Come possiamo fidarci degli strumenti? [chiuso]

-1

Ci sono molti strumenti là fuori per fare un sacco di cose, come sniffing, scanning e persino backdoor. Tuttavia, ho davvero difficoltà a fidarmi di questi strumenti. Quando li installo a casa e bersaglio i miei computer, come posso fidarmi che gli strumenti che sto usando non mi fanno male?

  • Esempio 1 - Metasploit, Meterpreter in particolare : utilizzo Metasploit. Con un exploit fidato, mi dà una connessione Meterpreter. Come posso fidarmi, che Meterpreter in effetti fa ciò che pretende di fare e non apre backdoor qua e là? Considero questo strumento uno standard del settore per il suo scopo in un certo senso, ma ancora, ti fidi di esso?

  • Esempio 2 - Google : Ratproxy è un prodotto di Google e sembra affidabile, giusto? È anche open source. Ma è solo Google che lo sviluppa? Probabilmente mi ci vorrà un anno per leggere e capire tutto il codice. Come ci si può fidare di questo? Ti fidi?

  • Esempio 3 - Strumenti online : al momento, utilizzo strumenti online per fare alcune cose, come la codifica base64. Devo quindi fidarmi dello strumento con JavaScript. È abbastanza semplice guardare il codice JavaScript, ma richiederebbe meno tempo per scrivere un decodificatore Base64 e uno strumento encoder con GUI. Lo farò, ma fino ad allora, devo solo fidarmi di questi strumenti. Come ti fidi di strumenti simili? Hai?

  • Esempio 4 - Burp Suite : Burp Suite sembra essere lo strumento # 1 "HTTP-proxy e più" da utilizzare, ma è proprietario e non open source. È scritto in Java, ma probabilmente è opportunamente offuscato, in modo che non possiamo sapere esattamente cosa fa. Trustworthy? "Certamente, usalo! Tutti i miei amici lo usano ..." !?

  • Esempio 5 - Pacchetti : ci sono alcuni pacchetti di strumenti di sicurezza. In particolare, vorrei discutere di Kali / Backtrack. Viene fornito con un sacco di strumenti. Ti fidi della loro scelta di strumenti? Ti fidi della compagnia stessa? Ovviamente, con tutti questi strumenti, non possono sapere tutto su ogni strumento, ma sono persone intelligenti, credo, quindi la domanda è, se hanno aggiunto solo gli strumenti di cui si fidano, o hanno semplicemente aggiunto tutto ciò che i loro utenti hanno vorrebbe vedere nel pacchetto / distribuzione?

Discutere di questi esempi e magari trovare i propri esempi. Di quali strumenti dovremmo fidarci? Perché? Qual è la tua definizione di fiducia? Il mio è che lo eseguirò sul mio computer desktop (non in VM).

EDIT: Inoltre, come possiamo distinguere tra gli strumenti creati con le seguenti filosofie:

  • "Creerò questo strumento perché odio i kiddy degli script, quindi li danneggerò e li userò per i miei scopi." e

  • "Creerò questo strumento per rendere la mia vita di ricercatore di sicurezza e penna-tester più semplice, e se è buona la condividerò con la community."

posta David from earth 02.08.2013 - 21:14
fonte

2 risposte

5

La semplice risposta è che non si può veramente garantire nulla a meno che non si riveda il codice, il compilatore, la build, il sistema operativo del sistema su cui si sta eseguendo, la progettazione e l'implementazione del processore, la potenza fornita il tuo computer, ecc. ecc.

La sicurezza non si tratta di garantire le cose al 100%, si tratta di gestione del rischio. Prendi decisioni istruite su come fidarti di qualcosa in base a come decidi di misurare il rischio. Ti fidi della CA che fornisce il certificato al sito che stai scaricando, in caso affermativo, ti fidi della società a cui l'hanno rilasciato, ti fidi di ciò che hanno messo, ti fidi delle altre persone che lo hanno utilizzato senza problemi? Devi fare un giudizio su cosa pensi che sia il rischio.

Quindi, dopo aver saputo cosa pensi che sia il rischio, decidi le misure per mitigare il rischio. È possibile installarlo in una VM con una VLAN isolandolo dalla rete o addirittura installarlo su un hardware dedicato, "sporco", con aria condizionata, che rimane fisicamente separato dai sistemi protetti. Oppure, se ti fidi di più, puoi semplicemente scannerizzarlo, leggere alcune recensioni e andare avanti. Dipende solo da te quanto è accettabile il rischio e da quanto impegno vuoi dedicare a mitigare tale rischio.

In pratica, leggi le recensioni, chiedi informazioni sui siti di sicurezza più diffusi, scopri quali sono le esperienze delle persone e se sembrano affidabili. Se è così, probabilmente è ok, ma è comunque in definitiva il tuo giudizio di rischio accettabile.

    
risposta data 02.08.2013 - 21:23
fonte
5

Non puoi fidarti di nessun software ... ma devi iniziare da qualche parte. Di solito, usi reputazione ; vedi questa risposta per un'analogia esplicativa sull'argomento.

E poi ci possono essere trasferimenti di fiducia : questo è ciò che accade con il sistema operativo. Si seleziona un sistema operativo (eventualmente, viene preinstallato con il computer o si acquista un DVD di installazione o qualsiasi altra cosa). Quindi, questo SO installerà strumenti di aggiornamento che possono installare altri pacchetti, a condizione che una firma digitale su di loro è verificato. Questo è tipico del sistema Linux: si installa un sistema base Ubuntu o RedHat o Debian, da un supporto di installazione, e allora si ha accesso a dozzine di gigabyte di pacchetti extra, che è possibile ottenere attraverso una rete . Il sistema di installazione del pacchetto controlla che il pacchetto sia "genuino" in quanto è stato firmato da un maintainer autorizzato. Fondamentalmente, hai trasferito la tua fiducia nelle mani delle persone che mantengono la distribuzione del SO , cioè che preparano i pacchetti software e decidono quali sono abbastanza affidabili.

Ciò che è sorprendente è che questo sistema tende a funzionare. Gli incidenti sono rari. Un caso di alto profilo risale a 2008 : un intruso ha dirottato alcuni sistemi su RedHat e potrebbe firmare pacchetti OpenSSH finti con backdoor inclusi.

Gli strumenti di sicurezza come metasploit tendono a estendere la fiducia ai suoi limiti, perché questi strumenti sono, per definizione, scritti da persone coinvolte nel commercio della sicurezza, e quindi dovrebbero sapere come piantare backdoor silenziosamente . C'è sempre il sospetto che le persone che sanno più di scrivere degli exploit per dirottare altri sistemi siano anche le persone più inclini a, beh, scrivere exploit per dirottare altri sistemi, i tuoi in particolare. I modi razionali per far fronte a ciò includono:

  • Esecuzione di tutti gli strumenti all'interno di alcuni livelli di macchine virtuali per provare a isolarli e monitorarli e rilevare la riproduzione ingannevole.
  • Confidando ciecamente sugli strumenti e camminando lungo la vita in uno stato di beata ingenuità.
  • Cambiare le carriere, abbandonare del tutto la sicurezza IT e allevare capre.
risposta data 02.08.2013 - 22:48
fonte

Leggi altre domande sui tag