Het uitvoeren van phishing-campagnes en het hosten van Metasploit-sessies vanaf een vertrouwde VPS is belangrijk voor elke professionele beveiligingsonderzoeker, pentester of hacker. De opties zijn echter vrij beperkt, aangezien de meeste providers een nultolerantiebeleid hebben voor elke vorm van hacking, goed of slecht. Na tientallen producten te hebben onderzocht, kwamen we uit op 5 mogelijkheden die ideaal zijn voor Null Byte-lezers. Allereerst wat is een VPS? Nou, het staat voor virtual private server en is een gevirtualiseerde server die door veel gebruikers wordt gezien als een dedicated of private server, ook al is deze geïnstalleerd op een fysieke computer waarop meerdere besturingssystemen tegelijk draaien. VPS'en worden het meest gebruikt voor het online hosten van websites. Wanneer we een VPS van een provider kopen, "huren"we in wezen een partitie op een krachtige, krachtige fysieke machine waarop veel virtuele servers zijn ondergebracht. Elke VPS is verbonden met internet, geeft individuele klanten de mogelijkheid om verschillende besturingssystemen te gebruiken en geeft volledige root-toegang tot de besturingssystemen. Elke klant (of serverbeheerder) opereert onafhankelijk van andere klanten die de fysieke computer van het VPS-bedrijf delen. In wezen is een virtual private server een computer die we op afstand kunnen bedienen vanaf elk apparaat met internetverbinding ter wereld. Dit geeft ons veel macht. Vanaf een externe server zijn dit slechts enkele van de dingen die kunnen worden gedaan: Om het goed te doen, blijkt uit ons onderzoek dat BulletShield verreweg de beste VPS-provider is voor hats en pentesters, op de voet gevolgd door BuyVM en ClientVPS. Runners-up waren VPSDime en OneHost Cloud. U kunt zien waarom in onze onderstaande grafiek, maar spring daaronder om dieper in te gaan op wat elk vergelijkingspunt betekent. UPDATE: BulletShield bestaat niet meer. We zullen naar meer VPS-providers kijken om te zien of er een waardig genoeg is om onze lijst te maken, en we zullen dienovereenkomstig bijwerken wanneer we dat doen. In de tussentijd is BuyVM het op één na beste
Er zijn verschillende VPS-vergelijkingstabellen online, maar geen daarvan is voor mij als pentester en hoed herkenbaar. In de meeste professionele scenario's voor penetratietesten moeten we een VPS meerdere dagen draaien om een payload te hosten, exfiltratiegegevens te ontvangen of een phishing-aanval uit te voeren. Of de VPS-provider al dan niet live technische ondersteuning, onbegrijpelijke hardwarespecificaties of een overmatige selectie van besturingssystemen biedt, doet er zelden toe. Idealiter willen we Bitcoin (BTC) gebruiken om snel de nieuwste Debian-release te kopen van een VPS-provider in een land dat de privacy respecteert. Bij het vergelijken van VPS-providers die in dit artikel worden genoemd, heb ik geprobeerd zo objectief en eerlijk mogelijk te zijn. Geen enkele VPS-provider in dit artikel heeft betaald om in de vergelijkingstabel te worden weergegeven. Ik heb de onderstaande criteria gebruikt om tot de bovenstaande grafiek te komen. Mis het niet: hoe u uw Stellar, Ripple kunt verkopen& Andere Alt-Coins voor Bitcoin of Ethereum in Binance
De servicevoorwaarden (ToS) en het acceptabel gebruiksbeleid (AUP) waren waarschijnlijk de hoogste prioriteiten in deze vergelijkingstabel. Hoewel in eerste instantie tientallen VPS-providers werden overwogen, werden poortscanners, distributie van payloads, phishing en/of hacking van welke aard dan ook expliciet verboden of ontmoedigd. Op enkele uitzonderingen na diskwalificeerde dit de VPS-aanbieder direct uit de vergelijkingstabel. IT-professionals, beveiligingsonderzoekers en autodidactische hackers doen geweldig werk op externe servers. Het was belangrijk voor mij dat de VPS-providers die hier worden vermeld, een ToS-beleid handhaafden dat het beste paste bij de behoeften van het Null Byte-publiek. De VPS-providers in mijn overzicht behoorden tot de weinige die geen ToS-beleid hadden dat volledig vijandig stond tegenover 'hacken'. De providers waarvan bekend is dat ze pentestervriendelijk zijn, vermelden niet expliciet in hun ToS dat "hacken"(of een gerelateerde terminologie) is toegestaan. Geen enkele VPS-provider zou dat ooit doen. De meeste van deze providers maken geen melding van hacken in hun ToS of ze hebben helemaal geen ToS beschikbaar op hun website. Aangenomen werd dat dit een indicatie was dat hackactiviteiten sterk worden afgekeurd, maar mogelijk niet leiden tot beëindiging van het account
Het is nooit wenselijk om onze echte naam, adres, telefoonnummer en andere persoonlijk identificeerbare informatie op een website te plaatsen. Zelfs als anonimiteit geen prioriteit voor u is, kan de VPS-provider op een dag toch gecompromitteerd raken en al hun klantgegevens online laten lekken. Het kopen van VPS-abonnementen gebeurt idealiter anoniem, omdat het niet te zeggen is in welke problemen we kunnen komen tijdens onderzoek of pentesting. Er kunnen op een dag juridische stappen worden ondernomen tegen de VPS-provider voor iets dat is gebeurd op een server die u hebt gekocht, dus het is verstandig om zo min mogelijk informatie over uzelf op te slaan in de klantendatabase van de provider. In de meeste gevallen merkte ik dat het mogelijk was om tijdens de registratie een volledig valse naam, adres en telefoonnummer op te geven, maar dat beschouwde ik niet als een "goede eigenschap"voor de provider. Het verstrekken van valse informatie aan een legitiem bedrijf zal vrijwel zeker de ToS van de provider overtreden en resulteren in onmiddellijke beëindiging van het account. Een e-mailadres dat van een VPS-provider is vereist, vormt geen 'persoonlijke informatie', aangezien het gemakkelijk is om anoniem een wegwerp-e-mailadres te verkrijgen. Het is ook logisch dat VPS-providers een communicatiemethode met hun klanten opzetten
Het is niet onrealistisch om te geloven dat een bedrijf dat veilige cryptotransacties aanbiedt, volledig zal meewerken met de autoriteiten om een hacker te pakken te krijgen. Het maakt niet altijd uit of het IP-adres van de VPS afkomstig is uit een land dat privacy respecteert. Als het bedrijf dat de VPS aan u levert zich in de VS of het VK bevindt, is de kans groot dat ze niet zullen aarzelen om uw persoonlijke gegevens aan een autoriteitsfiguur af te staan. Om verder in te gaan op privacykwesties, is de UKUSA-overeenkomst een overeenkomst tussen het Verenigd Koninkrijk, de Verenigde Staten, Australië, Canada en Nieuw-Zeeland om gezamenlijk informatie te verzamelen, analyseren en delen. Leden van deze groep staan bekend als de Five Eyes. Deze landen zijn berucht vanwege hun inbreukmakende privacywetten en -beleid. Het kiezen van een VPS-provider in het meest privacy-respecterende land heeft waarschijnlijk niet de hoogste prioriteit, maar het is logisch om in ieder geval de providers in landen met fatsoenlijke privacywetgeving te overwegen
Een "offshore VPS"zou impliceren dat de server zich buiten de nationale grenslocatie van het bedrijf bevindt en kan een zekere mate van discretie toestaan. Dit is belangrijk voor u als pentester en voor het bedrijf dat u moet beveiligen, aangezien u compromitterende en gevoelige informatie kunt verkrijgen die niet mag worden gedeeld of gelekt. Lezers worden aangemoedigd om onafhankelijk te informeren bij de VPS-providers om te bepalen of hun offshore-oplossingen geschikt voor u zijn. Aanbieders waarvan bekend is dat ze offshore-oplossingen aanbieden, doen dit meestal tegen een meerprijs. Er mag niet van worden uitgegaan dat hun goedkoopste beschikbare VPS-oplossing ook de prijs is van hun offshore-optie
BulletShield was mijn beste keuze als de beste VPS-provider voor Null Byte-lezers. BulletShield heeft geen enkele vorm van persoonlijke informatie gevraagd of gevraagd bij het registreren van een account of het voorbereiden van een BTC-transactie. Ze stellen ook BTC-transacties verplicht en hebben geen ToS die expliciet elke vorm van penetratietestactiviteiten verbiedt. De nadelen zijn dat ze geen prepaid-creditcards accepteren en dat de goedkoopste prijs een beetje duur is, maar als u waarde hecht aan uw privacy, is de prijs niet per se het belangrijkste om te overwegen. Als het gaat om het hoofdkantoor van het bedrijf, maakt BulletShield deze informatie niet bekend. Een snelle zoekopdracht op de domeinnaam toonde aan dat het was gekocht door Tucows Domains Inc., een Canadees bedrijf, maar was gekocht van Charlestown, een stad op een afgelegen eiland in West-Indië. Dat betekent echter niet dat BulletShield daar zijn hoofdkantoor heeft, het is alleen waar de domeinregistrar die BulletShield gebruikte het domein heeft geregistreerd. Ze bieden wel offshore-oplossingen en een Tor-vriendelijke website, waarmee BulletShield aan de leiding staat. Een medewerker van de klantenservice vertelde me echter dat "pentesting""alleen is toegestaan op bulletproof-services", wat qua kosten een probleem kan zijn
BuyVM is de runner-up voor het toestaan van legale penetratietesten waarbij expliciete en legale schriftelijke toestemming is gegeven door het bedrijf of de persoon(en) in kwestie. Een vertegenwoordiger bevestigde dit door te zeggen dat ze "een volledig document nodig hebben van het juridische team dat het doelwit in kwestie vertegenwoordigt om het goed te keuren". Hun startprijzen brachten hen echt naar een hoger niveau met VPS-oplossingen vanaf slechts $ 2,42 per maand. Ze vragen echter wel om uw persoonlijke gegevens en om een account te registreren, "moeten de accountgegevens overeenkomen met de informatie die door de betaalmethode wordt verstrekt", dus dat zou kunnen betekenen dat anonieme prepaidkaarten niet beschikbaar zijn. Bitcoin wordt echter geaccepteerd. En hoewel ze een Tor-vriendelijke website hebben, hebben ze hun hoofdkantoor in Canada en bieden ze geen offshore-oplossingen, wat negatief kan zijn, afhankelijk van waarvoor je de VPS gebruikt
ClientVPS heeft een ToS, maar daar staat niet veel in, behalve dat ze geen schuld op zich nemen voor acties die u uitvoert die resulteren in "letsel"aan personen of eigendommen, schending van auteursrechten, enz., en u volledig verantwoordelijk houden. Over het algemeen waren hun prijzen het duurst, maar hoogtepunten zijn onder meer het accepteren van Bitcoin (prepaid Visa-kaarten zijn onduidelijk), het hebben van een Tor-vriendelijke website, het hoofdkantoor in Rusland (waar verzoeken om informatie regelmatig worden genegeerd) en het aanbieden van een offshore-oplossing, allemaal waarvan zijn huidige positie in hun ranglijst is verstevigd. Afgezien van de hoge prijs, zijn andere nadelen hun gebrek aan informatie over juridische pentesting (ze hebben mijn vragen niet beantwoord) en ze vragen om uw persoonlijke gegevens
OneHost Cloud is de enige VPS-provider die ik kon vinden die een Kali Linux VPS en penetratietestoplossingen biedt. Hun prijzen beginnen bij slechts $ 6,59/maand, wat een ander groot voordeel is van deze provider, en ze accepteren BTC-betalingen. OneHost Cloud leek de optimale keuze voor hoeden zonder de intentie ooit illegaal een website te scannen of een entiteit te hacken zonder toestemming. Het zou voor klanten ook buitengewoon verwarrend zijn als ze Kali-oplossingen zouden aanbieden, maar legale pentesting niet zouden toestaan. Toen ik echter informeerde naar legale penetratietesten, antwoordden ze eenvoudig: alle toekomstige e-mailberichten van dit adres worden geblokkeerd. Dit werd mij zonder reden of uitleg toegestuurd. Om deze reden kwam OneHost Cloud op de laatste plaats en ik raad lezers aan om onafhankelijk contact op te nemen met OneHost Cloud over hun ToS-beleid alvorens enige vorm van penetratietest uit te voeren. Andere nadelen van deze aanbieder zijn het opvragen van persoonlijke gegevens; gevestigd zijn in Londen, VK; geen anonieme website hebben; en gebrek aan informatie over offshore-oplossingen en prepaidkaarten.
