ΑρχικήSecurityΤα εργαλεία penetration που χρησιμοποιούν οι επαγγελματίες

Τα εργαλεία penetration που χρησιμοποιούν οι επαγγελματίες

Το penetration testing (ή pentesting) είναι μια προσομοιωμένη επίθεση στον κυβερνοχώρο, όπου επαγγελματίες ηθικοί hackers εισέρχονται σε εταιρικά δίκτυα για να βρουν τις αδυναμίες τους πριν το κάνουν οι εισβολείς.

Πρόκειται για μια προσομοιωμένη επίθεση στον κυβερνοχώρο, όπου ο ηθικός χάκερ, χρησιμοποιεί τα εργαλεία και τις τεχνικές που διατίθενται σε κακόβουλους hackers.

penetration

Η ανάγκη για penetration testing

Το pentesting δείχνει πού και πώς ένας κακόβουλος εισβολέας μπορεί να εκμεταλλευτεί το δίκτυό σας. Αυτό σας επιτρέπει να μετριάσετε τυχόν αδυναμίες πριν συμβεί μια πραγματική επίθεση.

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis 
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi 

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpNVzNRUzl1UUYw

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό

SecNewsTV 11 hours ago

#secnews #markzuckerberg #richest 

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg 
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #markzuckerberg #richest

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlRLRDZFUUs4cDg4

Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰

SecNewsTV 14 hours ago

Σύμφωνα με πρόσφατη έρευνα της Positive Technologies, σχεδόν κάθε εταιρεία έχει αδυναμίες που οι εισβολείς μπορούν να εκμεταλλευτούν. Στο 93% των περιπτώσεων, οι pentesters κατάφεραν να παραβιάσουν την περίμετρο του δικτύου και να έχουν πρόσβαση στο δίκτυο. Ο μέσος χρόνος που απαιτείται για να γίνει αυτό ήταν τέσσερις ημέρες. Στο 71% των εταιρειών, ένας ανειδίκευτος hacker θα μπορούσε να διεισδύσει στο εσωτερικό δίκτυο.

Κορυφαία εργαλεία

Στο παρελθόν, το hacking ήταν δύσκολο και απαιτούσε πολύ χειροκίνητο bit fiddling. Σήμερα, ωστόσο, μια πλήρης σειρά αυτοματοποιημένων penetration εργαλείων βοηθάει τους hackers να τεστάρουν τα δίκτυα πιο γρήγορα και εύκολα από ποτέ.

Ακολουθεί μια λίστα με τα εργαλεία που κάνουν τη δουλειά ενός σύγχρονου pentester πιο γρήγορη, καλύτερη και εξυπνότερη.

1.Kali Linux

Εάν δεν χρησιμοποιείτε το Kali ως το βασικό λειτουργικό σας σύστημα, είτε έχετε επιφανειακές γνώσεις ή κάτι κάνετε λάθος. Παλαιότερα γνωστό ως BackTrack Linux, το Kali βελτιστοποιείται με κάθε τρόπο για επιθετική χρήση ως penetration tester.

Παρόλο που μπορείτε να εκτελέσετε την Kali με το δικό της hardware, είναι πολύ πιο κοινό να βλέπετε pentesters να χρησιμοποιούν virtual machines Kali σε OS X ή Windows.

Το Kali έρχεται με τα περισσότερα από τα εργαλεία που θα δείτε παρακάτω και είναι το προεπιλεγμένο λειτουργικό pentesting σύστημα για τις περισσότερες περιπτώσεις. Να προσέχετε όμως – το Kali βελτιστοποιείται για επίθεση, όχι για άμυνα, και αξιοποιείται εύκολα με τη σειρά του. Μην φυλάσσετε τα εξαιρετικά μυστικά αρχεία σας στο Kali VM.

2. nmap

Το nmap είναι ένα δοκιμασμένο και αληθινό εργαλείο που αν το δοκιμάσεις δεν μπορείς να το αποχωριστείς. Ποιες θύρες είναι ανοιχτές; Τι τρέχει σε αυτές τις θύρες; Αυτή είναι απαραίτητη πληροφορία για το pentester κατά τη φάση recon και το nmap είναι συχνά το καλύτερο εργαλείο για αυτή τη δουλειά.

Πολλοί νόμιμοι οργανισμοί, όπως ασφαλιστικά γραφεία, χαρτογράφοι internet όπως οι Shodan και Censys, καθώς και οι βαθμολογητές κινδύνου, όπως το BitSight, σαρώνουν τακτικά ολόκληρο το εύρος IPv4 με εξειδικευμένο λογισμικό σάρωσης θυρών για να χαρτογραφήσουν την στάση της δημόσιας ασφάλειας των επιχειρήσεων.

3. Metasploit

Γιατί να κάνετε exploit όταν μπορείτε να κάνετε meta-sploit; Αυτό το μετα-λογισμικό μοιάζει με βαλλίστρα οπότε εσείς: Στοχεύστε στον στόχο σας, επιλέξτε την εκμετάλλευσή σας, επιλέξτε payload και ενεργοποιήστε. Απαραίτητο για τους περισσότερους pentesters, το metasploit αυτοματοποιεί τεράστιες ποσότητες προηγουμένων κουραστικών προσπαθειών και είναι πραγματικά «το πιο διαδεδομένο πλαίσιο δοκιμών penetration στον κόσμο». Ένα έργο ανοιχτού κώδικα με εμπορική υποστήριξη από το Rapid7, το Metasploit είναι απαραίτητο για αυτούς που θέλουν να προστατεύσουν τα συστήματά τους από τους επιτιθέμενους.

4. Wireshark

Το Wireshark είναι το πανταχού παρόν εργαλείο για την κατανόηση της κίνησης που περνά στο δίκτυό σας. Παρόλο που χρησιμοποιείται συνήθως για την ανάλυση των καθημερινών προβλημάτων σύνδεσης TCP / IP, το Wireshark υποστηρίζει ανάλυση εκατοντάδων πρωτοκόλλων, συμπεριλαμβανομένης της ανάλυσης σε πραγματικό χρόνο και της υποστήριξης αποκρυπτογράφησης για πολλά από αυτά τα πρωτόκολλα. Εάν είστε καινούριοι στο penetration testing, το Wireshark είναι ένα απαραίτητο εργαλείο.

5. John the Ripper

Το John the Ripper σπάει την κρυπτογράφηση τόσο γρήγορα όσο δεν φαντάζεστε.  Αυτή η εφαρμογή είναι ανοιχτού κώδικα και προορίζεται για το σπάσιμο κωδικών πρόσβασης εκτός σύνδεσης. Το John μπορεί να χρησιμοποιήσει μια λίστα λέξεων πιθανών κωδικών πρόσβασης και να τους μεταλλάξει για να αντικαταστήσει το “a” με το “@” και το “s” με το “5” και ούτω καθεξής, ή μπορεί να τρέξει για άπειρο χρονικό διάστημα με hardware μέχρι να βρεθεί ένας κωδικός πρόσβασης. Λαμβάνοντας υπόψη ότι η συντριπτική πλειοψηφία των ανθρώπων χρησιμοποιούν μικρούς κωδικούς πρόσβασης μικρής πολυπλοκότητας, το John συχνά επιτυγχάνει να σπάσει την κρυπτογράφηση και μάλιστα σε σύντομο χρονικό διάστημα.

6. Hashcat

Το αυτοανακηρυγμένο «ταχύτερο και πιο προηγμένο βοηθητικό πρόγραμμα ανάκτησης κωδικών πρόσβασης στον κόσμο» μπορεί να μην είναι τέλειο, αλλά οι άνθρωποι του hashcat σίγουρα γνωρίζουν την αξία του. Το Hashcat  είναι το εργαλείο pentesting που σπάει hashes, και το hashcat υποστηρίζει πολλά είδη brute force επιθέσεων που μαντεύουν κωδικούς πρόσβασης.

Το Pentesting συνήθως συνεπάγεται την αποβολή hashed κωδικών πρόσβασης και η εκμετάλλευση αυτών των credentials σημαίνει ότι απενεργοποιείται ένα πρόγραμμα όπως το hashcat εκτός σύνδεσης με την ελπίδα να μαντέψετε ή να κάνετε brute-forcing τουλάχιστον σε μερικούς από αυτούς τους κωδικούς πρόσβασης.

Το Hashcat λειτουργεί καλύτερα σε μια σύγχρονη GPU. Το Legacy hashcat εξακολουθεί να υποστηρίζει το hash cracking στην CPU, αλλά προειδοποιεί τους χρήστες ότι είναι σημαντικά πιο αργό από το να αξιοποιήσει την επεξεργαστική ισχύ της κάρτας γραφικών σας.

7. Hydra

Το Hydra, μπαίνει στο παιχνίδι όταν πρέπει να σπάσετε έναν κωδικό πρόσβασης online, όπως SSH ή FTP login, IMAP, IRC, RDP και πολλά άλλα. Σημειώστε το Hydra ως ένα πολύ καλό και εύχρηστο εργαλείο. Εργαλεία όπως το Hydra είναι μια υπενθύμιση γιατί οι προσπάθειες περιορισμού του ποσοστού κωδικών πρόσβασης και η αποσύνδεση των χρηστών μετά από λίγες προσπάθειες σύνδεσης μπορεί να είναι επιτυχείς αμυντικοί μετριασμοί ενάντια στους εισβολείς.

8. Burp Suite

Καμία συζήτηση για τα εργαλεία pentesting δεν είναι πλήρης χωρίς να αναφερθεί ο σαρωτής ευπάθειας ιστού Burp Suite, ο οποίος, σε αντίθεση με άλλα εργαλεία που αναφέρονται μέχρι στιγμής, δεν είναι δωρεάν, αλλά είναι ένα ακριβό εργαλείο που χρησιμοποιείται από τους επαγγελματίες. Υπάρχει μια έκδοση Burp Suite που δεν διαθέτει μεγάλο μέρος της λειτουργικότητας και η εταιρική έκδοση Burp Suite κοστίζει 3,499 € το χρόνο.

Το Burp Suite είναι ένας εξαιρετικά αποτελεσματικός σαρωτής ευπάθειας ιστού. Τοποθετήστε τον στον web που θέλετε να τεστάρετε και να ενεργοποιήστε τον όταν είναι έτοιμος. Ο ανταγωνιστής Burp Nessus προσφέρει ένα παρόμοιο αποτελεσματικό προϊόν (και σε παρόμοια τιμή).

9. Zed Attack Proxy

Όσοι δεν έχουν τα μετρητά για να πληρώσουν για ένα αντίγραφο του Burp Suite θα πρέπει να επιλέξουν το Zed Attack Proxy (ZAP) του OWASP που προσφέρεται δωρεάν. Όπως υποδηλώνει το όνομα, το ZAP βρίσκεται μεταξύ του προγράμματος περιήγησής σας και του ιστότοπου που τεστάρετε και σας επιτρέπει να παρακολουθείτε την κίνηση για επιθεώρηση και τροποποίηση. Δεν διαθέτει πολλές από τις δυνατότητες του Burp, αλλά η άδεια ανοιχτού κώδικα καθιστά ευκολότερη και φθηνότερη την ανάπτυξη σε κλίμακα και το κάνει ένα εξαιρετικό εργαλείο για αρχάριους.

10. sqlmap

Αυτό το απίστευτα αποτελεσματικό εργαλείο SQL injection είναι ανοιχτού κώδικα και «αυτοματοποιεί τη διαδικασία εντοπισμού και εκμετάλλευσης ελαττωμάτων SQL injection και ανάκτησης βάσεων δεδομένων», όπως λέει στον ιστότοπό του. Το Sqlmap υποστηρίζει όλους τους συνηθισμένους στόχους, όπως MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, HSQLDB και H2.

11. aircrack-ng

Πόσο ασφαλές είναι το Wi-Fi του πελάτη σας – ή το οικιακό σας Wi-Fi; Μάθετε με το aircrack-ng. Αυτό το εργαλείο ελέγχου ασφάλειας Wi-Fi είναι δωρεάν. Το «σπάσιμο του» Wi-Fi σήμερα είναι συχνά δυνατό λόγω κακής διαμόρφωσης, κακών κωδικών πρόσβασης ή ξεπερασμένων πρωτοκόλλων κρυπτογράφησης. Το Aircrack-ng είναι μια πολύ καλή επιλογή.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS