Een aantal handige links

Dit wordt een speciale post. Een post die wellicht ook met enige regelmaat wordt aangepast, of ik moet alsnog kiezen voor verschillende nieuwe artikelen met meer up-to-date inhoud; ik ben er nog niet uit…

Je kent het vast wel. Je bent wat aan het browsen en komt wat tegen dat je wel interessant vindt, maar wellicht niet voor dat moment, of zo interessant dat je de URL wilt bewaren zodat je later eenvoudig terug kunt komen. En binnen de kortste keren heb je en 248+ tabs open staan in je browser en heb je een bookmark-lijst van ettelijke duizenden links die je waarschijnlijk nooit meer via diezelfde lijst zult bezoeken, want DuckDuckGo levert je met enkele goedgekozen keywords alternatieven die vaak even goed zijn, soms zelfs beter dan waar je origineel naar op zoek was.

Maar niet altijd!

Soms is een bepaald lijstje gewoon handig om te hebben. Bijvoorbeeld om door te geven tijdens de trainingen als achtergrondmateriaal. Of om snel een bepaald online tool te kunnen benaderen. Of om even snel toegang te krijgen tot bepaalde documentatie. En daar is dit lijstje voor. Dus zeker niet een volledig overzicht van allerlei URLs die ergens in mijn bookmarks staan bij een of andere browser, maar juist een geselecteerd aantal (die waarschijnlijk wel worden aangepast) die “speciaal” genoeg zijn.

Hacking

Waarschijnlijk geen verrassing dat dit lijstje onderdeel uitmaakt van deze pagina. Natuurlijk zijn veel van deze links een ’no-brainer’ maar zoals ik al aangaf wordt dit lijstje ook gebruikt om mensen tijdens en na een training snel naar een bepaalde link te kunnen sturen.

Het zal je niet verwonderen dat ik start met de Kali Linux Homepage. Deze Linux variant is tenslotte nog steeds het meest gebruikte platform voor penetratietesters en hackers van allerlei pluimage.
Maar The Pentesters Framework (PTF) mag daarnaast niet ontbreken. Natuurlijk kun je deze set van tools ook op Kali installeren, maar dat is niet perse nodig. Met deze toolkit kun je een willekeurig Linux-systeem voorzien van de meestgebruikte tools, en als je de gebruikers-interface van MetaSploit een beetje kent dan is het gebruik ervan kinderspel. Dit framework is gebaseerd op de Penetration Testing Execution Standard. PTF kun je het eenvoudigst installeren door middel van het volgende commando:
git clone https://github.com/trustedsec/ptf/
Het MITRE ATT&CK Framework begint een steeds belangrijkere rol te spelen in, het onderzoeken en vaststellen van, de technische beveiliging van IT-omgevingen.

Naast de meest bekende omgeving Kali zijn er in het verleden verschillende andere distributies geweest. Er is, sinds kort, ook een vergelijkbare omgeving voor Windows, genaamd Commando, alles wat je hiervoor nodig hebt kun je op de volgende GitHub-pagina vinden.

Security

Hier heb ik een aantal websites opgenomen die juist de focus hebben op het controleren van de veiligheid zonder hacking technieken. Denk aan de configuratie van belangrijke servers en het gebruik van versleutelingstechnieken.

Natuurlijk begin ik deze opsomming met een Nederlands initiatief waarmee je eenvoudig de configuratie van je web- en e-mailservers kunt controleren : https://internet.nl. Wat deze website helaas nog niet bevat zijn beschrijvingen over hoe je uiteindelijk voor verschillende veelgebruikte servers, denk aan Postfix, Nginx, en dergelijke, ’eenvoudig’ kunt komen tot de zo gewilde 100% score. Daar moet ik voor een aantal configuraties die ik gebruik ook nog wel wat aandacht aan geven en wellicht kan ik daar een volgende blog over schrijven.
SSLTest van SSLLabs test de SSL/TLS-configuratie van je server en geeft je een score en een overzicht van goede en slechte configuratie-onderdelen.
MXToolbox is een vergelijkbare website waarmee je de configuratie van allerlei zaken uit je domein kunt laten controleren.
Een initiatief om mensen die privacy wel belangrijk vinden, mar wellicht niet beschikken over de juiste technische kennis is De Toolbox van Bits of Freedom.

De volgende twee bullits zijn een TBD voor me. Hier moet ik werkelijk nog een aantal interessante bronnen voor zien te vinden.

ISO 27000
NEN 7510

Tools voor je eigen omgeving

Naast de hierboven genoemde tools die je direct vanaf de website kunt gebruiken – waar je natuurlijk ook sporen achterlaat dat er op een bepaald moment, vanaf een bepaald IP-adres, een bepaald tool is gebruikt (in veel gevallen geen probleem, aangezien het bovenstaande geen feitelijke aanvalstools zijn) – zijn er ook tools die soms (nog) geen onderdeel zijn van Kali of PTF. In deze sectie heb ik een aantal van dergelijke tools opgenomen. Ook vind je via de links waarschijnlijk documentatie over hoe je het betreffende tool kunt gebruiken en waarvoor.

CyberChef is een GitHub-website van GCHQ waarin je eenvoudig allerlei conversies kunt uitvoeren tussen coderingen die je vaak tegenkomt tijdens CTF events, maar ook wel tijdens ’normale’ onderzoeken. Dit tool kun je ook lokaal op je eigen machine installeren.
Tools van TrustedSec maken allemaal deel uit van Kali/PTF, maar ik neem deze link toch even hier op
voor de volledigheid: https://www.trustedsec.com/tools/
Skadi is een gratis, open source, collectie van tools om forensische data te verzamelen, te verwerken en te analiseren.

Hacking Oefenomgevingen

Een opsomming van bekende en minder bekende hacking oefenomgevingen. Vaak zijn dit VM-images die je kunt downloaden en in VMWare of VirtualBox kunt gebruiken. Een uitzondering hierop zijn de eerstgenoemden, dit zijn volledige omgevingen die meerdere systemen en/of uitdagingen (challenges) ter beschikking stellen.

Ik denk dat HackTheBox op dit moment de belangrijkste en meest up-to-date omgeving is. Deze site bevat challenges op verschillende gebieden en via een VPN kun je uiteindelijk, als je een invite hebt kunnen bemachtigen, toegang krijgen tot systemen waarop je je kennis en kunde (skills) kunt testen, en het leuke ervan is dat deze systemen ook nog regelmatig vernieuwd worden.
HackerOne : https://www.hackerone.com/blog/Test-your-hacking-skills-real-world-simulated-bugs
en naast deze voorbeelden heeft Hacker1 ook een CTF omgeving opgetuigd: https://www.hacker101.com

De volgende URLs verwijzen naar omgevingen die je in een virtuele omgeving op je eigen systeem, of anders in een cloud-omgeving kunt installeren.

De meest bekende is waarschijnlijk Metasploitable3. Het is een omgeving die bestaat uit twee systemen, een Linux en een Windows, die verschillende kwetsbaarheden bevatten. Je kunt deze omgeving zelfs gebruiken in een soort CTF-mode.

Maar natuurlijk is dit niet de enige. Voor meer kwetsbare systemen verwijs ik je graag naar VulnHub waar regelmatig nieuwe oefensystemen worden toegevoegd. Ook kwam ik op mijn speurtochten deze mindmap tegen, met een overzicht van heel veel resources, en natuurlijk houdt OWASP ook een erg mooi overzicht bij in de Vulnerable Web Applications Directory.

Verschillende andere omgevingen (vaak webapplicaties) worden gewoon via het web aangeboden. Denk hierbij aan:

Natuurlijk mag in dit overzicht de OWASP Juice Shop niet ontbreken. Deze kun je op dit moment direct benaderen in deze Live Juice Shop-omgeving. Een walkthrough-document kun je vinden via deze link.
Een wat oudere leer omgeving van OWASP was Web Goat.
Een iets modernere omgeving om web applicatie hacken te leren is Gruyere (by Google).
Narnia is een interactieve SSH-omgeving waarin je stapje voor stapje leert hoe eenvoudige buffer-overflows werken. Start op nivo 0 en werk jezelf naar nivo 9. Er worden meer uitdagingen aangeboden via de basis URL. De broncode is beschikbaar via GitHub: https://github.com/OverTheWireOrg/OverTheWire-website

Blogs en zo

Tegenwoordig moet je gewoon uitgaan van het feit dat je continu moet blijven leren. Natuurlijk is het internet een prima platform om nieuwe zaken te leren, maar waar moet je beginnen? Een aantal bronnen die vaak, een tijd lang, kwalitatief goede inhoud publiceren zijn belangrijk om een beetje op de hoogte te blijven. Daar is deze sectie voor.