¿Es peligroso instalar herramientas de hackeo en mi máquina Linux privada?

12

Yo uso mi Ubuntu para fines privados y comerciales. ¿Puedo instalar también herramientas en mi computadora que estén allí para realizar pruebas de penetración? ¿O es inofensivo?

Yannick
fuente
1
Los probadores de penetración y los administradores de red utilizan ciertas herramientas, como la nmapherramienta de escaneo. También se instalan en computadoras comerciales. Las herramientas de depuración y rastreo son utilizadas por desarrolladores e ingenieros. Esas herramientas en general están perfectamente bien instaladas. Python, Perl, netcat, nmap: todos se usan para pentesting, pero no se usan exclusivamente para eso, por lo que no hay razón para no tenerlos instalados. Herramientas de inyección de vulnerabilidades: se usan específicamente para atacar, por lo que no hay razón para tenerlas a menos que sea un pentester profesional.
Sergiy Kolodyazhnyy

Respuestas:

15

Eso realmente depende de los programas.

Como con cualquier programa que instale, idealmente:

  • confiar en que el editor no realice acciones maliciosas
  • confiar en el editor para desarrollar software seguro

Se debe dar la misma confianza a cualquier dependencia del programa.

Lo que hace que algunas herramientas Pentest sean especiales es que proporcionan una superficie de ataque más grande que muchos otros programas y las personas que las usan son objetivos más interesantes que los usuarios de muchos otros programas.

Wireshark, por ejemplo, advierte específicamente contra la ejecución como root, debido a la gran cantidad de vulnerabilidades (debido a una superficie de ataque alta, lenguaje inseguro (C), contribuyentes novatos, etc.). Por supuesto, es posible que tampoco esté satisfecho con que su cuenta de usuario se vea comprometida.

Como pauta general, usaría estas reglas:

  1. ejecutar programas pentest en una computadora dedicada o al menos VM dedicada si es posible.
  2. cuanto mayor es la superficie de ataque del programa y cuanto mayor es la cantidad de vulnerabilidades conocidas / menos seguro es el código, más importante se vuelve la regla 1.
  3. Cuanto menos respetable sea la fuente del programa, más querrás seguir la regla 1. Los repositorios de Ubuntu, por ejemplo, generalmente se puede confiar más que un repositorio aleatorio de github de una entidad desconocida o un programa nodejs con docenas de dependencias npm.
tim
fuente
1

IMG: Las herramientas de Kali Linux son herramientas de hackeo que no son seguras ni inofensivas. Instalar las herramientas de Kali Linux en Ubuntu por Katoolin u otros medios puede convertir Ubuntu en un sistema operativo híbrido Ubuntu / Kali Linux que es posible por el hecho de que ambos sistemas operativos están basados ​​en Debian.

La única forma segura de instalar Kali linux tools es instalar Kali Linux en una máquina virtual.

karel
fuente
10
¿Dónde, aparte de en esta respuesta tuya, esta pregunta discute Kali Linux? No lo veo
un CVn
2
Kali linux tools es lo que Katoolin se refiere como herramientas de hackeo de la distribución Kali Linux. Kali Linux Tools también puede ser sinónimo de Katoolin. Katoolin es un script que ayuda a instalar las herramientas de Kali Linux en Ubuntu y otras distribuciones de Linux. No quería responder a esta pregunta porque sé por experiencia que mucha gente quiere ser alimentada con un montón de mentiras de que las herramientas de Kali Linux en Ubuntu son seguras, sin embargo, dado que soy el que responde con más votos en la etiqueta de katoolin . Siento que tengo la responsabilidad de decir la verdad sobre este tema.
karel
55
No estoy discutiendo en contra de que la instalación de binarios creados para otras distribuciones puede ser, en el mejor de los casos, arriesgada desde un punto de vista de compatibilidad. (Por lo general, sin embargo, mi experiencia es que lo peor que sucederá es que cualquier binario que haya instalado se negará a ejecutarse debido a bibliotecas faltantes o no coincidentes). Pero no veo en ninguna parte que esta pregunta discuta Kali. Todo lo que veo es una pregunta sobre la instalación de herramientas de pentesting y si eso conlleva un riesgo (especial). Esperaría una respuesta a esa pregunta para discutir tales herramientas en general (como lo hace la respuesta de Tim), no Kali.
un CVn
55
Kali linux tools tag,
karel
0

en mi opinión, instale kali Linux en lugar de Ubuntu. pero si trabaja con este último, puede encontrar las herramientas de piratería de kali linux en este enlace https://tools.kali.org/tools- se puede encontrar alguna secuencia de comandos en GitHub. y antes de descargar cualquier cosa de la web, revise los comentarios en la sección y también el sitio web si es oficial o no. y la máquina virtual es virtual

salah eddin lamnayra
fuente