Автор: Содержание:
Проведение фишинговых кампаний и выполнение сеансов Metasploit с надежного VPS важно для любого профессионального специалиста в ИТ-безопасности, пентестера или «белошляпного» хакера. Тем не менее, доступные варианты довольно ограничены, поскольку большинство провайдеров не терпят никаких хакеров у себя на серверах — ни хороших, ни плохих. После исследования десятков продуктов мы отобрали 5 кандидатов, которые идеально подходят для наших читателей.
Прежде всего… что такое VPS? Это Virtual Private Server, т.е. Виртуальный Частный Сервер, являющийся на самом деле виртуализированным сервером, который многие пользователи воспринимают как выделенный (dedicated) или закрытый (private) сервер. Он устанавливается на физическом компьютере, на котором работают несколько операционных систем одновременно. VPS чаще всего используется для размещения веб-сайтов в Интернете.
Когда мы покупаем VPS у провайдера, мы, по сути «арендуем» часть ресурсов на мощной высокопроизводительной физической машине, на которой размещается много виртуальных серверов. Каждый VPS подключен к Интернету, он предоставляет клиентам возможность использовать разные операционные системы, и обеспечивает полный административный доступ к операционным системам. Каждый клиент (или администратор сервера) работает независимо от других клиентов, совместно использующих физический компьютер, предоставленный компанией VPS.
По сути, виртуальный частный сервер (VPS) — это компьютер, на котором мы можем удаленно управлять любым подключенным к Интернету устройством. Это дает нам большую власть. Вот те несколько вещей, которые можно делать с помощью VPS:
- создавать VPN-соединения
- размещать фишинговые сайты
- совершать bruteforce-атаки
- создавать IRC-ботов
- создавать прокси-серверы
- размещать полезные нагрузки
- использовать сканеры портов
- создавать honeypot’ы
- размещать Metasploit
Исходя из наших исследований, BulletShield на сегодняшний день является лучшим поставщиком VPS-услуг для белых шляп и пентестеров, за которым следом идут BuyVM и ClientVPS. Второе место заняли VPSDime и OneHost Cloud. Почему это так вы узнаете из таблицы ниже.
Критерии сравнения
В Интернете есть сравнительные графики для нескольких VPS, но ни один из них нам не подходит, поскольку мы подбираем VPS для пентестеров и белых шляп. В большинстве сценариев профессионального пентестинга нам нужно развернуть VPS на несколько дней, для размещения полезных нагрузок, эксфильтрации (получения несанкционированным способом) данных или для осуществления фишинг-атак.
Независимо от того, предлагает ли VPS-провайдер прямую техническую поддержку, непонятные спецификации оборудования или чрезмерный выбор операционных систем, вряд ли это имеет для нас значение. В идеале мы хотим использовать Bitcoin (BTC) для быстрой покупки VPS-сервера под управлением последней версии Debian у провайдера, расположенного в стране, уважающей конфиденциальность.
При сравнении поставщиков VPS-услуг, представленных в этой статье, мы старались быть максимально объективными и справедливыми. Ни один упомянутый VPS-провайдер не платил нам за то, чтобы мы рассмотрели его здесь. Для сравнения мы использовали приведенные ниже критерии, которые в итоге привели к таблице указанной выше.
Лучшая цена
Мы верим в прозрачность цен. Это означает, что провайдер должен быть честен в отношении определения стоимости его услуг за месяц. Цены, перечисленные в нашей таблице, могут не всегда отражать цены, рекламируемые на домашней странице конкретного провайдера. Цены на нашем графике — это итоговая цена, рассчитанная с учетом всех обязательных сборов и скрытых комиссий. Это также цены на самый дешевый тарифный план, который мы смогли найти на сайте конкретного провайдера. В большинстве случаев речь идет о 512 МБ ОЗУ и 1 ядре процессора.
Лояльность к пентестерам
Условия обслуживания (ToS) и политика приемлемого использования (AUP), вероятно, были самыми высокими приоритетами в этой сравнительной таблице. Поначалу мы рассматривали десятки поставщиков VPS-услуг, но большинство из них явно запрещало использование сканеров портов, передачу полезных нагрузок, фишинг или хакинг любого типа. За некоторыми исключениями это обстоятельство немедленно исключало участие поставщика VPS-услуг из нашей сравнительной таблички.
Специалисты в области ИТ-безопасности и белошляпные хакеры-самоучки проделывают большой пласт работ на удаленных серверах. Для нас было важно, чтобы VPS-поставщики, упомянутые в нашей статье, имели бы такие условия обслуживания, которые подходили бы нашим читателям. Поставщики VPS в нашей таблице были одними из немногих, у которых ToS не были полностью враждебны «хакингу».
Поставщики, которые нами отмечены, как толерантные к пентестерам, в своих ToS прямо не заявляют, что допускают «хакинг» (в широком смысле слова). По понятным причинам, ни один VPS-поставщик никогда этого не сделает. Большинство из них либо не упоминают о «хакинге» в своих ToS, либо у них на сайтах вообще нет ToS. Мы это рассматривали, как свидетельство того, что хакерские действия очень осуждаются, но не приведут к блокировке аккаунта и отказу от обслуживания.
Запросы персональных данных
Отправка нашего настоящего имени, адреса, номера телефона и другой личной информации на любой сайт всегда нежелательна. Даже если анонимность не является для вас приоритетом, VPS-провайдера могут взломать и все данные его клиентов утекут в Интернет.
Идеальный вариант — приобретение подписки на VPS-услуги анонимно, поскольку неизвестно, какие проблемы мы можем получить во время наших исследований или пентеста. В какой-то момент против VPS-провайдера может быть подан иск за что-то, что произошло на приобретенном вами сервере, поэтому было бы очень разумно хранить в базе данных клиентов провайдера как можно меньше информации о себе.
Как выяснилось, в большинстве случаев во время регистрации можно было просто указать полностью вымышленное имя, адрес и номер телефона, но мы все равно не считаем этот признак «хорошим» для выбора провайдера. Предоставление ложной информации любой компании почти наверняка будет нарушением ToS провайдера и приведет к немедленной блокировке вашего аккаунта.
Адрес электронной почты, который требуется всеми поставщиками VPS-услуг, не представляет собой «персональные данные», поскольку сейчас достаточно легко анонимно получить одноразовый адрес электронной почты. Также имеет смысл то, что VPS-провайдеры пытаются установить хоть какой-нибудь способ для общения со своими клиентами.
Принимают ли к оплате BTC
Если получение биткоинов (BTC) для вас не проблема, то это может быть для вас наиболее предпочтительным способом оплаты. Сейчас большинство провайдеров уже принимают к оплате BTC, но преимущества использования анонимных криптовалют полностью нивелируются запросом VPS-провайдера ваших персональных данных.
Принимают ли предоплаченные кредитные карты
Покупка BTC для совершения анонимных транзакций может быть настоящей проблемой. Более удобным вариантом является приобретение предоплаченной или одноразовой дебетовой карты с некоторой суммой денег на ней. Без фактического совершения платежа с предоплаченной дебетовой карты было довольно трудно проверять, принимает ли их провайдер к оплате. В большинстве случаев мы смогли связаться с представителями службы поддержки клиентов и получить от них прямой ответ насчет платежей по предоплаченным картам.
Допускает ли провайдер использование Tor
Если вы делаете онлайн-покупку с использованием кредитной карты через безопасное VPN-соединение или анонимно через сеть Tor, то VPS-провайдер может приостановить оказание своих услуг для вашей учетной записи. А обращение в службу поддержки клиентов и устранение причин приостановки может занять несколько дней.
Мы проверили каждый сайт через Tor, используя стандартный стоковый браузер Firefox. Провайдеры, которые для просмотра своего веб-сайта или совершения каких-нибудь действий требовали, чтобы посетители решили капчу, были помечены нами как неподходящие для пользователей, которые хотят оставаться анонимными. Но это все равно не означает, что у них разрешены транзакции по Tor.
Страна, в которой находится головной офис компании
Наивно считать, что компания, предлагающая защищенные криптовалютные транзакции, будет полностью сотрудничать с властями, чтобы поймать хакера. Не всегда важно, относится ли IP-адрес VPS-сервера к стране, которая уважает конфиденциальность. Если компания, предоставляющая вам услуги VPS, находится в США или Великобритании, то очень вероятно, что они без колебаний передадут всю вашу личную информацию любому органу власти любого государства.
К вопросу о конфиденциальности — Соглашение UKUSA является соглашением между Соединенным Королевством, Соединенными Штатами, Австралией, Канадой и Новой Зеландией для совместного сбора, анализа и обмена информацией. Члены этой группы известны как Пять глаз .В этих странах агрессивные законы в области конфиденциальности информации.
Выбор VPS-провайдера в странах, уважающих неприкосновенность частной жизни, возможно, не самая хорошая идея, но имеет смысл хотя бы рассмотреть провайдеров в странах с умеренными законами о конфиденциальности .
Оффшорные решения
«Оффшорный VPS» подразумевает, что сервер находится за пределами государства, в котором расположена сама компания и что, вероятно, это нам подойдет. Это важно как для вас, как пентестера, так и для компании, которой вы оказываете услуги безопасности, поскольку вы можете получить компрометирующую и конфиденциальную информацию, которую нельзя распространять или использовать. Читателям рекомендуется самостоятельно спрашивать у VPS-провайдеров, подходят ли их оффшорные решения для вашей ситуации.
Провайдеры, отмеченные как предлагающие оффшорные решения, обычно делают это за дополнительную плату. Не думайте, что их оффшорный вариант продается по той же цене, что и самый дешевый VPS.
1. BulletShield
Мы считаем, что BulletShield — это лучший поставщик VPS-услуг для наших читателей. BulletShield при регистрации и при оплате их услуг биткоинами не запрашивает какую-либо личную информацию. Они также сделали обязательными транзакции с использованием BTC, и у них нет ToS, которые явно запрещают любые виды пентестинга.
К недостаткам можно отнести то, что они не принимают предоплаченные кредитные карты, а самая низкая цена на их услуги немного выше, чем у конкурентов, но если вы цените вашу конфиденциальность, то стоимость услуг не стоит рассматривать как первоочередной фактор.
BulletShield не раскрывает, где находится их головной офис. Быстрый поиск по доменному имени показал, что он был куплен компанией Tucows Domains Inc., канадской компанией, но был выкуплен из Чарльзтауна, города, расположенного на отдаленном острове в Вест-Индии. Однако это вовсе не означает, что именно там находится их головной офис, это говорит лишь о том, что там зарегистрирован домен BulletShield.
Они предлагают оффшорные решения и веб-сайт, толерантный к использованию Tor, что выводит BulletShield в лидеры нашего сравнения. Однако представитель службы поддержки сказал нам, что «пентестинг» «разрешен только для… bulletproof-сервисов», что может быть проблемой с точки зрения затрат.
- ToS: отсутствует
- AUP: отсутствует
- Конфиденциальность: отсутствует
2. BuyVM
BuyVM, занявший второе место, используется для проведения правомерного тестирования на проникновение, где требуется прямое и письменное согласие компании или лица (лиц) на проведение пентестинга. Их представитель подтвердил это, сказав, что им «нужен документ от юристов, доказывающий, что именно их компания является заказчиком услуг пентестера и что они разрешают проводить такие действия».
Их стартовые цены действительно повысили их в нашем рейтинге VPS-решений, поскольку их минимум — это всего лишь 2,42 доллара в месяц. Тем не менее, они запрашивают вашу личную информацию. Для того чтобы создать учетную запись «данные учетной записи должны соответствовать информации, предоставляемой методом оплаты». Это может означать, что анонимные предоплаченные карты не подходят. Однако биткоин принимают.
Их веб-сайт позволяет использовать Tor, но они размещены в Канаде и не предлагают оффшорные решения, что может быть отрицательным фактором в зависимости от того, для чего вы планируете использовать VPS.
3. ClientVPS
У ClientVPS есть условия использования, но важного для нас там мало, за исключением того, что они не принимают на себя ответственность за те действия, которые вы совершите, и которые могут привести к «ущербу» для человека или собственности, нарушению авторских прав и т.д., и что вы несете полную ответственность.
В целом, их цены были самыми высокими, они принимают Биткоин (насчет предоплаченных карт Visa пока ничего не ясно). У них есть сайт, допускающий использование Tor. Головной офис находится в России (где запросы на предоставление информации обычно игнорируются), а также они предлагают оффшорное решение. Все это закрепило их текущее место в нашем общем рейтинге.
Помимо высокой цены, есть другие недостатки — отсутствие информации о проведении правомерного пентестинга (они не ответили на наши запросы) и они запрашивают ваши личные данные.
4. VPSDime
VPSDime — не слишком хороший вариант, поскольку они не принимают BTC, не разрешают клиентам анонимно просматривать их сайт, у них нет оффшорных VPS-решений. Их ToS явно запрещает «сканирование портов», при этом, они не упоминают о тестировании на проникновение, сканировании уязвимостей, фишинга или других общих действий пентестинга.
Они не ответили на наше электронное письмо, когда мы пытались прояснить их политику в отношении правомерного пентестинга. Их ToS слишком неоднозначны, и мы не смогли определить, разрешена ли такая деятельность юридически. По этой причине мы рекомендуем читателям самостоятельно обратиться в службу поддержки VPSDime для уточнения деталей, прежде чем вы воспользуетесь их услугами.
И хотя нет очевидных преимуществ, чтобы использовать именно VPSDime, тем не менее — это один из самых дешевых вариантов.
5. OneHost Cloud
OneHost Cloud — единственный VPS-провайдер, который предлагает Kali Linux VPS и решения для тестирования на проникновение. Их цены начинаются всего с 6,59 долларов в месяц, что является еще одним важным преимуществом этого провайдера, и они принимают платежи в BTC.
OneHost Cloud кажется оптимальным выбором для «белых шляп», у которых нет намерений когда-либо незаконно сканировать веб-сайт или взломать что-либо без прямого согласия. Это было бы очень странно, если бы они предлагали решения с Kali, но не позволили бы проводить правомерный пентестинг. Однако, когда мы спросили их о правомерном пентестинге, они ответили следующее:
«Все сообщения с этого адреса электронной почты будут заблокированы»
Такой ответ был направлен нам без объяснения причин. По этой причине OneHost Cloud на последнем месте в нашем рейтинге, и мы рекомендуем читателям самостоятельно запрашивать у OneHost Cloud информацию об их правилах обслуживания до того, как вы перейдете к пентестингу с их VDS.
Другие недостатки этого провайдера — они запрашивают личную информацию, находятся в Лондоне, Великобритания, не разрешают просматривать сайт анонимно, нет информации о предоставлении оффшорных решений и предоплаченных карт.
Вердикт
Варианты для профессиональных и независимых пентестеров довольно ограничены. У большинства VPS-провайдеров есть системы обнаружения, которые автоматически приостанавливают учетные записи клиентов, если обнаружен какой-либо вид сканирования, фишинга или спама. Может потребоваться несколько дней, чтобы разобраться с причинами приостановки, что может создать серьезные препятствия для деятельности.
Выбор провайдера, который готов работать с нами для улучшения защиты веб-сайтов компаний, имеет первостепенное значение. Если вы профессиональный пентестер или просто новичок-хакер, который хочет повысить ставки в своей игре безопасным и анонимным способом, то выбирайте провайдера, который наилучшим образом соответствует вашим потребностям.
