Erwachsen werden

Inhaltsverzeichnis

Backtrack gilt bereits als alter Hase unter den auf IT-Sicherheit spezialisierten Linux-Live-Systemen. Ursprünglich entstanden durch die Fusion von Whoppix/Whax mit Auditor, steht nunmehr die vierte Generation dieser Vereinigung zum Download bereit. Das Entwicklerteam um Mati Aharoni hat sich gut anderthalb Jahre Zeit gelassen [1], bis es Backtrack 4 schließlich am 11. Januar 2010 veröffentlichte. Diesmal liegt es nur als Live-DVD und VMware-Image vor, die bei Backtrack 3 angebotene USB-Variante fehlt.

Von einer Major-Release erwartet man neue Features. Diese Erwartung enttäuscht Backtrack 4 nicht, denn erstmals darf man es guten Gewissens eine echte Distribution nennen. Arbeitete sein Vorgänger noch mit Slackware-Linux, läuft es jetzt komplett auf Ubuntu-Basis, aktuell mit dem Kernel 2.6.30.9. Zudem pflegt das Backtrack-Team ab sofort eigene Repositorien (Update-Archive), die den Abgleich eines lokalen Systems mit der Onlineversion der Entwickler ermöglichen – insbesondere in Bezug auf Sicherheits-Updates ein wichtiger Schritt. Komfortabel ist das Ganze obendrein, nimmt das Entwicklerteam dem Anwender doch viel Arbeit beim Aktualisieren der Backtrack-Anwendungen ab. Es rät jedoch dringend dazu, diese Update-Archive ausschließlich mit Backtrack und nicht etwa mit anderen Debian/Ubuntu-Derivaten zu verwenden.

Für IT-Forensiker hat das Entwicklerteam endlich die richtigen Weichen gestellt: Backtrack nimmt nach dem Start von sich aus keinerlei Kontakte mit dem Netz auf. Außerdem kann man beim Booten der Live-DVD den neuen Menüeintrag „Forensik“ auswählen. Er verhindert Automounts und die Verwendung von Swap-Dateien. In jedem Fall muss man die Netzverbindung nach dem Booten mit dem Kommando start-network explizit aktivieren.

Milw0rm- und Metasploit-Archive

Als im Juli 2009 zum Schrecken vieler IT-Sicherheitsexperten der Betreiber str0ke wegen Zeitmangels das bekannte Exploit-Archiv „Milw0rm“ zeitweilig einstellte, sprang das Backtrack-Team ein, sammelte geschwind die Milw0rm-Exploits und veröffentlichte sie in einem neuen Archiv namens Exploit-DB. Nahezu tagesaktuell gepflegt von einer umfangreichen Community ist es auf dem besten Weg, sich als Quasi-Standard in der Szene zu etablieren. Eben dieses Archiv hat Backtrack 4 integriert und hält es auf Knopfdruck mit dem aktuellen Stand der Exploit-DB-Site synchron. Eine segensreiche Einrichtung für professionelle Penetrationstester, die auf Flexibilität angewiesen sind und denen Metasploit nicht reicht.

Schon seit langer Zeit ist das bekannte Metasploit-Framework (MSF) des IT-Sicherheitsexperten HD Moore integraler Bestandteil von Backtrack. Im September 2009 schließlich ging, initiiert vom Backtrack-Team, der größtenteils freie Onlinekurs „Metasploit Unleashed“ ans Netz. Er enthält viele nützliche Tipps und Tricks und taugt auch als gutes Nachschlagewerk. Von Zeit zu Zeit aktualisieren die Backtrack-Entwickler ihre Metasploit-Daten komplett. Wünscht man sich einen tagesaktuellen Online-Abgleich, steht das Update via Subversion zur Verfügung. Die Aktualität der integrierten MSF-Exploits ist bemerkenswert: Die Internet-Explorer-Schwachstelle „Aurora“ beispielsweise, vor der das BSI am 15. Januar offiziell warnte und die international Schlagzeilen produzierte, war bereits am Abend desselben Tages als lauffähiger Exploit namens ie_aurora integriert.

Backtrack 4 bringt in der DVD-Variante ein trivial zu bedienendes Festplatten-Installationsprogramm mit. Im Test ließ sich das System auf diverser Hardware, auch auf einem Apple Mac Pro, ohne Schwierigkeiten installieren.

Grafikhardware hilft beim Rechnen

Beim Codeknacken muss sich etwaige Grafikhardware nicht länger langweilen. Sie kann nun dank integrierter CUDA- und Stream-Unterstützung für NVIDIA- beziehungsweise ATI-Karten dabei mitarbeiten. Somit steht dem heiteren WPA/WPA2-PSK-Attackieren mittels Pyrit Nichts mehr im Wege. Auch die bekannte RFID-Analysesoftware RFIDIOt von Adam Laurie hat es in Backtrack 4 hineingeschafft. Das Backtrack-Team stellt viele RFIDIOt-Tools bereits vorkonfiguriert für die Hersteller ACG, Frosch und das PC/SC-System bereit. Das nötige Geld vorausgesetzt, kann man bei Adam Laurie das passende Spielzeug dazu bestellen. Eine PICO-Rechenkarte, für die Backtrack einen Treiber enthält, beschleunigt Angriffe auf Bluetooth-PINs mit bluesmash und bluesquirrel erheblich. Für eine adäquate Visualisierung von Netzumgebungen gehört die Community Edition von Maltego nach wie vor zum Inventar von Backtrack, aktuell in der Version 2.0.2 (s. Aufmacher).

Wer sich zur Installation auf der Festplatte entschließt und es besonders sicher mag, dem steht mit eCryptfs erstmals in Backtrack ein Dateisystem zur Verfügung, das selektiv gewünschte Bereiche verschlüsselt. Im Release-Paket ist es zwar nicht enthalten, lässt sich jedoch einfach mit apt-get install ecryptfs-utils installieren. Der Missstand, dass auch Nessus fehlt – fast schon traditionsgemäß – ist schnell korrigiert: Einfach das aktuelle Paket von der Homepage laden und sudo dpkg -i Nessus-4.2.0-ubuntu804_i386.deb ausführen. Für aktuelle Nessus-Plug-ins muss man sich nach wie vor auf der Nessus-Homepage registrieren.

Fazit

Erstmals kommt Backtrack durch die integrierte Update-Funktion apt-get und deren GUI-Pendant synaptic als dauerhafte Arbeitsplattform infrage. Die lange Betaphase spricht zumindest zurzeit für eine kontinuierliche Arbeit an der Distribution. Es bleibt abzuwarten, ob das Team um Aharoni diesen Standard langfristig halten kann. Insbesondere in IT-Sicherheitskreisen, in denen eine gesunde Paranoia keineswegs unüblich ist, muss man sich auf eine kontinuierliche Pflege der Archive verlassen können.

Jörg Riether

ist spezialisiert auf IT-Sicherheit, Hochverfügbarkeit und Virtualisierung. Er arbeitet als Abteilungsleiter der EDV bei der Vitos Haina gGmbH.

Literatur

[1] Jörg Riether; Einbruchstests; Scheineinbruch; Backtrack 3 integriert kommerzielle Werkzeuge; iX 10/2008, S. 64

www.ix.de/ix1003067

iX-Wertung

[+] komplette Paketverwaltung

[+] Integration von Exploit-Archiven

[+] CUDA- und Stream-Anbindung (ck)