Att genomföra nätfiskekampanjer och vara värd för Metasploit-sessioner från en pålitlig VPS är viktigt för alla professionella säkerhetsforskare, pentester eller hackare. Men alternativen är ganska begränsade eftersom de flesta leverantörer har nolltoleranspolicyer för alla typer av hacking, bra eller dåligt. Efter att ha undersökt dussintals produkter kom vi ut med 5 potentialer som är idealiska för Null Byte-läsare. Först och främst vad är en VPS? Tja, det står för virtuell privat server och är en virtualiserad server som många användare uppfattar som en dedikerad eller privat server trots att den är installerad på en fysisk dator som kör flera operativsystem samtidigt. VPS:er används oftast för att vara värd för webbplatser online. När vi köper en VPS från en leverantör "hyr"vi i huvudsak en partition på en kraftfull högpresterande fysisk maskin som rymmer många virtuella servrar. Varje VPS är ansluten till internet, ger individuella kunder möjlighet att använda olika operativsystem och ger full root-åtkomst till operativsystemen. Varje kund (eller serveradministratör) arbetar oberoende av andra kunder som delar den fysiska datorn som tillhandahålls av VPS-företaget. I huvudsak är en virtuell privat server en dator som vi kan fjärrstyra från vilken internetansluten enhet som helst i världen. Detta ger oss mycket kraft. Från en fjärrserver är detta bara några av de saker som kan göras: För att komma rätt till det, från vår forskning, är BulletShield den i särklass bästa VPS-leverantören forhats och pentesters, tätt följt av BuyVM och ClientVPS. Tvåa var VPSDime och OneHost Cloud. Du kan se varför i vårt diagram nedan, men hoppa under det för att fördjupa dig i vad varje jämförelsepunkt betyder. UPPDATERING: BulletShield finns inte längre. Vi kommer att titta på fler VPS-leverantörer för att se om någon är värdig nog att göra vår lista, och vi kommer att uppdatera därefter när vi gör det. Under tiden är BuyVM det näst bästa
Det finns flera VPS-jämförelsetabeller online, men ingen är relaterad till mig som en pentester och hatt. I de flesta scenarier för professionella penetrationstestning måste vi snurra upp en VPS i flera dagar för att vara värd för en nyttolast, ta emot exfiltrationsdata eller utföra en nätfiskeattack. Huruvida VPS-leverantören erbjuder live teknisk support, obegripliga hårdvaruspecifikationer eller ett överdrivet urval av operativsystem spelar sällan någon roll. Helst vill vi använda Bitcoin (BTC) för att snabbt köpa den senaste Debian-versionen från en VPS-leverantör baserad i ett land som respekterar integriteten. När jag jämförde VPS-leverantörer i den här artikeln försökte jag vara så objektiv och rättvis som möjligt. Ingen VPS-leverantör i den här artikeln betalade för att vara med i jämförelsediagrammet. Jag använde kriterierna nedan för att komma fram till diagrammet ovan. Missa inte: Hur du säljer din Stellar, Ripple& Andra Alt-mynt för Bitcoin eller Ethereum i Binance
Användarvillkoren (ToS) och policyn för acceptabel användning (AUP) var förmodligen de högsta prioriteringarna i denna jämförelsetabell. Medan dussintals VPS-leverantörer övervägdes till en början, var de flesta explicit otillåtna eller avskräckta portskannrar, nyttolastdistribution, nätfiske och/eller hacking av något slag. Med några få undantag diskvalificerade detta omedelbart VPS-leverantören från jämförelsetabellen. IT-proffs, säkerhetsforskare och självlärda hackare gör mycket bra arbete på fjärrservrar. Det var viktigt för mig att VPS-leverantörerna som presenterades här upprätthöll ToS-policyer som bäst passar behoven hos Null Byte-publiken. VPS-leverantörerna i mitt diagram var bland de få som inte hade ToS-policyer som var helt fientliga mot "hacking". De leverantörer som noteras som pentestervänliga anger inte uttryckligen i sina användarvillkor att "hacking"(eller någon relaterad terminologi) är tillåten. Ingen VPS-leverantör skulle någonsin göra det. De flesta av dessa leverantörer nämner antingen inget om att hacka i sina användarvillkor eller så har de inte ett användarvillkor tillgängligt på deras webbplats alls. Detta ansågs vara en indikation på att hackningsaktiviteter är starkt ogillade, men kanske inte leder till att kontot avslutas
Att skicka in vårt riktiga namn, adress, telefonnummer och annan personligt identifierbar information till någon webbplats är aldrig önskvärt. Även om anonymitet inte är en prioritet för dig, kan VPS-leverantören fortfarande en dag bli äventyrad och få all kunddata att läcka online. Att köpa VPS-prenumerationer görs helst anonymt, eftersom det inte finns någon information om vilka problem vi kan hamna i under forskning eller pentestning. En dag kan rättsliga åtgärder vidtas mot VPS-leverantören för något som inträffat på en server du köpt, så det skulle vara klokt att lagra så lite information om dig själv i leverantörens kunddatabas. I de flesta fall fann jag att det var möjligt att ange ett helt falskt namn, adress och telefonnummer under registreringen men jag räknade inte det som en "bra funktion"för leverantören. Att skicka in falsk information till ett legitimt företag kommer nästan säkert att bryta leverantörens användarvillkor och resultera i omedelbar uppsägning av kontot. En e-postadress som krävs från en VPS-leverantör utgjorde inte som "personlig information", eftersom det är lätt att anonymt skaffa en engångs-e-postadress. Det är också vettigt att VPS-leverantörer etablerar någon metod för kommunikation med sina kunder
Det är inte orealistiskt att tro att ett företag som erbjuder säkra kryptotransaktioner kommer att samarbeta fullt ut med myndigheter för att fånga en hackare. Det spelar inte alltid någon roll om VPS IP-adressen kommer från ett land som respekterar integriteten. Om företaget som tillhandahåller VPS till dig finns i USA eller Storbritannien, är det mycket troligt att de inte kommer att tveka att överlåta din personliga information till någon auktoritetsperson. För att gå vidare in på integritetsfrågor är UKUSA-avtalet ett avtal mellan Storbritannien, USA, Australien, Kanada och Nya Zeeland för att samarbeta insamla, analysera och dela intelligens. Medlemmar av denna grupp är kända som de fem ögonen. Dessa länder är ökända för att ha invasiva integritetslagar och policyer. Att välja en VPS-leverantör i det mest integritetsrespekterande landet är förmodligen inte högsta prioritet, men det är vettigt att åtminstone överväga leverantörerna i länder med anständiga integritetslagar
En "offshore VPS"skulle innebära att servern är utanför företagets nationella gränsplats och kan tillåta en viss grad av diskretion. Detta är viktigt för dig som pentester och det företag som du har i uppdrag att säkra då du kan få kompromissande och känslig information som inte ska delas eller läckas. Läsare uppmuntras att självständigt fråga VPS-leverantörerna för att avgöra om deras offshorelösningar är rätt för dig. Leverantörer som noteras som erbjuder offshore-lösningar gör det vanligtvis till en premie. Det bör inte antas att deras billigaste tillgängliga VPS-lösning också är priset på deras offshore-alternativ
BulletShield var mitt bästa val som den bästa VPS-leverantören för Null Byte-läsare. BulletShield krävde eller begärde inte någon form av personlig information när man registrerade ett konto eller förberedde sig för att skicka en BTC-transaktion. De gör också BTC-transaktioner obligatoriska och har inte ett användarvillkor som uttryckligen förbjuder någon form av penetrationstestverksamhet. Nackdelarna är att de inte accepterar förbetalda kreditkort och det billigaste priset är lite dyrt, men om du värdesätter din integritet är priset inte nödvändigtvis det viktigaste att tänka på. När det gäller företagets huvudkontor avslöjar inte BulletShield denna information. En snabb domännamnsökning visade att den köptes av Tucows Domains Inc., ett kanadensiskt företag, men köptes från Charlestown, en stad som ligger på en avlägsen ö i Västindien. Det betyder dock inte att det är där BulletShield har sitt huvudkontor, det är bara där domänregistratorn BulletShield använde registrerade domänen från. De erbjuder offshore-lösningar och en Tor-vänlig webbplats, vilket placerar BulletShield i ledningen totalt sett. Men en kundtjänstrepresentant nämnde för mig att "pentesting"är "endast tillåten skottsäkra tjänster", vilket kan vara ett problem kostnadsmässigt
BuyVM är andraplatsen för att tillåta legal penetrationstestning där uttryckligt och juridiskt skriftligt medgivande ges av företaget eller personen i fråga. En representant bekräftade detta genom att säga att de "behöver ett fullständigt dokument från det juridiska teamet som representerar målet i fråga som godkänner det."Deras utgångspriser höjde dem verkligen i rangordningen med VPS-lösningar så låga som bara 2,42 USD i månaden. De begär dock din personliga information, och för att kunna registrera ett konto, "kontouppgifter måste matcha information som tillhandahålls av betalningsmetoden", så det kan betyda att anonyma förbetalda kort är ute. Bitcoin accepteras dock. Och även om de har en Tor-vänlig webbplats, har de sitt huvudkontor i Kanada och erbjuder inga offshore-lösningar, vilket kan vara negativt beroende på vad du använder VPS till
ClientVPS har ett användarvillkor, men det finns inte mycket där förutom att de inte tar någon skuld för några åtgärder du utför som resulterar i "skada"på person eller egendom, upphovsrättsintrång, etc., vilket håller dig helt ansvarig. Sammantaget var deras priser de dyraste, men höjdpunkter inkluderar att acceptera Bitcoin (förbetalda Visa-kort är otydliga), ha en Tor-vänlig webbplats, ha sitt huvudkontor i Ryssland (där förfrågningar om information regelbundet ignoreras) och erbjuda en offshore-lösning, allt som befäste sin nuvarande position i deras ranking. Bortsett från det höga priset, inkluderar andra nackdelar deras brist på information om juridisk pentesting (de returnerade inte mina förfrågningar) och de begär dina personuppgifter
OneHost Cloud är den enda VPS-leverantör som jag kunde hitta som erbjuder en Kali Linux VPS och lösningar för penetrationstestning. Deras priser börjar på bara $6,59/månad, vilket är en annan stor fördel med denna leverantör, och de accepterar BTC-betalningar. OneHost Cloud verkade vara det optimala valet utan avsikt att någonsin illegalt skanna en webbplats eller hacka en enhet utan samtycke. Det skulle också vara extremt förvirrande för kunderna om de erbjöd Kali-lösningar men inte tillåtit laglig pentesting. Men när jag frågade om laglig penetrationstestning svarade de bara: Alla framtida e-postmeddelanden från den här adressen kommer att blockeras. Detta skickades till mig utan anledning eller förklaring. Av denna anledning kom OneHost Cloud på sista plats och jag rekommenderar att läsare självständigt frågar OneHost Cloud om deras ToS-policyer innan de utför någon form av penetrationstestning. Andra nackdelar med denna leverantör är att begära personlig information; belägen i London, Storbritannien; att inte ha en webbplats som är redo för anonym; och brist på information om offshore-lösningar och kontantkort.
