È pericoloso installare strumenti di hacking sulla mia macchina linux privata?

12

Uso Ubuntu per scopi privati ​​e aziendali. Posso anche installare strumenti sul mio computer che sono effettivamente lì per eseguire test di penetrazione? O è innocuo?

command-line  software-installation  tools  hacking  kali-linux-tools 
Yannick
fonte
1
Alcuni strumenti vengono utilizzati sia dai tester di penetrazione che dagli amministratori di rete, come lo nmapstrumento di scansione. Sono installati anche su computer aziendali. Gli strumenti di debug e tracciamento sono utilizzati da sviluppatori e ingegneri. Questi strumenti in generale sono perfettamente OK per l'installazione. Python, Perl, netcat, nmap - tutti quelli sono usati per il pentesting, ma non sono usati esclusivamente per quello, quindi non c'è motivo per non averli installati. Strumenti per l'iniezione di vulnerabilità: sono specificamente utilizzati per attaccare, quindi non c'è motivo di averli se non sei un pentester professionista.
Sergiy Kolodyazhnyy,

Risposte:

15

Dipende molto dai programmi.

Come con qualsiasi programma installato, idealmente:

  • fidarsi dell'editore di non eseguire azioni dannose
  • fidarsi dell'editore per sviluppare software sicuro

La stessa fiducia deve essere data a qualsiasi dipendenza del programma.

Ciò che rende speciali alcuni strumenti Pentest è che forniscono una superficie di attacco più ampia rispetto a molti altri programmi e le persone che li usano sono obiettivi più interessanti rispetto agli utenti di molti altri programmi.

Wireshark, ad esempio, mette specificamente in guardia contro l'esecuzione come root, a causa dell'elevato numero di vulnerabilità (a causa di un'elevata superficie di attacco, linguaggio insicuro (C), contributori alle prime armi, ecc.). Ovviamente, potresti non essere soddisfatto della compromissione del tuo account utente.

Come linea guida generale, vorrei usare queste regole:

  1. eseguire programmi pentest su un computer dedicato o almeno una VM dedicata, se possibile.
  2. maggiore è la superficie di attacco del programma e maggiore è la quantità di vulnerabilità note / minore è la sicurezza del codice, più importante diventa la regola 1.
  3. Meno affidabile è la fonte del programma, più si desidera seguire la regola 1. I repository di Ubuntu, ad esempio, possono generalmente essere considerati più affidabili di un repository github casuale da un'entità sconosciuta o di un programma nodejs con dozzine di dipendenze npm.
Tim
fonte
1

IMG: Gli strumenti di Kali Linux sono strumenti di hacking che non sono né sicuri né innocui. L'installazione di strumenti Kali Linux in Ubuntu tramite Katoolin o altri mezzi può trasformare Ubuntu in un sistema operativo ibrido Ubuntu / Kali Linux reso possibile dal fatto che entrambi i sistemi operativi sono basati su Debian.

L'unico modo sicuro per installare gli strumenti di Kali Linux è installare Kali Linux in una macchina virtuale.

karel
fonte
10
Dove, oltre a questa tua risposta, questa domanda discute di Kali Linux? Non lo vedo
un CVn
2
Gli strumenti di Kali Linux sono ciò che Katoolin chiama strumenti di hacking della distribuzione di Kali Linux. Kali Linux Tools può anche essere sinonimo di Katoolin. Katoolin è uno script che aiuta a installare gli strumenti Kali Linux su Ubuntu e altre distribuzioni Linux. Non volevo rispondere a questa domanda perché, per esperienza, so che molte persone vogliono essere alimentate da un branco di bugie che gli strumenti di Kali Linux in Ubuntu sono sicuri, tuttavia dal momento che sono il risponditore più votato sul tag katoolin sento di avere la responsabilità di dire la verità su questo argomento.
karel,
5
Non sto discutendo che l'installazione di binari creati per altre distribuzioni possa essere, nella migliore delle ipotesi, rischiosa dal punto di vista della compatibilità. (Di solito, tuttavia, la mia esperienza è che il peggio che accadrà è che qualunque binario installato si rifiuterà di funzionare a causa di librerie mancanti o non corrispondenti.) Ma non vedo da nessuna parte che questa domanda discute di Kali. Tutto quello che vedo è una domanda sull'installazione di strumenti di pentesting e se ciò comporta rischi (speciali). Mi aspetterei una risposta a una domanda del genere per discutere di tali strumenti in generale (come fa la risposta di Tim), non di Kali.
un CVn
5
Karel,
0

secondo me installare kali Linux al posto di Ubuntu. ma se lavori con quest'ultimo puoi trovare gli strumenti di hacking di kali linux in questo link https://tools.kali.org/tools-listing alcuni script possono essere trovati in GitHub. e prima di scaricare qualsiasi cosa dal web controlla i commenti nella sezione e anche il sito web se è ufficiale o no. e la macchina virtuale è virtuale

salah eddin lamnayra
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.