Est-il dangereux d'installer des outils de piratage sur ma machine Linux privée?

12

J'utilise mon Ubuntu à des fins privées et professionnelles. Puis-je également installer sur mon ordinateur des outils qui sont réellement là pour effectuer des tests de pénétration? Ou est-ce inoffensif?

Yannick
la source
1
Certains outils sont utilisés à la fois par les testeurs de pénétration et les administrateurs réseau, comme l' nmapoutil d'analyse. Ils sont également installés sur les ordinateurs professionnels. Les outils de débogage et de traçage sont utilisés par les développeurs et les ingénieurs. Ces outils en général sont parfaitement OK à installer. Python, Perl, netcat, nmap - tous ceux-ci sont utilisés pour le pentesting, mais ils ne sont pas exclusivement utilisés pour cela, il n'y a donc aucune raison de ne pas les installer. Outils d'injection de vulnérabilité - ceux-ci sont spécifiquement utilisés pour attaquer, il n'y a donc aucune raison de les avoir sauf si vous êtes un pentester professionnel.
Sergiy Kolodyazhnyy

Réponses:

15

Cela dépend vraiment des programmes.

Comme pour tout programme que vous installez, vous idéalement:

  • faire confiance à l'éditeur pour ne pas effectuer d'actions malveillantes
  • faire confiance à l'éditeur pour développer des logiciels sécurisés

La même confiance doit être accordée à toutes les dépendances du programme.

Ce qui rend certains outils pentest spéciaux, c'est qu'ils fournissent une surface d'attaque plus grande que de nombreux autres programmes et que les personnes qui les utilisent sont des cibles plus intéressantes que les utilisateurs de nombreux autres programmes.

Wireshark, par exemple, met spécifiquement en garde contre l'exécution en tant que root, en raison du nombre élevé de vulnérabilités (en raison d'une surface d'attaque élevée, d'un langage non sécurisé (C), de contributeurs novices, etc.). Bien sûr, vous ne serez peut-être pas satisfait de voir votre compte d'utilisateur compromis.

En règle générale, j'utiliserais ces règles:

  1. exécuter des programmes pentest sur un ordinateur dédié ou au moins une machine virtuelle dédiée si possible.
  2. plus la surface d'attaque du programme est grande et plus le nombre de vulnérabilités connues est élevé / moins le code est sécurisé, plus la règle 1 devient importante.
  3. Moins la source du programme est réputée, plus vous voulez suivre la règle 1. Les référentiels Ubuntu, par exemple, peuvent généralement être plus fiables qu'un référentiel github aléatoire d'une entité inconnue ou un programme nodejs avec des dizaines de dépendances npm.
Tim
la source
1

IMG: Les outils Kali Linux sont des outils de piratage qui ne sont ni sûrs ni inoffensifs. L'installation des outils Kali linux dans Ubuntu par Katoolin ou d'autres moyens peut transformer Ubuntu en un système d'exploitation hybride Ubuntu / Kali Linux rendu possible par le fait que les deux systèmes d'exploitation sont basés sur Debian.

La seule façon sécurisée d'installer les outils Kali Linux est d'installer Kali Linux sur une machine virtuelle.

Karel
la source
10
Où, en dehors de votre réponse, cette question traite-t-elle de Kali Linux? Je ne le vois pas.
un CVn du
2
Les outils Kali Linux sont ce que Katoolin appelle des outils de piratage de la distribution Kali Linux. Kali Linux Tools peut également être synonyme de Katoolin. Katoolin est un script qui aide à installer les outils Kali Linux sur Ubuntu et d'autres distributions Linux. Je ne voulais pas répondre à cette question car je sais par expérience que beaucoup de gens veulent être nourris d'un paquet de mensonges que les outils Kali Linux dans Ubuntu sont sûrs, cependant puisque je suis le répondeur le plus voté sur la balise katoolin I J'estime que j'ai la responsabilité de dire la vérité sur ce sujet.
karel
5
Je ne conteste pas que l'installation de binaires construits pour d'autres distributions peut être, dans le meilleur des cas, risqué d'un point de vue de compatibilité. (Habituellement, cependant, mon expérience est que le pire qui se produira est que le fichier binaire que vous avez installé refusera de s'exécuter en raison de bibliothèques manquantes ou incompatibles.) Mais je ne vois nulle part que cette question traite de Kali. Tout ce que je vois, c'est une question sur l'installation d'outils de pentesting, et si cela comporte un risque (spécial). Je m'attendrais à une réponse à une telle question pour discuter de ces outils en général (comme le fait la réponse de Tim), pas Kali.
un CVn du
5
Balise d'
0

à mon avis, installez kali Linux à la place d'Ubuntu. mais si vous travaillez avec ce dernier, vous pouvez trouver les outils de piratage kali linux dans ce lien https://tools.kali.org/tools-listing un script peut être trouvé dans GitHub. et avant de télécharger quoi que ce soit à partir du Web, vérifiez les commentaires de la section et le site Web est officiel ou non. et la machine virtuelle son virtuel

salah eddin lamnayra
la source