Penetratietests, of pentests, kun je zien als het werk van Robert Redfords personage in Sneakers: consultants breken in bij bedrijven om kwetsbaarheden te vinden voordat aanvallers het doen. Het is een gesimuleerde aanval waarbij een tester de tools gebruikt die een malafide hacker ook hanteert om in te breken.
In de goede oude tijd was het lastig om dergelijke aanvallen uit te voeren en moest je een hoop edel handwerk verrichten om gaten op te sporen en te dichten dan wel te misbruiken. Vandaag de dag zijn er een hoop tools en automatiseringen die van een doorsnee digitale crimineel een doorwinterde aanvaller maken. Hier zijn tien van zulke tools.
1. Kali Linux
Als je Kali niet gebruikt als basis-OS voor je pentestactiviteiten heb je ofwel kennis van iets heel moderns en een gespecialiseerde use-case, of je doet iets verkeerd. Vroeger stond dit bekend als BackTrack Linux en werd het onderhouden door de mensen van Offensive Security (OffSec) dezelfde mensen die de OSCP-certificering handhaven.
Kali is geoptimaliseerd voor aanvalstechnieken van pentesters. Je kunt Kali gewoon op de hardware draaien als standaardbesturingssysteem, maar je ziet vaker dat professionals Kali gebruiken als virtuele machine op macOS of Windows.
Kali wordt standaard uitgegeven met de meeste tools die we in dit artikel noemen en de standaardomgeving voor de meeste use-cases. Wees wel gewaarschuwd dat Kali is geoptimaliseerd voor aanvallende beveiliging, niet verdedigende beveiliging en is zodoende ook gevoeliger voor exploits. Sla je gevoeligste documenten niet op in je Kali VM.
2. nmap
De oervader van alle poortscanners - nmap staat voor 'network mapper' - is een veelgebruikte pentesting-tool waar maar weinigen zonder kunnen leven. Welke poorten staan open? Wat draait erop? Dit is onmisbare informatie voor de pentester tijdens de verkenningsfase en nmap is vaak het beste gereedschap voor dit klusje.
Ook al zul je wellicht een sporadische tirade krijgen van een niet-technisch genoeg onderlegde C-level figuur dat een onbekende partij een poortscan uitvoert, is nmap volledig legaal om te gebruiken en je kunt het vergelijken met het aankloppen bij iedere voordeur om te zien of er iemand thuis is.
Veel legitieme organisaties, bijvoorbeeld verzekeraars, internetscanners als Shodan en Censys, en risicoschatters als BitSight scannen de hele IPv4-range regelmatig met gespecialiseerde poortscansoftware (meestal nmap-concurrenten als masscan of zmpa) die de openbare securityhouding van zowel grote als kleine bedrijven aftasten. Dat gezegd hebbende, ook aanvallers scannen poorten, dus dat is iets om in het achterhoofd te houden.
3. Metasploit
Deze metasoftware is als een kruisboog waar anderen met handboog werken. Richt op je doelwit, kies een exploit, selecteer een payload en haal de trekker over. Metasploit is onmisbaar voor de meeste pentesters en automatiseert een heleboel saai uitzoekwerk. Het is echt, zoals de website zelf stelt, 's werelds meestgebruikte pentestframework. Als open source-project met de steun van beveiligingsbedrijf Rapid7 is dit een must-have voor beveiligers die hun systemen beter willen beschermen.
4. Wireshark
Wireshark is een netwerkprotocolanalysetool om het verkeer in te zien dat via je netwerk stroomt. Hij wordt vooral gebruikt om TCP/IP-verbindingsissues nader te bekijken. De tool ondersteunt de analyse van honderden protocollen, inclusief realtime analyse en ondersteuning van decryptie van diverse van deze protocollen. Als pentesten nieuw voor je is, mag Wireshark zeker niet ontbreken in je arsenaal.
5. John the Ripper
Deze tool crackt encryptie zo snel als je GPU maar toelaat. Het is een open source wachtwoordkraker en is bedoeld voor offline cracking. John the Ripper gebruikt een lijst van veelgebruikte wachtwoorden en probeert ze met variaties als @ voor a, 5 voor s, enzovoorts, of het kan oneindig draaien op flinke hardware totdat een wachtwoord wordt gevonden. Omdat de meeste mensen korte wachtwoorden gebruiken die niet zo complex zijn, lukt het deze tool redelijk vaak om encryptie te breken.
6. Hydra
Het broertje van John, Hydra, gebruik je als je een online wachtwoord moet kraken, bijvoorbeeld een SSH- of FTP-login, IMAP, IRC, RDP en nog veel meer. Gebruik Hydra op de dienst die je wilt kraken, voer eventueel een woordenlijst in en start de tool. Dit soort tools zijn een goede herinnering voor beveiligers waarom het een goed idee is om het aantal inlogpogingen per bepaalde periode te beperken of zelfs accounts te vergrendelen na te veel pogingen.
7. Burp Suite
Je kunt geen artikel schrijven over pentesttools zonder de webscanner Burp Suite te noemen, In tegenstelling tot voorgaande tools is deze open of gratis, maar een dure tool die professionals gebruiken. Er is een communityversie, maar die heeft weinig van de functionaliteiten die het zo goed maken, maar de enterpriseversie kost 3999 dollar per jaar. Er is een reden dat de makers zo'n astronomische prijs kunnen voeren, het is namelijk een ontzettende effectieve tool om webkwetsbaarheden te scannen. Het is niets meer dan web-asset invoeren en schieten. Een concurrent is Nessus. Ongeveer net zo effectief tegen ongeveer dezelfde prijs.
8. Zed Attack Proxy
Mensen die niet de financiële middelen hebben voor Burp Suite, zullen OWASP's Zed Attack Proxy (ZAP) vrijwel net zo handig vinden, en de software is vrij en gratis. ZAP zit tussen browser en website en stelt je in staat om verkeer op te vangen en aan te passen - oftewel een Man in the Middle-aanval uit te voeren. Het heeft niet alle toetsers en bellen van Burp, maar met de open source-licentie is het makkelijker en goedkoper uit te rollen op schaal en het maakt dit dé tool om beginners te laten zien hoe kwetsbaar webverkeer eigenlijk is. ZAP-concurrent Nikto is een soortgelijke open source-tool.
9. sqlmap
Denk SQL-injectie, denk sqlmap. Deze ongelooflijk effectieve SQL-injectietool automatiseert detectie en exploitatie van deze categorie kwetsbaarheden om databaseservers te bemachtigen. Sqlmap ondersteunt alle gebruikelijke doelwitten, waaronder MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, HSQLDB en H2. Oudgedienden moesten handmatig een sql-aanval schrijven maar de jeugd van tegenwoordig hoeft dat handwerk niet meer te verrichten.
10. aircrack-ng
Hoe sterk is je thuiswifi eigenlijk beveiligd? Ontdek het met aircrack-ng. Deze beveiligings-audittool is vrij en gratis, maar je zult zelf een blik moeten kopen die als antenne fungeert. Kraken van wifi is vaak goed mogelijk vanwege slechte configuratie, zwakke wachtwoorden of achterhaalde encryptieprotocollen. Aircrackng is de go-to tool voor het aan de tand voelen van draadloze netwerken, met of zonder 'cantenna'.
Worden jullie niet heel moe van jezelf? De enige inhoudelijke reactie op het artikel is van Bassman.
Vergeet OpenVAS niet als je Nessus wel noemt. Verder is het inderdaad wel zoongeveer hoe dit "vak" werkt: Kali op een VM en scans doen waar resultaten uitkomen die de opdrachtgever daarna verkeerd interpreteert. Vervolgens wordt een kapitaal stukgeslagen op IDS'en die niemand gebruikt omdat niemand ze snapt maar waarmee wél het ISO-vinkje is gescoord. Newsflash: dat vinkje krijg je ook zonder.
Echt goede security consultants zie ik helaas maar weinig.
maar je ziet vaker dat professionals Kali gebruiken als virtuele machine op macOS of Windows.
De professionals gebruiken Linux, Mac of BSD. Windows is uit den boze.
Professionals bepalen zelf wel welke tools en OS ze gebruiken, daar hebben ze de mening van uber ergens in een achterhaalde reactiesysteem niet voor nodig. Je pretendeert weer eens iets te veel
Joh thieu dit is de zoveelste misrekening van jou (je leest iets te snel); simpel omdat (volgens jou) zogenaamd iets gekleineerd wordt wat jou dierbaar is en superieur is ;-) Meer is het niet.
Uber quote zijn eerste zin niet waardoor het lijkt alsof hij het zegt maar de zin komt uit het artikel:
"Je kunt Kali gewoon op de hardware draaien als standaardbesturingssysteem, maar je ziet vaker dat professionals Kali gebruiken als virtuele machine op macOS of Windows." - Je kunt het gewoon uit de Microsoft Store halen ... speciaal voor WSfL gemaakt [Link]
Waar uber zijn mening uit is hier:
"De professionals gebruiken Linux, Mac of BSD. Windows is uit den boze."
En daar reageer ik op; duidelijk nu?
Dat het reageersysteem achterhaald is behoeft verder geen uitleg hoop ik.
WSfL zou ik afraden voor een case als deze. Veel te dunne scheiding tussen host en guest.
Dat klopt, heb je helemaal gelijk in. Mocht je al WSfL hebben draaien en je wil Kali features bekijken dan is dit wel een snelle methode voor je bv een VM gaat installeren.
Maar beste Thieu, wat hij "ziet" speekt hij een regel verder weer tegen.
Dus het is niet eens een mening maar een wat verward persoon. Vaststelling, geen sneer!
Professionals gebruiken echt geen Mac .
Veels te duur in aanschaf.
Jammer maar je hekel aan microsoft begint echt ernstige vormen aan te nemen.
Kom jij wel eens bij een IT-bedrijf binnen?
Klopt. Gebruik iets waar het goed in is.
Mijn ervaring is anders. Professionals gebruiken de beste tools die ze op dat moment kunnen gebruikt.
Professional onwaardige opmerkingen. Dat maakt het verschil tussen een professionals en iemand doe niet verder kijkt dan zijn neus lang is.Security professionals gebruiken geen Windows. Ja als honingpot.
Wandel eens binnen bv bij foxit.
Als je geen Windows gebruikt ben je geen serieuze security professional. Het zal vast aan jouw definitie van "gebruiken" liggen, maar het is zo weer een vreselijk gebrekkig geinformeerde opmerking ;)
Je gaat cybersecurity-issues nu 1x niet te lijf met een immerlekkend Windows-systeem Zorba-patat ;-)
Reageer
Preview