Backtrack

Aus THM-Wiki
Wechseln zu: Navigation, Suche

Backtrack ist eine Linux Live Distribution mit verschiedenen Tools zum Testen und Aufspüren von Sicherheitslücken in Netzwerken. Das Toolkit für Penetrationstests kann komfortabel von der CD, einem USB - Stick oder über ein Netzwerk gebootet werden. Der Benutzer muss in der Regel für ein lauffähiges System keinerlei Anpassungen vornehmen.

Backtrack entstand aus einer Fusion der beiden Sicherheits- Live- Distributionen Whax von Mati Aharoni und Auditor Security Collection von Max Moser. Durch den Zusammenschluss im Februar 2006 ist einer der kraftvollsten und komfortabelsten Linux- Live Distributionen für Penetrationstests entstanden. Das aktuelle Release Backtrack 2, bietet dem Benutzer über 300 Tools zum Penetrieren von Rechnernetzen und Softwaresystemen an.


Einleitung

Backtrack basiert auf dem Linux Kernel SLAX von Slackware und enthält neben dem Kernel alle wichtigen Pakete einer Linux Live Distribution. Slackware Distributionen sind im professionellen Anwendungsgebiet zu finden und verzichten weitestgehend auf grafische Entwicklungswerkzeuge. Sie gelten als sehr professionell, da sie dem Benutzer viele Freiheiten einräumen.

Backtrack hingegen wurde speziell als Toolkit für Penetrationstests konzipiert. Die Entwickler legten dabei großen Wert auf eine enge Anlehnung an offene Standards und Frameworks. So wurde beispielsweise OSSTMM (Open Source Security Testing Methodology Manual), ein international anerkannter Standard zum Testen von Softwaresystemen, als Richtlinie verwendet. Das Softwarekonzept von Backtrack orientiert sich sehr stark an dem ISSAF Framework (Information System Security Assessment Framework). Das ISSAF Framework ist ein von Sicherheitsexperten empfohlenes Standard – Framework zum Penetrieren von Softwarelösungen.

Die Verwendung von internationalen anerkannten Vorgehensmodellen spiegelt sich auch in den verwendeten grafischen Arbeitsumgebungen von Backtrack wieder. Neben der allgemein bekannten frei verfügbaren Benutzeroberfläche KDE, lässt sich Backtrack auch wahlweise mit der Arbeitsumgebung Fluxbox starten. Der Benutzer kann die verschiedenen Tools bequem über das Benutzermenü der jeweiligen Oberfläche aufrufen. Neben den Analyse- und Penetrationstools verfügt Backtrack über nahezu alle Funktionen die ein Standard Betriebsystem zu bieten hat. Unter dem Menüpunkt Internet findet der Benutzer nützliche Tools zur Kommunikation mit anderen Rechnern und im Umgang mit dem Internet. Allen voran stehen dem Benutzer zwei Browser zur Verfügung: Konqueror und Firefox. Letzterer verfügt über das Plugin Tor, welches ein anonymes Surfen ermöglicht und deshalb bei vielen Sicherheitsexperten sehr beliebt ist. Des Weiteren gibt es auch verschiedene Instant Messenger, unter anderem Kopete. Im Bereich Multimedia existiert neben dem Media Player und diversen anderen Tools eine Software zum Brennen von CDs und DVDs. Klassische Editoren wie Kate und KWrite dienen dem Editieren und Dokumentieren, ebenso wie das Tool Screenshot welches den aktuellen Bildschirm einfriert und als Grafik abspeichern kann.

"Menüstruktur von Backtrack 2.0"

Neben weiteren Linux üblichen Anwendungen zur Systemkonfiguration, stellt Backtrack verschiedene Dienste bereit. Ein vorinstallierter Apache HTTP – Server für Webapplikationen und ein TFTP - Dienst zur Dateitransferierung können bei Bedarf gestartet werden. Hinzu kommen ein SSH-, sowie ein Postgre- Dienst und ein VNC - Server. Abgerundet wird das Dienste Kompendium durch das Instant Snort Skript welches die automatische Konfiguration des Intrusion Detection System (IDS) Snort per Knopfdruck ermöglicht. Nach erfolgreicher Konfiguration wird das grafische Frontend BASE (Basic Analysis and Security Engine) in Form einer Weboberfläche mitgeliefert.





Hintergrund

Backtrack ist das Produkt der Sicherheits- Live Distributionen Whax von Mati Aharoni und Auditor Security Collection von Max Moser. Beide Versionen waren vor der großen Fusionierung, auf ihrem Gebiet jeweils sehr populär. Auditor Security Collection bot eine hinreichende Sammlung an Tools zum Attackieren und Überwachen von Drahtlosnetzwerken. Whax und dessen Vorgänger Whoppix vereinten sämtliche Exploits inklusive grafischer Oberfläche für alle bekannten Betriebsysteme und Anwendungen. Im Februar 2006 erschien das Produkt aus beiden Systemen namens Backtrack. Die erste Version des Sicherheitstools war bereits technisch auf dem neusten Stand, lief aber keineswegs reibungslos. Typische Fehlerquellen waren fehlende WLAN –Treiber. Dadurch konnte die WLAN – Karte nicht richtig identifiziert werden. Was zur Folge hatte, dass der Treiber vom Benutzer angepasst oder nachgerüstet werden musste.

Backtrack 2.0

Am 6. März 2007 wurde die zweite Version des Sicherheitstools offiziell dem Benutzer zum Download zur Verfügung gestellt. Das neue Release bringt viele Neuerungen mit sich. Dem Benutzer wird durch eine verbesserte Menüführung der Einstieg in Backtrack wesentlich erleichtert. Des Weiteren enthält Backtrack 2 eine große Menge an WLAN Treibern bereit. Dass WLAN Problem der ersten Version ist damit größtenteils hinfällig. Insbesondere werden auch USB Highpower Karten von Alfa unterstützt. Backtrack 2 bootet nahezu auf jedem System problemlos und erkennt alle vorhanden Treiber. Bei einem Test des USB – Treibers wurde sogar ein Exot, der Cordless Presenter von Logitech, einwandfrei erkannt und konnte tadellos benutzt werden. Der Live Betrieb von Backtrack auf einem mobilen Gerät sollte kein Hindernis sein. Sogar auf Intel – Macs soll Backtrack 2 problemlos funktionieren. Im Internet existiert eine Kompatibilitätsliste für Notebooks, die den mobilen Betrieb von Backtrack unterstützen.

Eine weitere Neuheit ist das Programm save2cd. Es kann Konfigurationsänderungen die im Live Betrieb vorgenommen wurden direkt auf CD brennen und somit in die Live CD integrieren. Die jeweilige Distribution muss jedoch als Multisession - CD vorliegen. Laut Jörg Riether, Autor der Zeitschrift iX, funktioniert save2cd noch nicht ganz reibungslos und bedarf noch etwas Überholung.

Probleme

Nachdem booten bezieht Backtrack 2 sofort eine IP – Adresse über die aktive Netzwerk Schnittstelle. In der DHCP Tabelle des Routers erscheint ein Eintrag mit einem leeren Namen. In Fachkreisen ist es oft erwünscht solange wie möglich seine Aktivität zu verschleiern. Ein Netzknoten mit einem leeren Namen erweckt daher besonders verdacht und ist für ein solch mächtiges Sicherheitstool durchaus als Nachteil zu werten. Um diesen Problem Abhilfe zu schaffen, kann man Backtrack 2 mit folgenden Parametern booten:

nodhcp   //Es wird nicht automatisch eine IP-Adresse vom DHCP Server bezogen
nohd     //Automatisches Mounten von Festplatten wird ausgelassen

Anwendung

Backtrack beziehen

  1. Backtrack herunterladen: http://www.remote-exploit.org/backtrack_download.html
  2. Die nun vorhandene iso – Datei (bt2final.iso) auf eine CD brennen. Fertig!

Backtrack starten

  1. Backtrack von der CD booten. Dazu gegebenenfalls die Bios Einstellungen so ändern, dass vom CD - Laufwerk zuerst gebootet wird.
  2. Backtrack zeigt nun einen Login Bildschirm. Mit den vorgegeben Login - Daten einloggen.
    1. Standard - Login--> User: root; Passwort: toor

Das System ist nun hochgefahren und es kann damit gearbeitet werden. Über die folgenden Programmaufrufe kann man wahlweise die grafische Oberfläche KDE oder Fluxbox verwenden:

startx                         //Startet KDE
flux                           //Startet Fluxbox

Weitere Programmstart - Parameter werden im Folgenden erläutert:

configsave [-f] mountpoint     //Speichert die aktuelle Konfiguration auf einem gemountetem Laufwerk
configrestore mountpoint       //Lädt die aktuelle Konfiguration von einem gemountetem Laufwerk
xconf                          //Automatische Konfiguration des Grafikkartentreibers für ein optimale Darstelllung der GUI
ati                            //Automatische Konfiguration für Grafikkarten mit ati Chipsatz

Tools

Backtrack enthält die verschiedensten Tools zum Aufspüren von Sicherheitslücken. Der Benutzer kann diese bequem über die Benutzeroberfläche auswählen. Bei Bedarf könnnen weitere Tools nachgeladen werden. Backtrack unterscheidet zehn Kategorien von Tools:

  • Information Gathering
  • Network Mapping
  • Vulnerability Identification
  • Penetration
  • Privilege Escalation
  • Maintaining Access
  • Covering Tracks
  • Radio Network Analysis
  • VOIP & Telephony Analysis
  • Digital Forensics
  • Reverse Engineering


Eine vollständige Tool - Liste gibt es direkt auf der Wiki - Seite des Entwicklers: Tool-Liste

Installation (HowTo)

Backtrack kann man ebenfalls von der Festplatte oder wahlweise auch von einem USB – Stick booten. Dazu muss Backtrack samt dem zugehörigen Dateisystem auf das Ziel – Laufwerk installiert werden. Die zwei folgenden Links verweisen auf eine Installationsanleitung:

Installtionsanleitung Backtrack (wiki)

Installtionsanleitung Backtrack (pdf)

Siehe auch

Backtrack ist längst nicht das einzigste Tool auf seinem Gebiet. Der untere Link verweist auf weitere frei verfügbare Sicherheitstools:

Phlak

Knoppix STD

Quellen

http://www.remote-exploit.org

http://de.wikipedia.org/wiki/BackTrack

http://de.wikipedia.org/wiki/Slackware

http://backtrack.offensive-security.com/

Jörg Riether, "Versuchter Einbruch - Backtrack 2.0: Attacke out of the box", iX 5/2007 S.78

--Lehnhardt-BLe 09:05, 24. Jul. 2007 (CEST)