Статья написана для журнала
Популярный дистрибутив Ubuntu Linux традиционно ассоциируется с простотой в использовании и поэтому в первую очередь рекомендуется начинающим. Но среди его многочисленных клонов, имеется специальное решение nUbuntu ориентированное на специалистов.
Выбор решения
Пик популярности специальных дистрибутивов ориентированных для специалистов в области безопасности приходится приблизительно на 2003 год. Как раз в этот период появились первые LiveCD дистрибутивы, самым ярким представителем которых стал KNOPPIX. Простота сборки своего решения, работа прямо с привода компакт-дисков без предварительной установки на жесткий диск и автоматическая настройка под любое оборудование была оценена как обычными пользователями, так и группами и организациями, в задачу которых входила оценка защищенности оценка сетей и компьютеров. Как результат за относительно короткий срок, появилось целый ряд решений – Whoppix (чуть позже WHAX), KNOPPIX-NSM, PHLAK, Auditor Security Linux, Hakin9 Live и другие. Положительной стороной таких сборок было то, что специалист получал в свои руки готовый инструмент, содержащий весь необходимый софт, который быстро приводился в “боевое” положение. Минусы конечно тоже были. Учитывая количество программ в дистрибутиве уже через некоторое время сама сборка практически полностью требовала обновления. Это было неудобно как разработчикам, так и пользователям. Это ли было причиной, но через некоторое время интерес к специальным дистрибутивам стал постепенно угасть. В результате некоторые проекты практически перестали выпускать обновления (Hakin9 Live) или совсем исчезли, другие проекты объединились. Например команды Auditor Security Linux и WHAX на основе своих разработок создали довольно неплохой дистрибутив . Появились и новые решения вроде разработка которого сегодня идет сегодня весьма активно. Но как только Linux “научился” нормально загружаться и работать с USB флэш устройств, и появился целый подкласс небольших сетевых компьютеров – нетбуков, как интерес у специалистов к дистрибутивам предназначенным для проверки безопасности снова начал расти.
Поиск «своего» решения нужно начинать с сайта securitydistro.com. Назначение большинства представленных там дистрибутивов совпадает, но основа, начинка и главное их возможности существенно отличаются. В итоге без подбора нужного решения здесь не обойтись. Например, задачей BackTrack является обеспечение пользователя инструментами позволяющими провести тестирование на проникновение (penetration test) и он кроме многочисленных сетевых сканеров, анализаторов протоколов, сниферов и другого сопутсвующего софта под завязку набит эксплоитами от SecurityFocus, PacketStorm, Metaspl0it Framework 2/3 и другими. Его основой является SLAX. Практически аналогичное назначение у Samurai построенного на Debian. Только ориентирован он на «web pen-testing environment» то есть тестирование веб-приложений. Дистрибутив также построенный на Debian предназначен для решения более широкого круга задач от восстановления системы и редактирования системных файлов, до анализа структуры сети. Не остались в стороне достижения Ubuntu на десктопах. В итоге предложены как минимум два решения на его основе — Protech ONE и (Network Ubuntu). Проект Protech ONE после нескольких тестовых релизов представил (в сентябре 2007 года) лишь единственную версию, и о его дальнейшем развитии информации в настоящее время нет.
Дистрибутив nUbuntu
Проект nUbuntu появился в конце декабря 2005 года. Основными его задачами было создание LiveCD версии набиравшего тогда популярность дистрибутива Ubuntu (в то время он не имел LiveCD варианта) оснащенного утилитами для тестирования сетей и систем. На распространенный вопрос “Зачем еще один дистрибутив?” разработчики отвечают, что им интересен в первую очередь сам процесс его создания, а использовать результат их работы или нет, это выбор каждого.
Первая стабильная версия была анонсирована сразу же после выхода Ubuntu 6.06, с тех пор дистрибутив, по мере появления новых версий Ubuntu, несколько раз обновлялся. В настоящее время актуальной является Alpha версия 8.10.
В качестве графической среды в nUbuntu вместо KDE или GNOME использован легкий Fluxbox, плюс убраны все “лишние” приложения вроде OpenOffice.org, почтовые клиенты, игры и так далее. Это позволило уменьшить размер дистрибутива до 430 Мб. Также стоит отметить, что в отличие от остальных подобных решений интерфейс nUbuntu локализован хотя и частично. Выбор языка системы производится стандартно для LiveCD Ubuntu — в загрузочном меню. Конечно, отсутствие интерфейса на родном языке не должно останавливать пользователя, на которого расчитаны специальные дистрибутивы, но такая функциональность лишней не будет.
Тестирование показало, что nUbuntu хорошо себя чувствует на самом разном оборудовании и на виртуальных машинах. Например сконфигурированный вручную сетевой интерфейс в дистрибутиве BackTrack 3 может запросто “исчезнуть” вне зависимости от виртуальной машины: VirtualBox или VMware.
Запуск LiveCD происходит быстро, в последнюю очередь из-за того, что графическая подсистема по умолчанию не загружается. В процессе обнаруживаются и автоматически настраиваются все устройства, включая проводные и беспроводные сетевые карты. По окончании, в консоли выдается краткий список рекомендаций по дальнейшим действиям. В отличие от большинства решений, все действия в nUbuntu производятся от имени непривелигерованного пользователя nubuntu. Для выполнения задач требующих прав администратора используется “sudo”, что является стандартно в Ubuntu. Хотя при выборе некоторых меню для запуска утилит (Nmap например) сразу открывается рутовская консоль.
Чтобы загрузить Fluxbox, достаточно набрать “startx”.
Кроме инструментов безопасности дистрибутив содержит некоторые стандартные приложения:
— текстовые редакторы — VIM, Gvim и GNU/Nano;
— сетевые приложения – XChat, irssi, gFTP;
— клиенты удаленного рабочего стола — RDesktop и VNC Viewer;
— файловый менеджер – Thunar.
Веб-браузер Mozilla Firefox 3.0.3 содержит несколько специфических расширений позволяющих проверить открытую страницу на наличие уязвимостей или отредактировать заголовки HTTP или Cookies: Access Me, SQL Inject Me, XSS Me, HackBar, Tamper Data, User Agent Switcher и другие. Почему то не включены в состав популярный файловый менеджер Midnight Commander и консольные веб-браузеры links/lynx. nUbuntu – дистрибутив дла подготовленного пользователя. Каких-либо дополнительных утилит для настройки сервисов или оборудования не предусмотрено, большая часть настроек, если таковые понадобятся, осуществляется правкой конфигурационных файлов.
До версии 8.10 программа установки дистрибутива на жесткий диск ubiquity не входила в комплект поставки, теперь ее дополнительно устанавливать не нужно. Ее работа не отличается от аналогичной в Ubuntu. Для установки необходимых приложений можно использовать “apt-get”. При вызове меню “Install то USB” появляется ошибка:
Could not open /cdrom/.disk/info
Please run this application on a Ubuntu live system|
or mount a Ubuntu live ISO to /cdrom
После чего программа прекращает дальнейшую работу. Судя по сообщениям на форуме проекта, эта ошибка уже известна разработчикам и будет исправлена в дальнейших релизах. Поэтому будем надеяться, что установка на флэшку не будет вызывать проблем, это только добавит плюсов nUbuntu.
Основной арсенал средств проверки безопасности собран в отдельном меню – “Security Tools”, в котором насчитывается 13 подпунктов. Большая часть находящихся здесь утилит находится в подкаталоге ~/Tools (его размер 150Мб), только утилиты доступные в официальном репозитарии Ubuntu (Nmap, Amap, Wireshark) вызываются из /usr/bin.
Список основных утилит приведен в документе “List of Tools included in nUbuntu 8.10” доступном на WiKi проекта. Здесь есть все что необходимо для проверки сетей и систем:
— сканеры – Nmap, Amap, Nessus, Nikto, w3af, wapiti;
— снифферы – Ettercap, Wireshark, DSniff, SSHow, MailSnarf, URLSnarf;
— спуфферы – ARPSpoof, DNSSpoof;
— анализ Bluetooth и WiFi — Bluetooth Audit, Blue Snarfer, ObexFTP, Kismet, Wicrawl, coWPAtty;
— проверки сервисов на предмет переполнения буфера (fuzzers) – BED (Bruteforce Exploit Detector), CIRT Fuzzer, ZZUF;
— Cisco – Asleap, Cisco Explorer, Cisco Auditing Tools.
А еще инструментарий для взлома и подбора паролей, Honeypot-система Nepenthes, утилиты для поиска уязвимостей в базах данных и так далее.
Работа с эксплоитами в nUbuntu, как мне кажется, организована удобнее по сравнению в BackTrack. В подменю Exploits находим ссылку на Metasploit Framework 3.1, которые можно запускать из командной строки, при помощи веб-интерфейса или обновлять одним нажатием клавиши. Хотя BackTrack к слову есть и GUI к Metasploit, а количество самих эксплойтов больше. Поиск и обновление эксплоитов лучше производить через пункт Exploit Tree. Запустить скрипт FastTrack, который позволяет произвести автоматическое тестирование системы на наличие уязвимостей (написан хакером ReL1K из SecureState) из меню Fluxbox не удается. Скрипту необходимо задать режим работы, а настройки меню этого не предусматривают. Поэтому необходимо самостоятельно перейти в консоли в каталог ~/tools/exploits/fasttrack и затем вызвать скрипт fast-track.py указав один из режимов. По мере необходимости будет запрошена загрузка из Интернет дополнительных модулей.
Заключение
Естественно nUbuntu дистрибутив не расчитан на широкий круг пользователей, и в отличие от своего прародителя требующий некоторого уровня подготовки для его настройки и использования большинства утилит. Специалисты, занимающиеся безопасностью, по достоинству оценят его возможности.