(PEN) TESTING TOOLKITS:BACKBOX & KALI LINUXJELMER DE REUS

LINUX/UNIX Night @msterdam2014/01/07

Overview

Waar zijn testing toolkits voor Wat kunt je met kant-en-klare distro’s Enkele verschillen en overeenkomsten Waar moet je om denken

Waar zijn testing toolkits voor?

Enumeration Open poorten firewall/IDS testing Topologie Software versies

Vulnerability scan Penetration testing Social Engineering Forensics

Waar zijn testing toolkits voor?

Enumeration Vulnerability scan

Verouderde software herkennen Verkeerde configuratie herkennen Sneller inzicht dan whitebox scan

Penetration testing Social Engineering Forensics

Waar zijn testing toolkits voor?

Enumeration Vulnerability scan Penetration testing

Creatief en met behulp van tooling de security boundaries aftasten naar mogelijkheden om te compromitteren

WIFI cracking Social Engineering Forensics

Waar zijn testing toolkits voor?

Enumeration Vulnerability scan Penetration testing (incl. WIFI cracking) Social Engineering

Emailen met verborgen links in iFrames om malicious software op je target te krijgen

Malicious software injecteren in ‘gewone’ software en verspreiden

Waar zijn testing toolkits voor?

Social Engineer Toolkit Web attack

Waar zijn testing toolkits voor?

Enumeration Vulnerability scan Penetration testing Social Engineering WIFI cracking

Wifi wachtwoord kraken Wifi users omleiden/aftappen Social engineering exploiting

Waar zijn testing toolkits voor?

Of voor andere zaken als

Netwerk troubleshooting Firewall handling voor fragmented packets Stress testing DoS defense testing

BackBox Linux in het kort

Eigenschappen Ubuntu user

experience Veel functies via

startmenu Update scripts in

startmenu Minder documentatie

Wat valt op Non-root user Kleiner selectie

tools Gesorteerd op

technologie Update gemak

Kali Linux in het kort

Eigenschappen Custom Gnome2 ARM support (voor

je Pi) veel documentatie video's en boeken

Wat valt op Root user Bijzonder veel tools

Gesorteerd op activiteit

Arduino IDE

Zoek de verschillen

Zoek de verschillen

BackBox Linux documentatie

Forum Technische vragen Tooling requests Howto’s

Blog artikelen

(links aan het eind)

BackBox Linux Tutorials – sinflood.net

Kali Linux documentatie Official docs

Technische vragen Tooling requests Howto’s

Securitytube Youtube

(links aan het eind)

Kali Linux Boeken & Tutorials Packt Publishing (5x) Securitytube

DEMO – GUI overview

BackBox Linux Kali Linux

Tooling

Waar draait het om als je een keuze moet maken? Meegeleverde tools (erg persoonlijk) Bijhouden van updates op meerdere plekken,

e.g. Metasploit Framework OpenVAS signatures

Documentatie en eigen kennis Platform support (e.g. ARM)

Tooling - leidraad

Penetration Testing Execution Standard PTES Technical Guidelines

Gestructureerde verzameling tools en technieken

Tools met een actieve community zijn op langere termijn betrouwbaarder

Tooling – enkele favorieten

Handig Fragtest Hping3 MSF Auxiliary scanners

Zeer gevaarlijk Social engineer toolkit Sslsniff/sslstrip (dit zegt meer over SSL/TLS)

Tip: databases gebruiken in Metasploit

Tip: databases gebruiken in Metasploit

DEMO – tooling overview

Bedankt voor je tijd! Meer info:

Kali Linux Main: http://www.kali.org Official Docs: http://www.kali.org/official-documentation/

BackBox Linux Main: http://www.backbox.org Forum/Howto: http://forum.backbox.org/

Penetration Testing Execution Standard http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines

Metasploit Unleashed http://www.offensive-security.com/metasploit-unleashed/Main_Page