Czy instalowanie narzędzi hakerskich na mojej prywatnej maszynie z systemem Linux jest niebezpieczne?


12

Używam mojego Ubuntu do celów prywatnych i biznesowych. Czy mogę również zainstalować na komputerze narzędzia, które faktycznie służą do przeprowadzania testów penetracyjnych? Czy jest to nieszkodliwe?


1
Niektóre narzędzia są używane zarówno przez testerów penetracyjnych, jak i administratorów sieci, takie jak nmapnarzędzie skanujące. Są również instalowane na komputerach biznesowych. Narzędzia do debugowania i śledzenia są używane przez programistów i inżynierów. Ogólnie rzecz biorąc, te narzędzia są całkowicie OK. Python, Perl, netcat, nmap - wszystkie te są używane do pentestingu, ale nie są wykorzystywane wyłącznie do tego, więc nie ma powodu, aby ich nie instalować. Narzędzia do wstrzykiwania luk - są one specjalnie używane do ataku, więc nie ma powodu, aby je mieć, chyba że jesteś profesjonalnym pentesterem.
Sergiy Kolodyazhnyy

Odpowiedzi:


15

To naprawdę zależy od programów.

Podobnie jak w przypadku każdego instalowanego programu, idealnie:

  • ufaj wydawcy, że nie wykona złośliwych działań
  • zaufaj wydawcy, że opracuje bezpieczne oprogramowanie

To samo zaufanie należy obdarzyć wszelkimi zależnościami programu.

To, co wyróżnia niektóre najbardziej zaawansowane narzędzia, polega na tym, że zapewniają większą powierzchnię ataku niż wiele innych programów, a ludzie, którzy ich używają, są bardziej interesującymi celami niż użytkownicy wielu innych programów.

Na przykład Wireshark ostrzega przed uruchomieniem jako root, z powodu dużej liczby luk (z powodu dużej powierzchni ataku, niepewnego języka (C), nowicjuszy itp.). Oczywiście możesz nie być zadowolony z naruszenia bezpieczeństwa konta użytkownika.

Jako ogólną wytyczną zastosowałbym następujące zasady:

  1. uruchamiaj najbardziej zaawansowane programy na dedykowanym komputerze lub przynajmniej dedykowanej maszynie wirtualnej, jeśli to możliwe.
  2. im większa powierzchnia ataku programu i im większa liczba znanych luk / mniej bezpieczny kod, tym ważniejsza staje się reguła 1.
  3. Im mniej renomowane jest źródło programu, tym bardziej chcesz przestrzegać zasady 1. Repozytoriom Ubuntu np. Można ogólnie zaufać bardziej niż losowemu repozytorium github z nieznanej jednostki lub programowi nodejs z dziesiątkami zależności npm.

1

IMG: Narzędzia Kali Linux to narzędzia hakerskie, które nie są ani bezpieczne, ani nieszkodliwe. Instalowanie narzędzi linux Kali w Ubuntu przez Katoolin lub w inny sposób może zmienić Ubuntu w hybrydowy system operacyjny Ubuntu / Kali Linux, który jest możliwy dzięki temu, że oba systemy są oparte na Debianie.

Jedynym bezpiecznym sposobem na zainstalowanie narzędzi Kali Linux jest zainstalowanie Kali Linux na maszynie wirtualnej.


10
Gdzie, poza tym w twojej odpowiedzi, to pytanie dotyczy Kali Linux? Nie widzę tego
CVn

2
Narzędzia Kali Linux są tym, co Katoolin określa jako narzędzia hakerskie z dystrybucji Kali Linux. Narzędzia Kali Linux mogą być również synonimem Katoolin. Katoolin to skrypt, który pomaga zainstalować narzędzia Kali Linux na Ubuntu i innych dystrybucjach Linuksa. Nie chciałem odpowiadać na to pytanie, ponieważ z doświadczenia wiem, że wiele osób chce karmić się kłamstwami, że narzędzia Kali Linux w Ubuntu są bezpieczne, jednak skoro jestem najpopularniejszym odbierającym w tagu katoolin I czuję, że mam obowiązek powiedzieć prawdę na ten temat.
karel,

5
Nie sprzeciwiam się temu, że instalowanie plików binarnych zbudowanych dla innych dystrybucji może być w najlepszym przypadku ryzykowne z punktu widzenia kompatybilności. (Zwykle jednak z mojego doświadczenia wynika, że ​​najgorsze, co się stanie, to to, że zainstalowany plik binarny odmówi uruchomienia z powodu brakujących lub niedopasowanych bibliotek). Ale nigdzie nie widzę, aby to pytanie dotyczyło Kali. Widzę tylko pytanie o instalację narzędzi do testowania i czy niesie to ze sobą (specjalne) ryzyko. Oczekiwałbym, że odpowiedź na takie pytanie dotyczy ogólnie takich narzędzi (jak robi to Tim), a nie Kali.
CVn


0

moim zdaniem zainstaluj kali Linux zamiast Ubuntu. ale jeśli pracujesz z tym ostatnim, możesz znaleźć narzędzia hakerskie Kali Linux w tym linku https://tools.kali.org/tools-listing jakiś skrypt można znaleźć w GitHub. a przed pobraniem czegokolwiek z sieci sprawdź komentarze w sekcji, a także na stronie internetowej, jeśli jest to oficjalne czy nie. a maszyna wirtualna jest wirtualna

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.