Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Kali Purple im Einsatz für die digitale Forensik und als Reaktion auf Zwischenfälle

M.Sc. Jan Hörnemann

Wenn es um Penetrationstests und digitale Forensik geht, ist die Wahl der richtigen Tools oft ein entscheidender Faktor für den Erfolg. In diesem Bereich spielt Kali Linux eine zentrale Rolle. Kali Linux ist bekannt für seine umfangreiche Sammlung von Sicherheits- und Penetrationstests-Tools und wird von Ethical Hackern und Sicherheitsexperten weltweit verwendet. Gerade bei der Reaktion auf Sicherheitsvorfälle oder der laufenden Analyse eines Netzwerks sollten die Parameter jederzeit bestmöglich im Blick behalten werden. Das richtige System macht da oft den kleinen, aber feinen Unterschied. 

Da es inzwischen viele Linux-Distributionen gibt, die genau diese Tools liefern wollen, haben wir uns eines davon mal ganz genau angesehen. Dabei handelt es sich um Kali Purple, einer recht neuen Abspaltung von Kali Linux, die einen starken Fokus auf Blue Teams, digitale Forensik und die Incident Response legt. Eine Art passive Version vom eher offensiven Kali Linux. Doch dazu später noch ein wenig mehr.

In unserem Blogbeitrag stellen wir beide Systeme nun gegenüber und vergleichen Kali Purple bei diesem Anlass auch gleich mit ähnlichen Linux-Distributionen. Hier ist sicherlich Parrot OS zu nennen, wenn es um ernsthafte Alternativen geht. Doch wir möchten gar nicht zu viel vorwegnehmen. Schauen Sie sich die beiden Linux-Versionen also gemeinsam mit uns an und lernen Sie Kali Purple ein wenig genauer kennen.


Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!

Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.


Unterschiede zwischen den Linux-Versionen

Kali Linux und Kali Purple stammen zwar vom selben Entwickler, besitzen jedoch vollkommen unterschiedliche Schwerpunkte und Zielgruppen. Die beiden Linux-Distributionen haben dabei eine offensive und eine defensive Strategie. Während Kali Linux eine Tool-Sammlung besitzt, mit der vorwiegend die Red Teams arbeiten, konzentriert sich Kali Purple eher auf die sogenannten Blue Teams.

Kali Linux ist also ideal für Penetrationstests und ethische Hacker, die kontrolliert in Systeme eindringen möchten, um Schwachstellen zu finden. Kali Purple hingegen eignet sich perfekt für die Incident Response und die digitale Forensik. Also vorwiegend dafür, Sicherheitsvorfälle entsprechend analysieren und detailliert auseinandernehmen zu können.

Die Tool-Sammlungen der Distributionen sprechen eine ähnliche Sprache. Kali Linux bringt alles mit, was Pentester wertschätzen, sowie Angreifer benötigen. Während Kali Purple das Gegenteil darstellt. Also Tools für die Analyse und zum Sammeln von Beweisen mitbringt, genau wie auch ein Werkzeugset für die digitale Forensik.

Im Grunde lässt sich also ganz klar sagen, dass Kali Linux für Angriffe und Kali Purple für Analysen verwendet werden kann. Die Unterschiede bedienen genau diese beiden Bereiche. Kali Linux eignet sich also vorwiegend für Penetrationstester, während Kali Purple den digitalen Forensikern zugutekommt.


Laden Sie jetzt unsere kostenfreie Penetrationstest Checkliste herunter

 

7 Schritte zum umfangreichen Aufbau und Ablauf eines Penetrationstests.

Kostenfrei. Jetzt anfordern


Kali Linux oder Parrot OS als Pentest-Distribution?

Geht es um Pentesting Distributionen, fällt rasch der Name Kali Linux, als einzige und oft genannte Linux-Distribution. Doch neben Kali Linux gibt es auch noch Parrot OS, welches im Grunde gleich alt ist und einen ähnlichen Ansatzpunkt verfolgt. Nämlich eine Linux-Version zu liefern, die von Grund auf für das Suchen und Finden von Sicherheitslücken entwickelt wurde.

Auf den ersten Blick sind beide Systeme gleich alt, denn sowohl Kali Linux als auch Parrot OS haben ihre Anfänge im Jahr 2013 gemacht. Kali Linux ist auf dem Papier nur rund einen Monat älter als Parrot OS. In Wahrheit allerdings beruht Kali Linux auf BackTrack Linux, welches bereits 2006 veröffentlicht wurde. Das Fundament von Kali Linux liegt also weit zurück und basiert auf einer bereits etablierten Linux-Distribution. Sowohl Parrot OS als auch Kali Linux basieren dabei im Kern auf Debian.

Der Vergleich beider Systeme ist zudem schwierig, da sie sich so überaus ähnlich sind. Parrot OS wird als einsteigerfreundlicher, ressourcenschonender und optisch schicker empfunden. Während Kali Linux nur minimal mehr Ressourcen beansprucht, auf den ersten Blick komplizierter erscheint und sich daher eher an erfahrene Pentester richtet. 

Schlussendlich lässt sich mit beiden Pentest-Distribution arbeiten, je nachdem welche Tools bevorzugt werden. Wir würden als Sicherheitsexperten allerdings Kali Linux empfehlen. Die Community ist dort sehr groß und das Toolset entspricht genau unserem Einsatzzweck im Bereich der Pentests.

Wofür eignet sich Kali Purple am besten?

Kali Purple ist, wie erwähnt, eine noch recht neue und gesonderte Version von Kali Linux. Es handelt sich dabei um eine passive Variante, die speziell für Blue Teams entwickelt wurde. Damit ist Kali Purple ideal geeignet für Digital Forensics Analysten, Incident Responders und die bereits genannten Blue Teams. Von diesen Stellen wird es gerne und effektiv eingesetzt.

Das liegt an den integrierten Tools von Kali Purple. Diese sind eine Mischung aus forensischen Tools und Analysesoftware. Außerdem gibt es bereits vorgefertigte Scripte, die eine Incident Response entsprechend beschleunigen können. Letztere bieten sich an, um Hosts möglichst zeitnah zu isolieren oder aber auch eine blitzschnelle Sicherung bestimmter Dateien anzufertigen.

Falls Blue Teams die eigenen Verteidigungsstrategien stärken möchten, gelingt dies mithilfe der Richtlinien, die Kali Purple für diesen Zweck bereithält. Auch solche Standards helfen enorm dabei, wenn auf Sicherheitsvorfälle möglichst effektiv und binnen kurzer Zeit reagiert werden soll. Kali Purple ist also die ideale Lösung für die Reaktion auf Vorfälle und die defensiven Aufgaben bei Angriffen. Während Kali Linux das Gegenteil ist, nämlich eine klar offensive Variante für Pentests und ähnliche Verfahren.

Einsatz im Bereich von DFIR

Der Bereich der Digital Forensics and Incident Response, kurz einfach als DFIR bezeichnet, stellt die beste Umgebung für Kali Purple dar. Dabei handelt es sich um den oben bereits genannten passiven und defensiven Teil bei etwaigen Angriffen. Speziell dann, wenn es um digitale Forensik geht, kommt es eher auf Sorgfalt an als auf Geschwindigkeit.

Für Aufgaben, wie etwa die digitale Beweissicherung, bietet sich Kali Purple daher regelrecht an. Die Beweissicherung spielt besonders rechtlich eine große Rolle, sollte es zu Gerichtsverhandlungen in Bezug auf IT-Angriffe kommen. Kali Purple hat die richtigen Tools parat, um eine ordnungsgemäße Beweissicherung abzuschließen.

Die Tools, die sich für die digitale Forensik empfehlen, eignen sich auch perfekt für das Sammeln von Daten im Allgemeinen. Mit ihnen können Sie die Sicherheitsvorfälle noch einmal genauer unter die Lupe nehmen. Ganz gleich, ob es um Malware, Leaks oder die Informationssicherheit in Bezug auf den Datenschutz geht. Mit Kali Purple behalten Sie die wesentlichen Faktoren ganzheitlich im Auge.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Fazit zu Kali Purple im Einsatz

Als Sicherheitsunternehmen können wir Linux-Distribution wie Kali Purple nur gutheißen. Überhaupt betrachten wir den Schritt, das eher offensive Kali Linux mit einer stark defensiven Variante zu erweitern, als sehr sinnvoll. Kali Purple ist die ideale Ergänzung für die digitale Forensik oder besser gesagt den gesamten Bereich DFIR. Das Vertrauen in Kali Purple kommt dabei nicht von ungefähr, denn Kali Linux ist eines der wichtigsten Werkzeuge im Bereich der Pentests und anderen offensiven Sicherheitsaufgaben. Kali Purple möchte dies nun für den defensiven Sicherheitsbereich werden und scheint dies auch problemlos zu schaffen.

Das liegt nicht zuletzt auch darin begründet, dass Kali Purple gemeinsam mit der Community, also den Nutzern und Sicherheitsexperten selbst wachsen will. Als SOC In-A-Box, mit über 100 verschiedenen defensiv ausgerichteten Tools, wird dies sicherlich auch problemlos gelingen. Wir jedenfalls können Ihnen den Blick in Richtung Kali Purple nur empfehlen. Auch wenn es bisher nicht perfekt ist, so ist es schon jetzt ein wunderbarer Begleiter für Sicherheitsforscher und Analysten, die im defensiven Bereich auf der Suche nach den richtigen Tools sind. Probieren Sie es am besten gleich einmal selbst aus.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)