Gabay ng White Hat sa Pagpili ng Virtual Pribadong Server

Ang pagsasagawa ng mga kampanya sa phishing at pagho-host ng mga sesyon ng Metasploit mula sa isang pinagkakatiwalaang VPS ay mahalaga sa sinumang propesyonal na mananaliksik sa seguridad, pentester, o hacker. Gayunpaman, ang mga opsyon ay medyo limitado dahil karamihan sa mga provider ay may zero-tolerance na mga patakaran para sa anumang uri ng pag-hack, mabuti man o masama. Pagkatapos magsaliksik ng dose-dosenang mga produkto, lumabas kami ng 5 potensyal na perpekto para sa mga Null Byte na mambabasa. Ano ang isang VPS? Well, ito ay kumakatawan sa virtual private server at ito ay isang virtualized server na nakikita ng maraming user bilang isang dedikado o pribadong server kahit na ito ay naka-install sa isang pisikal na computer na nagpapatakbo ng maraming operating system nang sabay-sabay. Ang mga VPS ay karaniwang ginagamit para sa pagho-host ng mga website online. Kapag bumili kami ng VPS mula sa isang provider, sa esensya, kami ay "nagrenta"ng partition sa isang malakas na high-performance na pisikal na makina na naglalaman ng maraming virtual server. Ang bawat VPS ay konektado sa internet, binibigyan ang mga indibidwal na customer ng kakayahang gumamit ng iba't ibang mga operating system, at nagbibigay ng ganap na root access sa mga operating system. Ang bawat customer (o server administrator) ay gumagana nang hiwalay sa iba pang mga customer na nagbabahagi ng pisikal na computer na ibinigay ng kumpanya ng VPS. Sa pangkalahatan, ang virtual private server ay isang computer na maaari nating kontrolin nang malayuan mula sa anumang device na nakakonekta sa internet sa mundo. Nagbibigay ito sa atin ng maraming kapangyarihan. Mula sa isang malayong server, ito ay ilan lamang sa mga bagay na maaaring gawin: Upang makuha ito, mula sa aming pananaliksik, ang BulletShield ay sa ngayon ang pinakamahusay na provider ng VPS para sa mga sumbrero at pentester, na sinusundan nang malapit ng BuyVM at ClientVPS. Ang mga runner-up ay ang VPSDime at OneHost Cloud. Makikita mo kung bakit sa aming chart sa ibaba, ngunit tumalon sa ibaba para mas malalim ang kahulugan ng bawat punto ng paghahambing. I-UPDATE: Wala na ang BulletShield. Titingnan namin ang higit pang mga provider ng VPS upang makita kung may sapat na karapat-dapat na gawin ang aming listahan, at mag-a-update kami nang naaayon kapag ginawa namin. Pansamantala, ang BuyVM ang susunod na pinakamagandang bagay


Mayroong ilang mga chart ng paghahambing ng VPS online, ngunit walang nauugnay sa akin bilang isang pentester at sumbrero. Sa karamihan ng mga senaryo ng pagsubok sa pagpasok ng propesyonal, kailangan nating mag-spin up ng VPS nang ilang araw para mag-host ng payload, makatanggap ng data ng exfiltration, o magsagawa ng phishing attack. Nag-aalok man o hindi ang VPS provider ng live na tech na suporta, hindi maintindihan na mga detalye ng hardware, o isang labis na pagpili ng mga operating system ay bihirang mahalaga. Sa isip, gusto naming gamitin ang Bitcoin (BTC) para mabilis na bilhin ang pinakabagong release ng Debian mula sa isang VPS provider na nakabase sa isang bansang may kinalaman sa privacy. Kapag inihambing ang mga provider ng VPS na itinampok sa artikulong ito, sinubukan kong maging layunin at patas hangga't maaari. Walang VPS provider sa artikulong ito na binayaran para maitampok sa chart ng paghahambing. Ginamit ko ang pamantayan sa ibaba upang makabuo ng tsart sa itaas. Huwag Palampasin: Paano Ibenta ang Iyong Stellar, Ripple& Iba pang Alt-Coin para sa Bitcoin o Ethereum sa Binance

Ang mga tuntunin ng serbisyo (ToS) at patakaran sa katanggap-tanggap na paggamit (AUP) ay marahil ang pinakamataas na priyoridad na napupunta sa chart ng paghahambing na ito. Bagama't dose-dosenang mga provider ng VPS ang isinasaalang-alang sa una, karamihan ay tahasang hindi pinapayagan o hindi hinihikayat ang mga port scanner, pamamahagi ng payload, phishing, at/o anumang uri ng pag-hack. Sa ilang mga pagbubukod, agad nitong na-disqualify ang VPS provider mula sa chart ng paghahambing. Ang mga propesyonal sa IT, mga mananaliksik sa seguridad, at mga self-taught na mga hacker ay gumagawa ng maraming mahusay na trabaho sa mga malalayong server. Mahalaga sa akin na ang mga provider ng VPS na itinampok dito ay nagpapanatili ng mga patakaran sa ToS na pinakaangkop sa mga pangangailangan ng Null Byte audience. Ang mga provider ng VPS sa aking chart ay kabilang sa iilan na walang mga patakaran sa ToS na ganap na laban sa "pag-hack."Ang mga provider na kilala bilang pantester-friendly ay hindi tahasang nagsasaad sa kanilang ToS na ang "pag-hack"(o anumang nauugnay na terminolohiya) ay pinapayagan. Walang VPS provider ang gagawa noon. Karamihan sa mga provider na ito ay maaaring hindi binanggit ang pag-hack sa kanilang ToS o wala silang ToS na available sa kanilang website. Ito ay pinaniniwalaan na isang indikasyon na ang mga aktibidad sa pag-hack ay lubos na kinasusuklaman, ngunit maaaring hindi magresulta sa pagwawakas ng account

Ang pagsusumite ng aming tunay na pangalan, address, numero ng telepono, at iba pang impormasyong nagbibigay ng personal na pagkakakilanlan sa anumang website ay hindi kailanman kanais-nais. Kahit na hindi priyoridad para sa iyo ang pagiging anonymity, maaari pa ring makompromiso ang VPS provider balang araw at ma-leak online ang lahat ng data ng customer nila. Ang pagbili ng mga subscription sa VPS ay mainam na magawa nang hindi nagpapakilala, dahil walang sinasabi kung anong problema ang maaari nating pasukin sa panahon ng pananaliksik o pentesting. Maaaring magsagawa ng legal na aksyon sa ibang araw laban sa provider ng VPS para sa isang bagay na nangyari sa isang server na binili mo, kaya mabuting mag-imbak ng kaunting impormasyon tungkol sa iyong sarili sa database ng customer ng provider. Sa karamihan ng mga kaso, nalaman kong posibleng magsumite ng ganap na pekeng pangalan, address, at numero ng telepono sa panahon ng pagpaparehistro ngunit hindi ko itinuring iyon bilang isang "magandang tampok"para sa provider. Ang pagsusumite ng maling impormasyon sa anumang lehitimong kumpanya ay halos tiyak na masisira ang ToS ng provider at magreresulta sa agarang pagwawakas ng account. Ang isang email address na kinakailangan mula sa isang VPS provider ay hindi bumubuo bilang "personal na impormasyon,"dahil madaling makakuha ng hindi nagpapakilalang email address nang hindi nagpapakilala. Makatuwiran din na ang mga tagapagbigay ng VPS ay nagtatag ng ilang paraan ng komunikasyon sa kanilang mga customer

 #
Hindi makatotohanang maniwala na ang isang kumpanya na nag-aalok ng mga secure na transaksyon sa crypto ay ganap na makikipagtulungan sa mga awtoridad upang mahuli ang isang hacker. Hindi palaging mahalaga kung ang VPS IP address ay nagmula sa isang bansang gumagalang sa privacy. Kung ang kumpanyang nagbibigay ng VPS sa iyo ay matatagpuan sa US o UK, malamang na hindi sila magdadalawang-isip na ibigay ang iyong personal na impormasyon sa sinumang awtoridad. Higit pa sa mga alalahanin sa privacy, ang UKUSA Agreement ay isang kasunduan sa pagitan ng United Kingdom, United States, Australia, Canada, at New Zealand upang magkatuwang na mangolekta, magsuri, at magbahagi ng katalinuhan. Ang mga miyembro ng grupong ito ay kilala bilang ang Limang Mata. Ang mga bansang ito ay kilala sa pagkakaroon ng mga invasive na batas at patakaran sa privacy. Ang pagpili ng isang provider ng VPS sa bansang may pinakamahalagang paggalang sa privacy ay malamang na hindi ang pinakamataas na priyoridad, ngunit makatuwirang isaalang-alang ang mga provider sa mga bansang may disenteng mga batas sa privacy.

Ang isang "offshore VPS"ay nagpapahiwatig na ang server ay nasa labas ng pambansang hangganan ng lokasyon ng kumpanya at maaaring magbigay ng ilang antas ng pagpapasya. Ito ay mahalaga para sa iyo bilang isang pentester at ang kumpanya kung saan ka inatasan upang i-secure dahil maaari kang makakuha ng kompromiso at sensitibong impormasyon na hindi dapat ibahagi o i-leak. Hinihikayat ang mga mambabasa na independyenteng magtanong sa mga provider ng VPS upang matukoy kung ang kanilang mga solusyon sa malayo sa pampang ay tama para sa iyo. Ang mga provider na nabanggit bilang nag-aalok ng mga solusyon sa malayo sa pampang ay karaniwang ginagawa ito sa isang premium. Hindi dapat ipagpalagay na ang kanilang pinakamurang magagamit na solusyon sa VPS ay ang presyo din ng kanilang opsyon sa malayo sa pampang

Ang BulletShield ang aking nangungunang pinili bilang pinakamahusay na provider ng VPS para sa mga Null Byte na mambabasa. Ang BulletShield ay hindi nangangailangan o humiling ng anumang uri ng personal na impormasyon kapag nagrerehistro ng isang account o naghahanda na magsumite ng isang BTC na transaksyon. Ginagawa rin nilang mandatory ang mga transaksyon sa BTC at walang ToS na tahasang nagbabawal sa anumang uri ng aktibidad sa pagsubok sa pagtagos. Ang mga downsides ay hindi sila tumatanggap ng mga prepaid na credit card at ang pinakamurang presyo ay medyo mahal, ngunit kung pinahahalagahan mo ang iyong privacy, ang presyo ay hindi ang pangunahing bagay na dapat isaalang-alang. Pagdating sa punong-tanggapan ng kumpanya, hindi ibinubunyag ng BulletShield ang impormasyong ito. Ang isang mabilis na paghahanap ng domain name ay nagpakita na ito ay binili ng Tucows Domains Inc., isang Canadian na kumpanya, ngunit binili mula sa Charlestown, isang lungsod na matatagpuan sa isang malayong isla sa West Indies. Gayunpaman, hindi iyon nangangahulugan na kung saan ang BulletShield ay naka-headquarter, ito ay kung saan ang domain registrar na ginamit ng BulletShield ay nagrehistro ng domain mula sa. Nag-aalok sila ng mga solusyon sa malayo sa pampang at isang Tor-friendly na website, na naglalagay sa BulletShield sa nangunguna sa pangkalahatan. Gayunpaman, binanggit sa akin ng isang customer service representative na ang "pentesting"ay "pinahihintulutan lamang sa mga serbisyong hindi tinatablan ng bala,"na maaaring isang problema sa cost-wise
Ang BuyVM ang runnerup para sa pagpayag sa legal na penetration testing kung saan ang tahasan at legal na nakasulat na pahintulot ay ibinigay ng kumpanya o (mga) taong pinag-uusapan. Kinumpirma ito ng isang kinatawan sa pagsasabing "kailangan nila ang isang buong dokumento mula sa legal na pangkat na kumakatawan sa target na pinag-uusapan na nagpapahintulot dito."Ang kanilang mga panimulang presyo ay talagang nagpapataas sa kanila ng mga ranggo na may mga solusyon sa VPS na kasingbaba lamang ng $2.42 sa isang buwan. Gayunpaman, hinihiling nila ang iyong personal na impormasyon, at para makapagrehistro ng account, "dapat tumugma ang mga detalye ng account sa impormasyong ibinigay ng paraan ng pagbabayad,"kaya maaaring mangahulugan iyon na wala na ang mga anonymous na prepaid card. Ang Bitcoin ay tinatanggap, bagaman. At habang mayroon silang Tor-friendly na website, sila ay naka-headquarter sa Canada at hindi nag-aalok ng mga solusyon sa malayo sa pampang, na maaaring negatibo depende sa kung para saan mo ginagamit ang VPS.

Ang ClientVPS ay may ToS, ngunit walang gaanong naroroon maliban sa hindi nila sisisihin ang anumang mga aksyon na gagawin mo na magreresulta sa "pinsala"sa tao o ari-arian, paglabag sa copyright, atbp., na ganap na pananagutan sa iyo. Sa pangkalahatan, ang kanilang mga presyo ay ang pinakamahal, ngunit ang mga highlight ay kinabibilangan ng pagtanggap ng Bitcoin (mga prepaid na Visa card ay hindi malinaw), pagkakaroon ng Tor-friendly na website, pagiging headquarter sa Russia (kung saan ang mga kahilingan para sa impormasyon ay regular na binabalewala), at nag-aalok ng isang offshore na solusyon, lahat kung saan pinatibay ang kasalukuyang posisyon nito sa kanilang pagraranggo. Bukod sa mataas na presyo, ang iba pang mga downsides ay kasama ang kanilang kakulangan ng impormasyon tungkol sa legal na pentesting (hindi nila ibinalik ang aking mga katanungan) at hinihiling nila ang iyong personal na data

Ang OneHost Cloud ay ang tanging VPS provider na mahahanap ko na nag-aalok ng Kali Linux VPS at mga solusyon sa pagsubok sa pagtagos. Ang kanilang mga presyo ay nagsisimula sa $6.59/buwan, na isa pang pangunahing benepisyo ng provider na ito, at tumatanggap sila ng mga pagbabayad sa BTC. Ang OneHost Cloud ay tila ang pinakamainam na pagpipilian para sa mga sumbrero na walang intensyon na iligal na mag-scan ng isang website o mag-hack ng isang entity nang walang pahintulot. Magiging lubhang nakalilito para sa mga customer kung nag-aalok sila ng mga solusyon sa Kali ngunit hindi pinapayagan ang legal na pentesting. Gayunpaman, noong nagtanong ako tungkol sa legal na pagsubok sa pagtagos, sumagot lang sila: Ang lahat ng mga mensahe sa email sa hinaharap mula sa address na ito ay maba-block. Ipinadala ito sa akin nang walang dahilan o paliwanag. Para sa kadahilanang ito, dumating ang OneHost Cloud sa huling lugar at inirerekomenda ko ang mga mambabasa na independiyenteng magtanong sa OneHost Cloud tungkol sa kanilang mga patakaran sa ToS bago magsagawa ng anumang uri ng pagsubok sa pagtagos. Iba pang mga downsides sa provider na ito ay humihiling ng personal na impormasyon; na matatagpuan sa London, UK; walang anonymous-ready na website; at kakulangan ng impormasyon tungkol sa mga solusyon sa malayo sa pampang at mga prepaid card.