Panduan White Hat untuk Memilih Pelayan Peribadi Maya

Menjalankan kempen pancingan data dan mengehos sesi Metasploit daripada VPS yang dipercayai adalah penting kepada mana-mana penyelidik keselamatan profesional, penggodam atau penggodam. Walau bagaimanapun, pilihannya agak terhad kerana kebanyakan pembekal mempunyai dasar toleransi sifar untuk sebarang jenis penggodaman, baik atau buruk. Selepas meneliti berpuluh-puluh produk, kami mengeluarkan 5 potensi yang sesuai untuk pembaca Null Byte. Perkara pertama dahulu apa itu VPS? Ia bermaksud pelayan peribadi maya dan merupakan pelayan maya yang dianggap oleh ramai pengguna sebagai pelayan khusus atau peribadi walaupun ia dipasang pada komputer fizikal yang menjalankan beberapa sistem pengendalian secara serentak. VPS paling biasa digunakan untuk mengehos laman web dalam talian. Apabila kami membeli VPS daripada pembekal, kami pada dasarnya "menyewa"partition pada mesin fizikal berprestasi tinggi yang berkuasa yang menempatkan banyak pelayan maya. Setiap VPS disambungkan ke internet, memberikan pelanggan individu keupayaan untuk menggunakan sistem pengendalian yang berbeza, dan memberikan akses root penuh kepada sistem pengendalian. Setiap pelanggan (atau pentadbir pelayan) beroperasi secara bebas daripada pelanggan lain yang berkongsi komputer fizikal yang disediakan oleh syarikat VPS. Pada asasnya, pelayan peribadi maya ialah komputer yang boleh kita kawal dari jauh dari mana-mana peranti yang disambungkan ke internet di dunia. Ini memberi kita banyak kuasa. Daripada pelayan jauh, ini hanyalah beberapa perkara yang boleh dilakukan: Untuk mendapatkannya, daripada penyelidikan kami, BulletShield adalah penyedia VPS terbaik untuk topi dan pentester, diikuti rapat oleh BuyVM dan ClientVPS. Naib juara ialah VPSDime dan OneHost Cloud. Anda boleh melihat sebabnya dalam carta kami di bawah, tetapi lompat ke bawah untuk menyelidiki lebih mendalam maksud setiap titik perbandingan. KEMASKINI: BulletShield tidak lagi wujud. Kami akan melihat lebih banyak penyedia VPS untuk melihat sama ada ada yang cukup layak untuk membuat senarai kami, dan kami akan mengemas kini sewajarnya apabila kami melakukannya. Sementara itu, BuyVM ialah perkara terbaik seterusnya


Terdapat beberapa carta perbandingan VPS dalam talian, tetapi tiada satu pun yang berkaitan dengan saya sebagai pentester dan topi. Dalam kebanyakan senario ujian penembusan profesional, kami perlu memutar VPS selama beberapa hari untuk mengehoskan muatan, menerima data exfiltration atau melakukan serangan pancingan data. Sama ada pembekal VPS menawarkan sokongan teknologi langsung atau tidak, spesifikasi perkakasan yang tidak dapat difahami atau pemilihan sistem pengendalian yang berlebihan jarang menjadi penting. Sebaik-baiknya, kami ingin menggunakan Bitcoin (BTC) untuk membeli keluaran Debian terbaharu dengan cepat daripada pembekal VPS yang berpangkalan di negara yang menghormati privasi. Apabila membandingkan penyedia VPS yang dipaparkan dalam artikel ini, saya cuba bersikap objektif dan adil yang mungkin. Tiada pembekal VPS dalam artikel ini dibayar untuk dipaparkan dalam carta perbandingan. Saya menggunakan kriteria di bawah untuk menghasilkan carta di atas. Jangan Terlepas: Cara Menjual Stellar Anda, Ripple& Alt-Coin lain untuk Bitcoin atau Ethereum dalam Binance

Syarat perkhidmatan (ToS) dan dasar penggunaan boleh diterima (AUP) mungkin merupakan keutamaan tertinggi dalam carta perbandingan ini. Walaupun berpuluh-puluh penyedia VPS dipertimbangkan pada mulanya, kebanyakan pengimbas port tidak dibenarkan atau tidak digalakkan secara jelas, pengedaran muatan, pancingan data dan/atau sebarang jenis penggodaman. Dengan beberapa pengecualian, ini serta-merta membatalkan kelayakan penyedia VPS daripada carta perbandingan. Profesional IT, penyelidik keselamatan dan penggodam yang belajar sendiri melakukan banyak kerja hebat pada pelayan jauh. Adalah penting bagi saya bahawa penyedia VPS yang dipaparkan di sini mengekalkan dasar ToS yang paling sesuai dengan keperluan khalayak Null Byte. Pembekal VPS dalam carta saya adalah antara segelintir yang tidak mempunyai dasar ToS yang memusuhi sepenuhnya "penggodaman."Pembekal yang dinyatakan sebagai mesra pentester tidak menyatakan dengan jelas dalam ToS mereka bahawa "penggodaman"(atau sebarang istilah berkaitan) dibenarkan. Tiada pembekal VPS akan melakukannya. Kebanyakan pembekal ini sama ada tidak menyebut tentang penggodaman dalam ToS mereka atau mereka tidak mempunyai ToS yang tersedia di tapak web mereka sama sekali. Ini dipercayai sebagai petunjuk bahawa aktiviti penggodaman sangat tidak disukai, tetapi mungkin tidak mengakibatkan penamatan akaun

Mengemukakan nama sebenar, alamat, nombor telefon dan maklumat pengenalan peribadi kami yang lain ke mana-mana tapak web tidak pernah diingini. Walaupun kerahsiaan tidak menjadi keutamaan untuk anda, pembekal VPS masih boleh terjejas suatu hari nanti dan semua data pelanggan mereka bocor dalam talian. Membeli langganan VPS adalah idealnya dilakukan tanpa nama, kerana tidak ada masalah yang mungkin kita hadapi semasa penyelidikan atau pentesting. Tindakan undang-undang mungkin suatu hari nanti akan diambil terhadap pembekal VPS untuk sesuatu yang berlaku pada pelayan yang anda beli, jadi adalah bijak untuk menyimpan sedikit maklumat tentang diri anda pada pangkalan data pelanggan pembekal. Dalam kebanyakan kes, saya mendapati adalah mungkin untuk menyerahkan nama, alamat dan nombor telefon palsu sepenuhnya semasa pendaftaran tetapi saya tidak menganggapnya sebagai "ciri yang baik"untuk pembekal. Menyerahkan maklumat palsu kepada mana-mana syarikat yang sah hampir pasti akan memecahkan ToS pembekal dan mengakibatkan akaun ditamatkan serta-merta. Alamat e-mel yang diperlukan daripada penyedia VPS tidak dianggap sebagai "maklumat peribadi,"kerana mudah untuk memperoleh alamat e-mel pakai buang secara awanama. Ia juga masuk akal bahawa penyedia VPS mewujudkan beberapa kaedah komunikasi dengan pelanggan mereka


Adalah tidak realistik untuk mempercayai syarikat yang menawarkan transaksi crypto yang selamat akan bekerjasama sepenuhnya dengan pihak berkuasa untuk menangkap penggodam. Ia tidak selalu menjadi masalah jika alamat IP VPS berasal dari negara yang menghormati privasi. Jika syarikat yang menyediakan VPS kepada anda terletak di AS atau UK, kemungkinan besar mereka tidak akan teragak-agak untuk menyerahkan maklumat peribadi anda kepada mana-mana pihak berkuasa. Melangkah lebih jauh ke dalam kebimbangan privasi, Perjanjian UKUSA ialah perjanjian antara United Kingdom, Amerika Syarikat, Australia, Kanada dan New Zealand untuk mengumpul, menganalisis dan berkongsi risikan secara bekerjasama. Ahli kumpulan ini dikenali sebagai Lima Mata. Negara-negara ini terkenal dengan undang-undang dan dasar privasi yang invasif. Memilih penyedia VPS di negara yang paling menghormati privasi mungkin bukan keutamaan tertinggi, tetapi masuk akal untuk sekurang-kurangnya mempertimbangkan penyedia di negara yang mempunyai undang-undang privasi yang baik

"VPS luar pesisir"akan membayangkan bahawa pelayan berada di luar lokasi sempadan negara syarikat dan mungkin membenarkan beberapa tahap budi bicara. Ini penting untuk anda sebagai pentester dan syarikat yang anda ditugaskan untuk dilindungi kerana anda mungkin memperoleh maklumat yang berkompromi dan sensitif yang tidak boleh dikongsi atau dibocorkan. Pembaca digalakkan untuk bertanya secara bebas dengan penyedia VPS untuk menentukan sama ada penyelesaian luar pesisir mereka sesuai untuk anda. Penyedia yang dinyatakan sebagai menawarkan penyelesaian luar pesisir biasanya berbuat demikian pada premium. Ia tidak boleh diandaikan bahawa penyelesaian VPS tersedia termurah mereka juga merupakan harga pilihan luar pesisir mereka

BulletShield ialah pilihan utama saya sebagai penyedia VPS terbaik untuk pembaca Null Byte. BulletShield tidak memerlukan atau meminta apa-apa jenis maklumat peribadi semasa mendaftar akaun atau bersedia untuk menyerahkan transaksi BTC. Mereka juga mewajibkan urus niaga BTC dan tidak mempunyai ToS yang secara jelas melarang sebarang jenis aktiviti ujian penembusan. Kelemahannya ialah mereka tidak menerima kad kredit prabayar dan harga termurah agak mahal, tetapi jika anda menghargai privasi anda, harga tidak semestinya perkara utama yang perlu dipertimbangkan. Apabila ia datang ke ibu pejabat syarikat, BulletShield tidak mendedahkan maklumat ini. Carian nama domain pantas menunjukkan bahawa ia telah dibeli oleh Tucows Domains Inc., sebuah syarikat Kanada, tetapi dibeli dari Charlestown, sebuah bandar yang terletak di pulau terpencil di Hindia Barat. Walau bagaimanapun, itu tidak bermakna di situlah BulletShield beribu pejabat, hanya tempat yang digunakan oleh pendaftar domain yang BulletShield mendaftarkan domain tersebut. Mereka menawarkan penyelesaian luar pesisir dan tapak web mesra Tor, yang meletakkan BulletShield sebagai peneraju keseluruhan. Walau bagaimanapun, wakil khidmat pelanggan menyebut kepada saya bahawa "pentesting"adalah "hanya dibenarkan pada perkhidmatan kalis peluru", yang mungkin masalah dari segi kos
BuyVM ialah naib juara untuk membenarkan ujian penembusan undang-undang apabila kebenaran bertulis yang jelas dan sah diberikan oleh syarikat atau orang yang dipersoalkan. Seorang wakil mengesahkan perkara ini dengan mengatakan mereka "memerlukan dokumen penuh daripada pasukan undang-undang yang mewakili sasaran yang dipersoalkan membenarkannya."Harga permulaan mereka benar-benar menaikkan mereka ke atas dengan penyelesaian VPS serendah hanya $2.42 sebulan. Walau bagaimanapun, mereka meminta maklumat peribadi anda dan untuk mendaftarkan akaun, "butiran akaun mesti sepadan dengan maklumat yang diberikan melalui kaedah pembayaran,"jadi ini boleh bermakna kad prabayar tanpa nama telah dikeluarkan. Bitcoin diterima, walaupun. Dan walaupun mereka mempunyai tapak web mesra Tor, mereka beribu pejabat di Kanada dan tidak menawarkan penyelesaian luar pesisir, yang boleh menjadi negatif bergantung pada apa yang anda gunakan untuk VPS.

ClientVPS mempunyai ToS, tetapi tidak banyak perkara di dalamnya kecuali mereka tidak akan menyalahkan sebarang tindakan yang anda lakukan yang mengakibatkan "kecederaan"kepada orang atau harta benda, pelanggaran hak cipta, dsb., menjadikan anda bertanggungjawab sepenuhnya. Secara keseluruhan, harga mereka adalah yang paling mahal, tetapi sorotan termasuk menerima Bitcoin (kad Visa prabayar tidak jelas), mempunyai laman web mesra Tor, beribu pejabat di Rusia (di mana permintaan untuk maklumat kerap diabaikan), dan menawarkan penyelesaian luar pesisir, semuanya yang mengukuhkan kedudukan semasa dalam ranking mereka. Selain daripada harga yang tinggi, kelemahan lain termasuk kekurangan maklumat tentang pentesting undang-undang (mereka tidak membalas pertanyaan saya) dan mereka meminta data peribadi anda

OneHost Cloud ialah satu-satunya penyedia VPS yang saya dapati yang menawarkan VPS Kali Linux dan penyelesaian ujian penembusan. Harga mereka bermula pada hanya $6.59/bulan, yang merupakan satu lagi manfaat utama penyedia ini, dan mereka menerima pembayaran BTC. OneHost Cloud kelihatan seperti pilihan optimum untuk topi tanpa niat untuk mengimbas tapak web secara haram atau menggodam entiti tanpa kebenaran. Ia juga akan menjadi sangat mengelirukan bagi pelanggan jika mereka menawarkan penyelesaian Kali tetapi tidak membenarkan pentesting undang-undang. Walau bagaimanapun, apabila saya bertanya tentang ujian penembusan undang-undang, mereka hanya menjawab: Semua mesej e-mel masa hadapan daripada alamat ini akan disekat. Ini dihantar kepada saya tanpa sebab atau penjelasan. Atas sebab ini, OneHost Cloud berada di tempat terakhir dan saya mengesyorkan pembaca bertanya secara bebas dengan OneHost Cloud tentang dasar ToS mereka sebelum melakukan sebarang jenis ujian penembusan. Kelemahan lain kepada pembekal ini ialah meminta maklumat peribadi; berada di London, UK; tidak mempunyai tapak web sedia tanpa nama; dan kekurangan maklumat tentang penyelesaian luar pesisir dan kad prabayar.