Von sehr vielen Seiten wird für OSINT immer wieder empfohlen Virtuelle Maschinen zu verwenden. Natürlich soll da mein Senf dazu nicht fehlen.
1. Was sind Virtuelle Maschinen?
Um es ganz einfach auszudrücken: Virtuelle Maschinen (VM) sind Software. Sie tun so als ob sie ein Computer wären. Dafür nehmen sie Resourcen wie RAM oder Prozessorleistung vom eigentlichen Computer und stellen sie diese, dem in der Virtuellen Maschine installiertem Betriebssystem, zur Verfügung. Als Betriebssystem kann man sehr viel wählen. Neben diversen Linux-Distributionen steht natürlich auch Microsoft Windows zur Verfügung. Der Virtuellen Maschine ist erstmal weitgehend egal, was man in sie installiert.
2. Warum Linux?
Üblicherweise wird empfohlen ein Linux und meist speziell Ubuntu in die Virtuelle Maschine zu installieren. Abgesehen davon dass für ein Linux keine Lizenzkosten anfallen, gibt es auch weitere Gründe ein Linux zu verwenden. Zum einen haben Linux-Systeme ein wesentlich komplexeres Rechte-System, was es einem potentiellen Angreifer deutlich erschwert Schaden anzurichten. Zum anderen sind Linux-Desktops nicht besonders weit verbreitet, so dass es nicht sonderlich lukrativ ist überhaupt Schadsoftware für z.B. eine Drive-By-Infection bereitzustellen. Außerdem erhält man Software üblicherweise direkt vom Linux Distributor – auch alle Anwendungssoftware. Man muß sich also nicht mehr von irgendwo im Internet eine Software runterladen und hoffen, dass alles gut geht. Dafür stellen die Distributionen sogenannte Paketverwaltungen bereit, diese kann man wohl mit dem Appstore auf Mobilfunkgeräten vergleichen.
Letztendlich könnte man jetzt einen endlosen Artikel über die Vor- und Nachteile von Linux schreiben. Aber mittlerweile sind sehr viele Linux Distributionen sehr endanwenderfreundlich und sie erheben in der Regel auch keine Nutzungsdaten o.ä..
3. Wieso Linux Mint und nicht Ubuntu?
Wer noch keine Berührungspunkte mit Linux hatte, sollte aus meiner Sicht Ubuntu meiden. Es hat eine komplett andere Bedienoberfläche, als man es von Windows gewöhnt ist. Für Menschen, die es zum ersten Mal nutzen, ist die Hürde einfach unnötig hoch. Ich empfehle Linux Mint. Linux Mint basiert auf Ubuntu. D.h. all das was Du in den Büchern und Artikeln liest, wird unter Linux Mint genauso funktionieren. Nur hat es eine Windows 7 ähnliche Oberfläche, bei der man die Einstellungen in der grafischen Oberfläche machen kann.
Ich habe auf Youtube eine Playlist zur Installation und Nutzung von Virtuellen Maschinen und Linux Mint gemacht. Die meisten Videos sind 3-10 Minuten lang, lediglich für das Video über die ersten Schritte habe ich knapp 17 Minuten benötigt.
Ubuntu bzw. der Hersteller Canonical ist darüber hinaus dafür bekannt auch einmal, sagen wir, sehr spezielle Entscheidungen zu treffen, die immer wieder für Aufregung sorgen. Ich will da nicht zu sehr in die Tiefe gehen. Aber z.B: haben sie bei Ubuntu 18 angefangen (freiwillig) Nutzungsdaten (Telemetrie Daten) zu erheben. Selbst wenn einem das auf dem privaten Rechner egal wäre, sollten solche Datenerhebungen auf Recherchemaschinen nicht stattfinden. (Windows erhebt z.B. auch Telemetrie Daten, dies kann man im System nicht komplett unterdrücken). Linux Mint hat die strittigen Themen in ihren Versionen immer behoben, so dass man sozusagen ein Ubuntu ohne Aufreger hat 😉
Die Infos, die die deutschsprachige Community Ubuntuusers bereit stellt, können zum allergrößten Teil auf Linux Mint übertragen werden. So hat man immer eine gute Anlaufstelle für Wiki, Fragen, Anleitungen und mehr.
4. Ok, jetzt weiß ich wie aber immer noch nicht warum?
Ein großes Thema ist Datentrennung. Verwendet man für unterschiedliche Recherchekomplexe die selbe Software, werden eben auch Daten vermischt. Angefangen von der History und den Cookies im Browser bis hin zur Dateiablage. Über die Verwendung von unterschiedlichen VMs für unterschiedliche Zwecke werden z.B. unterschiedliche Systeme für Logins genutzt. D.h. Fake-Account 1 arbeitet in VM 1, Fake-Account 2 arbeitet in VM 2. Sollte also tatsächlich ein unerlaubter Zugriff auf das System erfolgen, ist lediglich dieser eine Recherchekomplex betroffen und nicht das ganze System. Solltest Du deinen Rechercherechner noch mit Kollegen teilen, werden auch ihre Aktivitäten nicht mit Deinen vermischt. Außerdem werden Aktivitäten für Tracker schwerer nachvollziehbar, weil sie von unterschiedlichen Systemen stammen. Ich habe zu dem Thema Browser und Tracker schon mal einen Artikel geschrieben.
Man kann von Virtuellen Maschinen Snapshots erstellen. Das ist dann eine Sicherung des aktuellen Zustandes der VM. Diesen Zustand kann man jederzeit wieder reaktivieren, z.B. wenn man eine neue Software zum testen installiert hat. Hat man vor der Installation einen Snapshot angelegt, kann man direkt zurückspringen zu dem Zeitpunkt vor der Installation.Gerade wenn man viel mit Github-Projekten arbeitet, kann der Einsatz von Snapshots sehr hilfreich sein.
Solltest Du den Rechner wechseln, kannst du Deine Virtuellen Maschinen einfach exportieren und auf dem neuen Rechner weiternutzen. Alle Software und Daten bleiben erhalten. Allerdings verlierst Du Deine Snapshots.
Man kann aus einer VM viele machen. Hat man einmal die perfekte Recherchemaschine zusammen, kann man sie einfach klonen.
5. Welche VM-Software sollte ich nutzen?
Das ist eigentlich egal. Ich selber verwende Virtual Box von Oracle, was unter der Open Source Lizenz GLP v2 veröffentlicht wird. Auch die Gasterweiterungen, die für die perfekte Integration des Betriebssystems benötigt werden, liegen unter dieser Lizenz. Somit hat man alle Freiheit die man möchte und keine Kosten. Man sollte allerdings darauf verzichten das Extension Pack zu installieren, da dies unter einer je nach Einsatz kostenpflichtigen Lizenz (PUEL) vertrieben wird. Für Privat ist das Extension Pack derzeit kostenlos.
Aber es gibt auch noch VMware, deren VMware Player ebenso kostenlos genutzt werden kann. Auch Microsoft stellt mit Hyper-V eine Virtualisierungsumgebung bereit.
Was Du letztendlich nutzt ist Deine Entscheidung. Sowohl bei der Virtualisierungsumgebung als auch beim Betriebssystem.
6. Gibt es eine spezielle VM für OSINT?
Wenn Du lieber eine fertige VM möchtest, kannst Du dir die VM von Tracelabs ansehen, die auf einem Kali-Linux basiert. Du solltest sie allerdings so verwenden wie sie kommt und wenn eine neue Version erscheint, die alte ersetzen. Ich habe einmal Tracelabs auf eine neuere Linux Version upgegraded, danach war das Menü kaputt. Daher mein Rat die Maschine einfach so lassen wie sie ist und auf die nächste Version warten. Der Vorteil ist definitiv, dass viele Tools vorinstalliert sind, die Du sonst ggf. selbst installieren müsstest. Wenn man lieber Herr seiner Software ist, ist eine komplett selbst erstellte Maschine aber vermutlich die bessere Lösung.
Wie gesagt basiert Tracelabs auf Kali-Linux. Kali Linux basiert wie Ubuntu auf Debian. Es gibt also sehr große Gemeinsamkeiten. Kali Linux hat aber auch Unterschiede zu Ubuntu, so dass ggf. auch mal eine für Ubuntu geschriebene Anleitung nicht funktioniert. Das sollte aber in der Regel nicht passieren.
Tsurugi-Linux stellt auch eine OSINT VM bereit. Allerdings habe ich jetzt über Jahre immer wieder versucht die VM herunterzuladen und war nie erfolgreich. Immer ist der Download irgendwann abgebrochen.
Sherlock hat inzwischen auch eine OSINT VM veröffentlicht. Für Anfänger würde ich sie aber nur empfehlen, wenn Spanischkenntnisse vorhanden sind, da die Umstellung der Spracheinstellung nicht nativ ist.
Nachtrag 05.12.2023: Der Nutzer cyberhansu hat auf Medium eine Liste mit OSINT VMs veröffentlicht. Zur Qualität dieser VMs kann ich aber keine Aussage treffen.
Fazit
Ich selbst verwende Virtuelle Maschinen sehr gerne. Mein Rechner ist leistungsstark genug auch mehrere parallel zu benutzen. So habe ich für unterschiedliche Aufgaben mit einer Tastatur und einer Maus Zugriff auf unterschiedliche Systeme. Den Datenaustausch bewerkstellige ich dabei über eingebundene Ordner. Die Details dazu findest Du in meiner Youtube-Playlist.