Die Durchführung von Phishing-Kampagnen und das Hosten von Metasploit-Sitzungen von einem vertrauenswürdigen VPS aus ist für jeden professionellen Sicherheitsforscher, Pentester oder Hacker wichtig. Allerdings sind die Möglichkeiten recht begrenzt, da die meisten Anbieter eine Null-Toleranz-Politik gegenüber jeder Art von Hacking haben, ob gut oder schlecht. Nachdem wir Dutzende Produkte recherchiert hatten, kamen wir auf fünf Potenziale, die ideal für Null-Byte-Leser sind. Das Wichtigste zuerstWas ist ein VPS? Nun, es steht für „Virtual Private Server“ und ist ein virtualisierter Server, den viele Benutzer als dedizierten oder privaten Server betrachten, obwohl er auf einem physischen Computer installiert ist, auf dem mehrere Betriebssysteme gleichzeitig laufen. VPS werden am häufigsten zum Online-Hosten von Websites verwendet. Wenn wir einen VPS von einem Anbieter kaufen, „mieten“ wir im Wesentlichen eine Partition auf einer leistungsstarken physischen Hochleistungsmaschine, die viele virtuelle Server beherbergt. Jeder VPS ist mit dem Internet verbunden, ermöglicht einzelnen Kunden die Nutzung unterschiedlicher Betriebssysteme und gewährt vollständigen Root-Zugriff auf die Betriebssysteme. Jeder Kunde (oder Serveradministrator) arbeitet unabhängig von anderen Kunden, die sich den vom VPS-Unternehmen bereitgestellten physischen Computer teilen. Im Wesentlichen ist ein virtueller privater Server ein Computer, den wir von jedem mit dem Internet verbundenen Gerät auf der Welt aus fernsteuern können. Das gibt uns viel Kraft. Von einem Remote-Server aus sind dies nur einige der Dinge, die getan werden können: Um es gleich vorweg zu nehmen: Unseren Untersuchungen zufolge ist BulletShield mit Abstand der beste VPS-Anbieter für Hats und Pentester, dicht gefolgt von BuyVM und ClientVPS. Auf dem zweiten Platz landeten VPSDime und OneHost Cloud. Warum das so ist, können Sie in unserer Tabelle unten sehen, aber springen Sie weiter unten, um tiefer in die Bedeutung der einzelnen Vergleichspunkte einzutauchen. UPDATE: BulletShield existiert nicht mehr. Wir werden uns weitere VPS-Anbieter ansehen, um zu sehen, ob welche würdig genug sind, in unsere Liste aufgenommen zu werden, und wir werden entsprechende Aktualisierungen vornehmen, wenn wir dies tun. In der Zwischenzeit ist BuyVM das nächstbeste
Es gibt mehrere VPS-Vergleichstabellen online, aber keine davon ist für mich als Pentester relevant. In den meisten professionellen Penetrationstestszenarien müssen wir einen VPS mehrere Tage lang hochfahren, um eine Nutzlast zu hosten, Exfiltrationsdaten zu empfangen oder einen Phishing-Angriff durchzuführen. Ob der VPS-Anbieter Live-Tech-Support, unverständliche Hardware-Spezifikationen oder eine übermäßige Auswahl an Betriebssystemen bietet oder nicht, spielt kaum eine Rolle. Idealerweise möchten wir Bitcoin (BTC) verwenden, um schnell die neueste Debian-Version von einem VPS-Anbieter mit Sitz in einem Land zu kaufen, das die Privatsphäre respektiert. Beim Vergleich der in diesem Artikel vorgestellten VPS-Anbieter habe ich versucht, so objektiv und fair wie möglich zu sein. Kein VPS-Anbieter in diesem Artikel hat dafür bezahlt, in der Vergleichstabelle aufgeführt zu werden. Ich habe die folgenden Kriterien verwendet, um das obige Diagramm zu erstellen. Nicht verpassen: So verkaufen Sie Ihr Stellar, Ripple& Andere Alt-Coins für Bitcoin oder Ethereum in Binance
Die Servicebedingungen (ToS) und Acceptable Use Policy (AUP) waren wahrscheinlich die höchsten Prioritäten in dieser Vergleichstabelle. Während zunächst Dutzende von VPS-Anbietern in Betracht gezogen wurden, verboten oder rieten die meisten ausdrücklich von Port-Scannern, Payload-Verteilung, Phishing und/oder Hacking jeglicher Art ab. Bis auf wenige Ausnahmen disqualifizierte dies den VPS-Anbieter sofort aus der Vergleichstabelle. IT-Profis, Sicherheitsforscher und Autodidakten, die wissen, dass Hacker auf entfernten Servern großartige Arbeit leisten. Es war mir wichtig, dass die hier vorgestellten VPS-Anbieter ToS-Richtlinien beibehalten, die den Bedürfnissen des Null-Byte-Publikums am besten entsprechen. Die VPS-Anbieter in meiner Tabelle gehörten zu den wenigen, die keine ToS-Richtlinien hatten, die „Hacking“ völlig feindlich gesinnt waren. Die Anbieter, die als Pentester-freundlich gekennzeichnet sind, geben in ihren Nutzungsbedingungen nicht ausdrücklich an, dass "Hacking"(oder eine verwandte Terminologie) erlaubt ist. Kein VPS-Anbieter würde das jemals tun. Die meisten dieser Anbieter erwähnen Hacking entweder nicht in ihren Nutzungsbedingungen oder sie haben überhaupt keine Nutzungsbedingungen auf ihrer Website verfügbar. Dies wurde als Hinweis darauf gewertet, dass Hacking-Aktivitäten stark verpönt sind, aber möglicherweise nicht zur Kündigung des Kontos führen
Die Übermittlung unseres echten Namens, unserer Adresse, Telefonnummer und anderer persönlich identifizierbarer Informationen an eine Website ist niemals wünschenswert. Auch wenn Anonymität für Sie keine Priorität hat, könnte der VPS-Anbieter eines Tages dennoch kompromittiert werden und alle seine Kundendaten online durchsickern lassen. Der Kauf von VPS-Abonnements erfolgt idealerweise anonym, da nicht abzusehen ist, in welche Schwierigkeiten wir während der Recherche oder des Pentestings geraten könnten. Eines Tages könnten rechtliche Schritte gegen den VPS-Anbieter eingeleitet werden, wenn etwas auf einem von Ihnen gekauften Server passiert ist, daher wäre es ratsam, so wenig Informationen über sich selbst in der Kundendatenbank des Anbieters zu speichern. In den meisten Fällen habe ich festgestellt, dass es möglich war, bei der Registrierung einen völlig falschen Namen, eine Adresse und eine Telefonnummer anzugeben, aber ich habe das nicht als "gutes Feature"für den Anbieter gewertet. Die Übermittlung falscher Informationen an ein legitimes Unternehmen wird mit ziemlicher Sicherheit gegen die Nutzungsbedingungen des Anbieters verstoßen und zur sofortigen Kündigung des Kontos führen. Eine E-Mail-Adresse, die von einem VPS-Anbieter verlangt wird, gilt nicht als „persönliche Information“, da es einfach ist, anonym eine Einweg-E-Mail-Adresse zu erwerben. Es ist auch sinnvoll, dass VPS-Anbieter eine Art der Kommunikation mit ihren Kunden einrichten
Es ist nicht unrealistisch zu glauben, dass ein Unternehmen, das sichere Krypto-Transaktionen anbietet, uneingeschränkt mit den Behörden zusammenarbeiten wird, um einen Hacker zu fangen. Es spielt keine Rolle, ob die IP-Adresse des VPS aus einem Land stammt, das die Privatsphäre respektiert. Wenn das Unternehmen, das Ihnen den VPS bereitstellt, seinen Sitz in den USA oder im Vereinigten Königreich hat, ist es sehr wahrscheinlich, dass es nicht zögern wird, Ihre personenbezogenen Daten an eine Autoritätsperson weiterzugeben. Um weiter auf Datenschutzbedenken einzugehen, ist das UKUSA-Abkommen eine Vereinbarung zwischen dem Vereinigten Königreich, den Vereinigten Staaten, Australien, Kanada und Neuseeland, um gemeinsam Informationen zu sammeln, zu analysieren und auszutauschen. Mitglieder dieser Gruppe sind als die Fünf Augen bekannt. Diese Länder sind dafür bekannt, dass sie invasive Datenschutzgesetze und -richtlinien haben. Die Wahl eines VPS-Anbieters im datenschutzfreundlichsten Land hat wahrscheinlich nicht die höchste Priorität, aber es ist sinnvoll, zumindest die Anbieter in Ländern mit anständigen Datenschutzgesetzen in Betracht zu ziehen
Ein „Offshore-VPS“ würde bedeuten, dass sich der Server außerhalb des Standorts der Landesgrenze des Unternehmens befindet, und kann ein gewisses Maß an Ermessensspielraum zulassen. Dies ist wichtig für Sie als Pentester und das Unternehmen, mit dessen Sicherung Sie beauftragt sind, da Sie möglicherweise kompromittierende und sensible Informationen erhalten, die nicht weitergegeben oder durchgesickert werden sollten. Die Leser werden ermutigt, sich unabhängig bei den VPS-Anbietern zu erkundigen, um festzustellen, ob ihre Offshore-Lösungen für Sie geeignet sind. Anbieter, die als Anbieter von Offshore-Lösungen bekannt sind, tun dies normalerweise mit einem Aufpreis. Es sollte nicht davon ausgegangen werden, dass ihre billigste verfügbare VPS-Lösung auch der Preis ihrer Offshore-Option ist
BulletShield war meine erste Wahl als bester VPS-Anbieter für Null-Byte-Leser. BulletShield hat bei der Registrierung eines Kontos oder der Vorbereitung der Übermittlung einer BTC-Transaktion keine personenbezogenen Daten benötigt oder angefordert. Sie machen auch BTC-Transaktionen obligatorisch und haben keine Nutzungsbedingungen, die jegliche Art von Penetrationstestaktivitäten ausdrücklich verbieten. Die Nachteile sind, dass sie keine Prepaid-Kreditkarten akzeptieren und der günstigste Preis ein wenig teuer ist, aber wenn Sie Wert auf Ihre Privatsphäre legen, ist der Preis nicht unbedingt das wichtigste Kriterium. Wenn es um den Hauptsitz des Unternehmens geht, gibt BulletShield diese Informationen nicht weiter. Eine schnelle Suche nach Domainnamen ergab, dass es von Tucows Domains Inc., einem kanadischen Unternehmen, gekauft wurde, aber von Charlestown, einer Stadt auf einer abgelegenen Insel in Westindien, gekauft wurde. Das bedeutet jedoch nicht, dass BulletShield dort seinen Hauptsitz hat, es ist nur der Ort, an dem der Domain-Registrar, den BulletShield verwendet hat, die Domain registriert hat. Sie bieten Offshore-Lösungen und eine Tor-freundliche Website, was BulletShield insgesamt an die Spitze bringt. Allerdings erwähnte mir ein Kundendienstmitarbeiter, dass „Pentests“ „nur bei kugelsicheren Diensten erlaubt“ seien, was kostenmäßig ein Problem darstellen könnte
BuyVM ist der Zweitplatzierte, wenn es darum geht, legale Penetrationstests zu ermöglichen, bei denen eine ausdrückliche und rechtsgültige schriftliche Zustimmung des betreffenden Unternehmens oder der betreffenden Person(en) vorliegt. Ein Vertreter bestätigte dies, indem er sagte, dass sie „ein vollständiges Dokument der Rechtsabteilung benötigen, das das betreffende Ziel vertritt und es genehmigt“. Ihre Einstiegspreise brachten sie mit VPS-Lösungen ab nur 2,42 $ pro Monat wirklich nach oben. Allerdings werden Ihre persönlichen Daten abgefragt, und um ein Konto zu registrieren, „müssen die Kontodaten mit den von der Zahlungsmethode bereitgestellten Informationen übereinstimmen“, was bedeuten könnte, dass anonyme Prepaid-Karten nicht mehr erhältlich sind. Bitcoin wird jedoch akzeptiert. Und obwohl sie über eine Tor-freundliche Website verfügen, haben sie ihren Hauptsitz in Kanada und bieten keine Offshore-Lösungen an, was sich negativ auswirken könnte, je nachdem, wofür Sie den VPS nutzen
ClientVPS verfügt über Nutzungsbedingungen, aber darin steht nicht viel drin, außer dass sie keine Verantwortung für von Ihnen durchgeführte Handlungen übernehmen, die zu „Schäden“ an Personen oder Eigentum, Urheberrechtsverletzungen usw. führen, und Sie vollständig dafür verantwortlich machen. Insgesamt waren ihre Preise die teuersten, aber zu den Highlights gehören die Akzeptanz von Bitcoin (Prepaid-Visa-Karten sind unklar), eine Tor-freundliche Website, der Hauptsitz in Russland (wo Informationsanfragen regelmäßig ignoriert werden) und das Angebot einer Offshore-Lösung davon festigte seine aktuelle Position in ihrem Ranking. Abgesehen vom hohen Preis gibt es noch weitere Nachteile, nämlich den Mangel an Informationen über legale Penetrationstests (sie haben meine Anfragen nicht beantwortet) und die Abfrage Ihrer persönlichen Daten
OneHost Cloud ist der einzige VPS-Anbieter, den ich finden konnte, der einen Kali Linux VPS und Penetrationstestlösungen anbietet. Ihre Preise beginnen bei nur 6,59 $/Monat, was ein weiterer großer Vorteil dieses Anbieters ist, und sie akzeptieren BTC-Zahlungen. OneHost Cloud schien die optimale Wahl zu sein, ohne die Absicht, jemals illegal eine Website zu scannen oder ein Unternehmen ohne Zustimmung zu hacken. Außerdem wäre es für Kunden äußerst verwirrend, wenn sie Kali-Lösungen anbieten würden, aber kein legales Pentesting zulassen würden. Als ich mich jedoch nach legalen Penetrationstests erkundigte, antworteten sie einfach: Alle zukünftigen E-Mail-Nachrichten von dieser Adresse werden blockiert. Dies wurde mir ohne Angabe von Gründen oder Erklärungen zugesandt. Aus diesem Grund belegte OneHost Cloud den letzten Platz und ich empfehle den Lesern, sich unabhängig bei OneHost Cloud nach ihren ToS-Richtlinien zu erkundigen, bevor sie Penetrationstests jeglicher Art durchführen. Weitere Nachteile dieses Anbieters sind die Abfrage personenbezogener Daten; mit Sitz in London, Großbritannien; keine anonymisierte Website haben; und mangelnde Informationen über Offshore-Lösungen und Prepaid-Karten.
