התקנת קאלי על אמאזון

חלק מההרצאה שלי מכנס Press4Word השלישי שהתקיים ב-6.6.2018.

כששואלים אותי למה כדאי להשתמש בוורדפרס, אני אומר שמדובר בדרך כלל במערכת המאובטחת ביותר האפשרית שאפשר לבחור בה מלבד מערכות SASSיות. זה השלב שבו הרבה אנשים מרימים גבה. רגע, מה? איך? הרי לוורדפרס יצא שם ממש ממש רע של מערכת פרוצה, שהקוד הפתוח שלה מאפשר לכל דרדק אינדונזי לפרוץ כאוות נפשו לאתרים ולשתול בהם תמונות של לוחמים פלסטיניים עזי מבע על רקע מוזיקה אוריינטלית. אבל האמת היא שאם מקפידים על כללים מסוימים וחשובים בכל הקשור לוורדפרס, מדובר במערכת מאובטחת מאוד. הרבה פעמים כשאני ניגש לעשות צרות ורואה אתר וורדפרס מתוחזק היטב – אני עושה אחורה פנה קדימה צעד. כיוון שקשה מאוד לעשות צרות באתר וורדפרס בנוי היטב. וכשאני אומר 'עשיית צרות' אני מתכוון לכל סוגי הנזקים: מנזקים שטחיים כמו השחתה ועד נזקים מהותיים יותר כמו חדירה למסד הנתונים ושתילת סקריפטים אצל המנהל או משתמשי האתר.

או קיי. אז וורדפרס בטוחה. אבל מה אפשר לעשות כדי להפוך את זה לרווחי עבור בונה האתרים הממוצע שאינו חאפר? החאפריזם היא מכה קשה שמכה במקצוע של בניית האתרים/תכנות בוורדפרס. (אגב, איך אתם יודעים שאתם לא חאפרים? אתם קוראים מאמר מקצועי? נמצאים בהרצאה מקצועית? ברכותיי, אתם לא חאפרים). אם תבינו באבטחה ובכלי אבטחה כמו קאלי לינוקס למשל – תוכלו למכור ללקוח שירות סריקה ובדיקה כל תקופה מסוימת. אם תבינו מספיק במוצרי אבטחה – תוכלו להתקין אותם אצל הלקוח ולהכניס את זה בחוזה ובכך לייצר פער משמעותי של איכות. כי עם חאפר לא תוכלו להתחרות לעולם במחיר, אבל באיכות תוכלו.

האקרים מתחלקים לשניים: סקריפטים אוטומטיים והאקרים אנושיים שמטרגטים אתר מסוים. אלו ואלו משתמשים באותם כלים כדי לבצע סריקות. כשאני בוחר מטרה מסוימת – למשל אתר של לקוח ששילם על בדיקת חדירה – הדבר הראשון שאני עושה זה להריץ כמה סקריפטים כדי שיבדקו את האתר בנוגע לפרצות ידועות. למה לי? כיוון שאם יש פרצה פשוטה שאני יכול לנצל – הרווחתי את היומית ואני לא צריך להתאמץ. אם אני בוט, מן הסתם אני אשתמש בכלים. כך שכלים אוטומטיים הם הדבר הראשון שאני אשתמש בו.

הכלים האוטומטיים הטובים ביותר נמצאים מן הסתם על לינוקס. אבל זה לא אומר שצריך להתחרפן ולהתחיל לצעוק הצילו. לא צריך לפרמט את המחשב ולהתעסק עם התקנות. כיום ניתן להתקין לינוקס גם על חלונות באמצעות דוקר. או, וזה הכי מגניב, להתקין לינוקס קאלי על אמאזון ובדולרים בודדים בכל חודש להחזיק מכונת לינוקס משוכללת שדרכה אפשר לעשות הפעלות. כמה דולרים בודדים? אני מדבר על עד 4 דולר בחודש והדגש הוא *עד*. באמאזון הדגש הוא על 'לא השתמשת לא שילמת' ואם אתם זוכרים לכבות את המכונה בסוף החודש, תשלמו ממש מעט ואם לא – תשלמו עד התקרה.

קאלי היא סוג הלינוקס המומלץ שמגיע עם עשרות כלים מובנים לבדיקה וניצול פרצות. אני מתכוון לממש עשרות.יש תיעוד מלא שלהן באתר של קאלי ואפשר להתקין עוד כלים – כל מה שתרצו בעצם ורץ על לינוקס.

אז איך מתקינים:

קודם כל צריך חשבון ב-amazon AWS. צרו אחד. צריך להזין מספר כרטיס אשראי, אז תחיו עם זה. אחרי זה, אפשר ללכת ל-EC2. שם תראו את רשימת כל המכונות שלכם. בכניסה הראשונה היא תהיה ריקה. מה שאתם צריכים זה כפתור של Launch Instance

אחרי הלחיצה צריך לבחור instance, בתפריט בצד ביחרו את AWS Marketplace.

חפשו את kali עד שתמצאו את Kali Linux.

בחרו אותו והמשיכו.

בחרו את סוג המכונה, כדאי לבחור Free tier. שימו לב שאם אתם בוחרים מכונה אחרת, אז יש כאן השלכות כספיות. מכונות nano בדרך כלל ממש זולות (4 דולר לחודש) את התעריף יכולתם לבדוק בצעד הראשון.

אחרי הבחירה המשיכו:

אתם תדרשו ליצור מפתחות. זה השלב החשוב ביותר! אחרי היצירה יורד לי קובץ עם סיומת pem למחשב. שימרו אותו כי הוא חשוב.

אחרי יצירת המפתחות אנו יוצרים את המכונה.

אחרי ההתקנה אנחנו נראה את המכונה ברשימה שיש ב EC2 – מצאו את ipv4 public DNS והעתיקו אותו.

עכשיו צריכים להתחבר. אם אנחנו על לינוקס/מק מה טוב ומה נעים לנו – זה חיבור SSH רגיל. זוכרים את קובץ ה-pem? נשמור אותו בתיקיה מסוימת ונוודא שהוא בהרשאת 400

chmod 400 kali2.pem

זוכרים את IPV4 Public DNS? זו הכתובת של המכונה. המשתמש הוא ec2-user. כלומר כל מה שאני צריך לעשות בלינוקס/מק זה:

ssh -i kali2.pem [email protected]

שימו לב לנתיב של קובץ ה-pem ול-PV4 Public DNS.

אם יש לנו חלונות, אנחנו צריכים להזיע מעט אבל ממש בקטנה ורק פעם אחת. נשתמש ב-PuTTY. נוריד אותו מהאתר של התוכנה.

נכנס ראשית ל putty key gen, נייצר מה-pem מפתח. נלחץ על import ונבחר את קובץ ה-pem, שימו לב להעביר את הבחירה ל׳כל הקבצים׳ אם אתם לא רואים את קובץ ה-pem שלכם.

אחרי שהוא נטען, נשמור אותו במקום בטוח. שימו לב לזכור את המקום שבו שמרנו את המפתח החדש.

אחר כך נפתח את PuTTY הרגיל, נכניס לתוכו את המפתח שייצרנו ואז הכנסה של ec2-user וה-ipv4 public dns. אפשר לשמור את ה-session לפעם הבאה ויאללה – בלגן. נכנסנו.

נתקענו? כפתור ימני על המכונה ברשימת המכונות ואז לחיצה על Connect. שם יש הסברים וסיוע כולל הסבר על כמה ששמתי פה וצילומי מסך.

במאמר הבא אנו נדבר ונראה איך משתמשים בסריקה כדי למצוא פרצות וחולשות.