Kimlik avı kampanyaları yürütmek ve güvenilir bir VPS'den Metasploit oturumları barındırmak, herhangi bir profesyonel güvenlik araştırmacısı, pentester veya hacker için önemlidir. Ancak, çoğu sağlayıcı iyi ya da kötü her tür bilgisayar korsanlığına karşı sıfır tolerans politikalarına sahip olduğundan, seçenekler oldukça sınırlıdır. Onlarca ürünü araştırdıktan sonra Null Byte okuyucuları için ideal 5 potansiyel bulduk. Öncelikle VPS nedir? Sanal özel sunucu anlamına gelir ve aynı anda birden fazla işletim sistemi çalıştıran fiziksel bir bilgisayara kurulu olmasına rağmen birçok kullanıcının özel veya özel sunucu olarak algıladığı sanallaştırılmış bir sunucudur. VPS'ler en çok çevrimiçi web sitelerini barındırmak için kullanılır. Bir sağlayıcıdan bir VPS satın aldığımızda, aslında birçok sanal sunucuyu barındıran güçlü, yüksek performanslı bir fiziksel makinede bir bölüm "kiralıyoruz". Her bir VPS internete bağlıdır, bireysel müşterilere farklı işletim sistemlerini kullanma olanağı verir ve işletim sistemlerine tam kök erişimi sağlar. Her müşteri (veya sunucu yöneticisi), VPS şirketi tarafından sağlanan fiziksel bilgisayarı paylaşan diğer müşterilerden bağımsız olarak çalışır. Esasen sanal özel sunucu, dünyadaki internete bağlı herhangi bir cihazdan uzaktan kontrol edebileceğimiz bir bilgisayardır. Bu bize çok güç veriyor. Uzak bir sunucudan yapılabileceklerden sadece birkaçı: Araştırmamıza göre, BulletShield açık ara en iyi VPS sağlayıcısıdır ve hemen ardından BuyVM ve ClientVPS gelmektedir. İkincisi, VPSDime ve OneHost Cloud idi. Nedenini aşağıdaki grafiğimizde görebilirsiniz, ancak her bir karşılaştırma noktasının ne anlama geldiğini daha derinlemesine incelemek için bunun altına atlayın. GÜNCELLEME: BulletShield artık mevcut değil. Listemizi yapmaya değer olup olmadığını görmek için daha fazla VPS sağlayıcısına bakacağız ve bunu yaptığımızda buna göre güncelleme yapacağız. Bu arada, BuyVM bir sonraki en iyi şey.
Çevrimiçi olarak birkaç VPS karşılaştırma tablosu var, ancak hiçbiri benim için bir pentester andhat olarak ilişkilendirilemez. Çoğu profesyonel penetrasyon testi senaryosunda, bir yükü barındırmak, sızdırma verilerini almak veya bir kimlik avı saldırısı gerçekleştirmek için bir VPS'yi birkaç günlüğüne çalıştırmamız gerekir. VPS sağlayıcısının canlı teknik destek, anlaşılmaz donanım özellikleri veya aşırı işletim sistemi seçimi sunup sunmadığı nadiren önemlidir. İdeal olarak, gizliliğe saygılı bir ülkede bulunan bir VPS sağlayıcısından en son Debian sürümünü hızlı bir şekilde satın almak için Bitcoin (BTC) kullanmak istiyoruz. Bu makalede yer alan VPS sağlayıcılarını karşılaştırırken, olabildiğince tarafsız ve adil olmaya çalıştım. Bu makaledeki hiçbir VPS sağlayıcısı, karşılaştırma tablosunda yer almak için ödeme yapmadı. Yukarıdaki tabloyu oluşturmak için aşağıdaki kriterleri kullandım. Kaçırmayın: Yıldızınızı Nasıl Satarsınız, Ripple& Binance'te Bitcoin veya Ethereum için Diğer Alt Paralar
Hizmet şartları (ToS) ve kabul edilebilir kullanım politikası (AUP), muhtemelen bu karşılaştırma tablosuna giren en yüksek önceliklerdi. İlk başta düzinelerce VPS sağlayıcısı düşünülürken, çoğu bağlantı noktası tarayıcılarına, yük dağıtımına, kimlik avına ve/veya her türlü bilgisayar korsanlığına açıkça izin verilmedi veya cesareti kırıldı. Birkaç istisna dışında, bu, VPS sağlayıcısını karşılaştırma tablosundan hemen diskalifiye etti. BT uzmanları, güvenlik araştırmacıları ve kendi kendini yetiştirmiş bilgisayar korsanları uzak sunucularda pek çok harika iş çıkarıyor. Burada yer alan VPS sağlayıcılarının, Null Byte kitlesinin ihtiyaçlarına en uygun ToS politikalarını sürdürmesi benim için önemliydi. Grafiğimdeki VPS sağlayıcıları, "hacklemeye"tamamen düşman olan ToS politikalarına sahip olmayan birkaç sağlayıcı arasındaydı. Pentester dostu olarak belirtilen sağlayıcılar, Hizmet Koşullarında "hacklemeye"(veya ilgili herhangi bir terminolojiye) izin verildiğini açıkça belirtmezler. Hiçbir VPS sağlayıcısı bunu asla yapmaz. Bu sağlayıcıların çoğu ya Hizmet Koşullarında bilgisayar korsanlığından bahsetmezler ya da web sitelerinde hiçbir Hizmet Koşulları yoktur. Bunun, bilgisayar korsanlığı faaliyetlerine şiddetle karşı çıkıldığının bir göstergesi olduğuna inanılıyordu, ancak hesabın feshedilmesiyle sonuçlanmayabilir.
Gerçek adımızı, adresimizi, telefon numaramızı ve diğer kişisel olarak tanımlanabilir bilgilerimizi herhangi bir web sitesine göndermek asla istenmez. Anonimlik sizin için bir öncelik olmasa bile, VPS sağlayıcısı bir gün yine de tehlikeye girebilir ve tüm müşteri verileri çevrimiçi olarak sızdırılabilir. Araştırma veya sızma testi sırasında nasıl bir sorunla karşılaşacağımızı bilemeyeceğimizden, VPS aboneliklerinin satın alınması ideal olarak anonim olarak gerçekleştirilir. Satın aldığınız bir sunucuda meydana gelen bir olay nedeniyle bir gün VPS sağlayıcısına karşı yasal işlem başlatılabilir, bu nedenle sağlayıcının müşteri veritabanında kendinizle ilgili olabildiğince az bilgi depolamak akıllıca olacaktır. Çoğu durumda, kayıt sırasında tamamen sahte bir ad, adres ve telefon numarası göndermenin mümkün olduğunu gördüm, ancak bunu sağlayıcı için "iyi bir özellik"olarak saymadım. Herhangi bir meşru şirkete yanlış bilgi göndermek, neredeyse kesinlikle sağlayıcının Hizmet Koşullarını bozacak ve hesabın derhal feshedilmesiyle sonuçlanacaktır. Tek kullanımlık bir e-posta adresini anonim olarak almak kolay olduğundan, bir VPS sağlayıcısından istenen bir e-posta adresi "kişisel bilgi"teşkil etmez. VPS sağlayıcılarının müşterileriyle bir tür iletişim yöntemi oluşturması da mantıklıdır.
Güvenli kripto işlemleri sunan bir şirketin bir bilgisayar korsanını yakalamak için yetkililerle tam anlamıyla işbirliği yapacağına inanmak gerçekçi değil. VPS IP adresinin gizliliğe saygı duyan bir ülkeden gelmesi her zaman önemli değildir. Size VPS'yi sağlayan şirket ABD'de veya İngiltere'de bulunuyorsa, kişisel bilgilerinizi herhangi bir yetkili kişiye vermekten çekinmeyeceklerdir. Mahremiyet endişelerini daha da derinleştirecek olursak, UKUSA Anlaşması Birleşik Krallık, Amerika Birleşik Devletleri, Avustralya, Kanada ve Yeni Zelanda arasında işbirliği içinde istihbarat toplamak, analiz etmek ve paylaşmak için yapılan bir anlaşmadır. Bu grubun üyeleri Beş Göz olarak bilinir. Bu ülkeler, istilacı gizlilik yasalarına ve politikalarına sahip olmakla ünlüdür. Gizliliğe en çok saygı duyan ülkede bir VPS sağlayıcısı seçmek muhtemelen en yüksek öncelik değildir, ancak en azından makul gizlilik yasalarına sahip ülkelerdeki sağlayıcıları dikkate almak mantıklıdır.
Bir "offshore VPS", sunucunun şirketin ulusal sınır konumunun dışında olduğunu ima eder ve bir dereceye kadar takdir yetkisine izin verebilir. Bu, bir pentester olarak sizin için ve güvenliğini sağlamakla görevlendirildiğiniz şirket için önemlidir, çünkü paylaşılmaması veya sızdırılmaması gereken risk teşkil eden ve hassas bilgiler edinebilirsiniz. Okuyucuların, offshore çözümlerinin sizin için doğru olup olmadığını belirlemek için VPS sağlayıcılarıyla bağımsız olarak görüşmeleri önerilir. Açık deniz çözümleri sunduğu belirtilen sağlayıcılar, genellikle bunu çok yüksek bir fiyata yaparlar. Mevcut en ucuz VPS çözümünün aynı zamanda denizaşırı seçeneklerinin fiyatı olduğu varsayılmamalıdır.
BulletShield, Null Byte okuyucuları için en iyi VPS sağlayıcısı olarak en iyi seçimimdi. BulletShield, bir hesap açarken veya bir BTC işlemi göndermeye hazırlanırken herhangi bir kişisel bilgi talep etmedi veya talep etmedi. Ayrıca BTC işlemlerini zorunlu hale getiriyorlar ve herhangi bir sızma testi faaliyetini açıkça yasaklayan bir Hizmet Koşullarına sahip değiller. Dezavantajları, ön ödemeli kredi kartlarını kabul etmemeleri ve en ucuz fiyatın biraz pahalı olması, ancak mahremiyetinize değer veriyorsanız, dikkate alınması gereken en önemli şey fiyat olmayabilir. Şirketin genel merkezine gelince BulletShield bu bilgiyi ifşa etmez. Hızlı bir alan adı araması, Kanadalı bir şirket olan Tucows Domains Inc. tarafından satın alındığını, ancak Batı Hint Adaları'ndaki uzak bir adada bulunan Charlestown şehrinden satın alındığını gösterdi. Ancak bu, BulletShield'ın genel merkezinin bulunduğu yer olduğu anlamına gelmez, BulletShield'in kullandığı alan adı kayıt kuruluşu, alan adını buradan kaydettirir. Açık deniz çözümleri ve Tor dostu bir web sitesi sunuyorlar, bu da BulletShield'ı genel olarak lider konuma getiriyor. Ancak, bir müşteri hizmetleri temsilcisi bana "sızma testine""yalnızca kurşun geçirmez hizmetlerde izin verildiğinden"bahsetti, bu da maliyet açısından bir sorun olabilir.
BuyVM, söz konusu şirket veya kişi(ler) tarafından açık ve yasal yazılı izin verildiğinde yasal sızma testine izin verme konusunda ikincidir. Bir temsilci, "söz konusu hedefi temsil eden hukuk ekibinden buna yetki veren tam bir belgeye ihtiyaçları olduğunu"söyleyerek bunu doğruladı. Başlangıç fiyatları, ayda yalnızca 2,42 ABD doları kadar düşük VPS çözümleri ile onları gerçekten üst sıralara çıkardı. Ancak, kişisel bilgilerinizi talep ederler ve bir hesaba kaydolmak için "hesap bilgileri ödeme yöntemi tarafından sağlanan bilgilerle eşleşmelidir", bu da anonim ön ödemeli kartların kullanılmadığı anlamına gelebilir. Ancak Bitcoin kabul ediliyor. Tor dostu bir web sitesine sahip olmalarına rağmen, genel merkezleri Kanada'dadır ve denizaşırı çözümler sunmazlar; bu, VPS'yi ne için kullandığınıza bağlı olarak olumsuz olabilir.
ClientVPS'nin bir Hizmet Şartları vardır, ancak burada, kişi veya mülke "yaralanma", telif hakkı ihlali vb. Genel olarak, fiyatları en pahalı olanlardı, ancak öne çıkan özellikler arasında Bitcoin'i kabul etmek (ön ödemeli Visa kartları belirsiz), Tor dostu bir web sitesine sahip olmak, merkezi Rusya'da olmak (bilgi taleplerinin düzenli olarak göz ardı edildiği yer) ve denizaşırı bir çözüm sunmak yer alıyor. sıralamalarındaki mevcut konumunu sağlamlaştırdı. Yüksek fiyatın yanı sıra, diğer dezavantajlar arasında yasal sızma testi hakkında bilgi eksikliği (sorgularıma geri dönmediler) ve kişisel verilerinizi talep etmeleri yer alıyor.
OneHost Cloud, bulabildiğim ve Kali Linux VPS ve penetrasyon testi çözümleri sunan tek VPS sağlayıcısıdır. Fiyatları ayda sadece 6,59 dolardan başlıyor, bu da bu sağlayıcının bir diğer önemli avantajı ve BTC ödemelerini kabul ediyorlar. OneHost Cloud, bir web sitesini yasa dışı bir şekilde tarama veya bir varlığı izinsiz olarak hackleme niyeti olmayan şapkalar için en uygun seçim gibi görünüyordu. Kali çözümleri sunup yasal sızma testine izin vermemeleri de müşteriler için son derece kafa karıştırıcı olurdu. Ancak, yasal sızma testi hakkında soru sorduğumda, basitçe şu yanıtı verdiler: Gelecekte bu adresten gelecek tüm e-posta mesajları engellenecek. Bu bana hiçbir sebep veya açıklama yapılmadan gönderildi. Bu nedenle, OneHost Cloud son sırada yer aldı ve okuyuculara herhangi bir sızma testi gerçekleştirmeden önce OneHost Cloud'dan ToS politikaları hakkında bağımsız olarak bilgi almalarını öneriyorum. Bu sağlayıcının diğer dezavantajları, kişisel bilgilerin talep edilmesidir; İngiltere, Londra'da bulunan; Anonim kullanıma hazır bir web sitesine sahip olmamak; ve denizaşırı çözümler ve ön ödemeli kartlar hakkında bilgi eksikliği.
