Live-Systeme für mehr Sicherheit

DEFT

Samstag, 01.09.2012 | 09:05 von David Wolski
Hinter der Abkürzung DEFT steht ein Live-System, das an der Universität Bologna entwickelt wurde, um Forensikern schnell und unkompliziert ein geeignetes Werkzeug zur Analyse von PCs und Festplatten in die Hand zu geben. Der Name DEFT ist eine Abkürzung für „Digital Evidence & Forensic Toolkit“. Seit der ersten Veröffentlichung 2007 hat sich in der der Entwicklung des Programms jedoch einiges getan und heute ist DEFT ein universelles Werkzeug, das auch eine ansehnliche Sammlung von Netzwerk-Tools mitbringt. Unter anderem wird das System von der italienischen „Direzione Investigativa Antimafia“ zur Beweissicherungen genutzt. Die Grundlage des Live-Systems ist ebenfalls Ubuntu, in der vorliegenden Version von DEFT 7.1 ein Ubuntu 11.10. Dies sorgt für einen problemlosen Start auf nahezu allen PCs und Notebooks dank hervorragender Hardware-Unterstützung.

Das Bootmenü von DEFT: Über die F3-Taste lässt sich hier
gleich die gewünschte Tastaturbelegung auswählen
Vergrößern Das Bootmenü von DEFT: Über die F3-Taste lässt sich hier gleich die gewünschte Tastaturbelegung auswählen

Start und Startoptionen

Beim Start des Systems lohnt es sich, einen Moment auf dem Startbildschirm zu bleiben, um dort mit der F3-Taste die Auswahl des gewünschten Tastaturlayouts zu bestätigen. DEFT kommt dann auch umgehend mit der deutschen Tastenbelegung klar. Die Sprache des Systems ist dagegen wahlweise Englisch, Spanisch oder Italienisch. Nach dem Start bringt DEFT den Anwender bis zur Kommandozeile. Der automatisch angemeldete Benutzer ist von Haus aus Root und eine Passwort-Eingabe ist nicht nötig. Mit „deft-gui“ geht es zur grafischen Benutzeroberfläche.

Aufgeräumter Desktop: DEFT präsentiert den super-schlanken
LXDE-Desktop
Vergrößern Aufgeräumter Desktop: DEFT präsentiert den super-schlanken LXDE-Desktop

Schneller, schlanker Desktop

Die derzeit aktuelle Version von DEFT basiert auf dem inoffiziellen Ubuntu-Abkömmling Lubuntu 10.10. Allerdings geht DEFT beim Desktop eigene Wege und präsentiert hier den unkomplizierten und schlanken LXDE in ansprechender Optik. Das Symbol links unten klickt nach Windows-Manier ein Anwendungsmenü auf. Alle Tools zur Analyse sind im Untermenü „DEFT“ untergebracht.

Anonym im Netz: DEFT hat einen TOR-Client mit an
Bord
Vergrößern Anonym im Netz: DEFT hat einen TOR-Client mit an Bord

Daneben gibt es noch mehr Nützliches: So ist beispielsweise der Browser Google Chrome in Version 18 ebenfalls mit an Bord. Zum anonymen Surfen gibt einen Client für das TOR-Netzwerk. Dieser befindet sich im Anwendungsmenü unter „DEFT -> OSINTtools -> OSINT Identity Protection Tools“.

Photorec: Das Werkzeug zur Datenrettung kann gelöschte
Dateien wieder herstellen
Vergrößern Photorec: Das Werkzeug zur Datenrettung kann gelöschte Dateien wieder herstellen

Datenrettung mit Photorec

Im Mittelpunkt stehen bei DEFT die Tools zur Datenanalyse und Wiederherstellung. Ein hervorragendes forensisches Werkzeug ist das Programm Photorec. Das Programm findet sich im Anwendungsmenü unter „DEFT -> Carving tools“- es arbeitet im Textmodus. Um mit Photorec gelöschte Dateien zu retten, gehen Sie in der Übersicht der gefundenen Laufwerke mit den Pfeiltasten auf das gewünschte Laufwerk und drücken Return. Als “Partition Table Type” wählen Sie “Intel” und dann die eigentliche Partition auf dem Laufwerk. Nach der Auswahl des Dateisystems können Sie den freien Platz (“Free”) oder das gesamte Laufwerk (“Whole”) nach gelöschten Dateien untersuchen. Für die gefundenen Dateien und Datenreste gehen Sie dann noch im Dateibrowser auf das gewünschte Zielverzeichnis und drücken dann die C-Taste, um die automatische Wiederherstellung zu starten. Je nach Größe des Datenträgers kann der Suchlauf einige Minuten dauern.

Installation

Da DEFT mit seinen Werkzeugen zur Netzwerkanalyse, dem TOR-Browser und den diversen Erweiterungen für OSINT (Open Source Intelligence) umfangreicher ist als ein reines Forensiker-System, bietet sich auch eine Installation auf Festplatte an. Alternativ dazu können Sie DEFT natürlich auch in einer virtuellen Maschine als Gastsystem von VMware oder VirtualBox installieren. Da DEFT auf Ubuntu beruht, ist auch der Installer jener von Ubuntu, der bekanntlich recht bequem und einfach gehalten ist. Auf der Platte benötigt DEFT 7.1 rund 7.7 GB Platz.

Fazit: Aufgeräumtes Live-System für Forensiker

DEFT merkt man seine Herkunft sofort an - das Live-System gibt sich seriös und kommt ohne die düstere Hacker-Ästhetik aus, mit der sich andere Linux-Systeme dieser Kategorie schmücken. Mit dem übersichtlichen Desktop kommen auch die weniger Linux-affinen Anwender sofort an die wichtigen Anwendungen heran. Zwar ist der hauptsächliche Einsatzzweck von DEFT die Datenrettung, Festplattenanalyse und Forensik, aber das Live-System kann durchaus noch mehr: Wer etwas tiefer gräbt und die angebotenen Tools systematisch durchgeht, findet hier auch echte Perlen, die über Forensik hinaus gehen: So ist etwa auch der Cracker THC-Hydra einsatzbereit vorhanden. Von allen hier beschriebenen Live-Systemen wie BackTrack, Blackbuntu und BackBox ist DEFT noch am ehesten für Linux-Einsteiger geeignet.

Download und Voraussetzungen

DEFT gibt es als Live-System in einer 32-Bit-Version zum Download in Form einer ISO-Datei von 2,4 GB Größe. Darüber hinaus bieten die Entwickler auf den Download-Servern  eine fertige „Virtual Appliance“ an, um DEFT als Virtuelle Maschine unter VMware laufen zu lassen. Dieser Download ist in vier 7-ZIP-Archive (.7z) aufgeteilt und umfasst rund 8,8 GB. Die Hardwareanforderungen sind aufgrund des ressourcensparenden Desktops gering: Es genügen bereits 512 MB Speicher und eine CPU der Pentium-Klasse unter 1 GHz. Auf neuer Hardware funktioniert DEFT 7.1 nicht immer von Anfang an problemlos. Es empfiehlt sich in diesem Fall, in den Kernel-Optionen beim Boot manuell „acpi=off“ einzutragen. Bei Bedarf kann das ISO-Image auch auf einen USB-Stick übertragen werden. Das optimale Programm dazu ist: Unetbootin .

 

Samstag, 01.09.2012 | 09:05 von David Wolski
Kommentieren Kommentare zu diesem Artikel (0)
1520226