwareauswahl hat natürlich seinen Preis. Das ISO-Abbild ist satte 2,4 GByte groß und hat somit nur auf einer DVD Platz. Die Entwickler haben sogar an Ubuntu Tweak gedacht. Das macht es Anfängern besonders einfach, das Hauptbetriebssystem zu administrieren.
Knoppix-STD
Dass Klaus Knoppers Knoppix die Mutter aller Live-Distributionen ist, dürften einigen Anwendern bekannt sein. Es gibt aber auch eine auf Knoppix basierende Sicherheitsdistribution: Knoppix-STD. Dieses Betriebssystem startet als Live-CD in einen grafischen Modus und bringt Fluxbox als Fenstermanager mit sich.
Obwohl man es auf den ersten Blick gar nicht wahrnimmt, bringt auch Knoppix-STD etliche Sicherheits-Tools mit sich. Oftmals verweist ein Menüeintrag auf ein Verzeichnis. Klickt der Anwender darauf, öffnet sich ein Terminal im entsprechenden Ordner. Dort finden sich dann massig Konsolenwerkzeuge zum Überprüfen der Sicherheit.
Auch Knoppix-STD bringt Serverdienste mit. Dazu gehören unter anderem Samba, Apache, SSH und VNC. Ebenso können Sie mit nur einem Klick einen Honeypot starten. Dieser soll Cyberschädlinge anlocken, und Sie können in aller Ruhe lauschen. Mit von der Partie ist zudem die Einbruchserkennung Snort - das gehört eigentlich zum guten Ton und zum Standardinventar einer Sicherheitsdistribution.
Wer mehr über die in Knoppix-STD enthaltenen Werkzeuge erfahren möchte, findet auf der Website eine Liste der Entwickler. Die Schöpfer von Knoppix-STD stellen des Weiteren eine FAQ-Liste zur Verfügung. Wem das immer noch nicht genug ist oder wer Fragen hat, sollte sich im Forum der Distribution umsehen.
Sie können Knoppix-STD auch auf eine Festplatte installieren. Ebenso haben Sie die Möglichkeit, die Konfiguration auf ein tragbares Medium zu sichern. Wie auch von Knoppix her bekannt, können Anwender ein dauerhaftes Home-Verzeichnis erstellen.
Mit LXDE: Deft Linux
Die derzeit aktuelle Version von Deft Linux basiert auf dem inoffiziellen Ubuntu-Abkömmling Lubuntu. Wie das schon vermuten lässt, bringt diese Linux-Variante LXDE als Desktop-Umgebung mit.
Deft ist deswegen interessant, weil es diverse freie Windows-Forensic-Tools verwendet. Diese lassen die Entwickler mittels WINE laufen. Sie finden zum Beispiel Werkzeuge, um den Cache von Firefox, Opera, Internet Explorer und Chrome zu analysieren.
Wireshark, ClamAV, Ophcrack und xplico sind ebenfalls an Bord, laufen jedoch nativ unter Windows. Passwort und Benutzername für Letzteres lauten übrigens xplico und xplico.
Wer also auf seinem Windows-Rechner etwas genauer analysieren möchte, kann dies mit der Live-CD Deft tun. Für Deft gibt es seit Kurzem auch eine offizielle Dokumentation, die derzeit aber nur in Italienisch verfügbar ist. Sie wird derzeit in Englisch, Spanisch und Chinesisch übersetzt. Ebenso gibt es eine Version Deft Extra 3.0. Paketlisten mit den enthaltenen Tools finden Sie auf der Projektseite.
F.I.R.E. - Forensic and Incident Response Environment
E. ist eine Live-CD, die ebenfalls in eine grafische Oberfläche startet und einen einfachen Fenstermanager an Bord hat. Diese Distribution wird mit dem Ziel forensischer Analysen entwickelt.
Es sind zwar einige Penetrationswerkzeuge an Bord, aber auch ein Virenscanner. Ob das System noch weiterentwickelt wird, ist fraglich. Der letzte Eintrag auf der Website datiert aus dem Jahre 2004. Die Distribution bringt OpenOffice 1.0.1 und Linux-Kernel 2.4.20 mit. Die Veröffentlichung dieser beiden Softwarestücke ist ein gefühltes Jahrhundert her - wir erwähnen F.I.R.E. nur der Vollständigkeit halber, da sich das Betriebssystem immer noch herunterladen lässt.
Basiert auf Knoppix - Operator
Einen ähnlichen Eindruck wie F.I.R.E. hinterlässt auch Operator. Es basiert auf einer Uralt-Version von Knoppix und enthält KDE 3.3.2 sowie Linux-Kernel 2.4.31.
An Tools beinhaltet Operator etwas mehr als F.I.R.E., beispielsweise Airsnort, Nessus und Ethereal. Auf der Projektseite ist zu lesen, dass mehr als 900 Softwarepakete und 200 ausführbare Programme enthalten sind. Ebenso seien Exploits für über 100 Windows- und UNIX-Schwachstellen ausführbar. Diese dürften aber nur noch auf sehr alten Systemen funktionieren.
Wie bei F.I.R.E. gilt, das Betriebssystem ist für einen Download verfügbar. Ob es noch sinnvoll ist, bleibt zu bezweifeln.
Verwundbar: Damn Vulnerable Linux
Eine Spielwiese für Hacker und die wohl löchrigste Linux-Distribution überhaupt - allerdings mit Absicht, denn die Entwickler von Damn Vulnerable Linux wollen Sicherheitsexperten einen "Trainingsplatz" zur Verfügung stellen. Allerdings befindet sich das Projekt wohl gerade in einer weiteren Entwicklungsphase und laut Projekt-Site ist DVL 2.0 voraussichtlich im Sommer 2011 verfügbar. Schade, dass man die Vorgängerversion nicht mehr herunterladen kann.
Fazit
Linux, Open-Source und freie Software stellen Ihnen alles zur Verfügung, was Sie für eine Sicherheitsprüfung brauchen. Die Werkzeuge sind also vorhanden - das ist die eine Seite. Die andere ist, damit umgehen zu können. Diese, häufig auf Kommandozeile zu bedienenden Sicherheits-Tools sind für viele Anwender gewöhnungsbedürftig. Die Lernzeit wird sicher länger sein, als wenn Sie ihre erste und simple HTML-Seite mit einem WYSIWIG-Editor basteln. Allerdings gibt es Kurse, und auch das Internet ist eine reichhaltige Informationsquelle. Solltn Sie mit diesen Werkzeugen umgehen können, gehören Sie zu einem erlesenen Spezialistenkreis.
Sie müssen ja nicht gleich alle Tools auf einmal beherrschen. Fangen Sie am besten mit dem Werkzeug an, das Sie am meisten interessiert oder das für Ihr Einsatzgebiet am sinnvollsten ist.
Welche Distribution Sie verwenden möchten, ist Geschmacksache. Das gilt natürlich nur für die Systeme, die auch noch aktiv weiterentwickelt werden. Sicherlich finden Sie über BackTrack dank des hohen Bekanntheitsgrades sehr viele Informationen. Ebenso bietet die Distribution von Offensive Security einen reichhaltigen Pool an Werkzeugen. Das gilt aber auch für Blackbuntu. Der Ubuntu-Abkömmling kommt Anfängern wegen der guten Bedienbarkeit wohl eher entgegen. Im Vergleich zu BackTrack wirkt Blackbuntu moderner, und die Bedienung geht etwas einfacher von der Hand. Allerdings muss eine Sicherheitsdistribution ja nicht zwingend gut aussehen.
TecChannel möchte noch einmal darauf hinweisen, dass Sie sich mit diesen Tools sehr schnell am Rande der Legalität bewegen können. Setzen Sie diese Werkzeuge nur ein, um die eigene Sicherheit ihrer IT-Umgebung zu prüfen. (mje)