• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Решено Можно ли доверять Parrot OS

N

NewUSERSO

Интересно услышать мнение специалистов, очень много говорят о том что Kali это эталон для ИБ. так как насчет альтернатив? Вопрос по попугаю, насколько вообще оправдано пользоваться такими сборками? Могут ли быть изначально закладки в данной ОС? Хоть и говорят что open source, кто там реально на деле штудирует эти все коды и говорит о том есть ли там закладка или нет?

Приведу пример, ключи ssh в parrot, там их 6 штук по дефолту, зачем они лежат? чтобы можно было подрубиться к ним или я что то недопонимаю?

В кали я думаю таки вещи исключены
 

ghost

Grey Team
12.05.2016
1 636
3 286
BIT
0
Так в Kali тоже дефолтные ключи лежат. И удалить старые и создать новые нужно еще до первого подключения к интернету!
Не знаю, как в попугае, но тут это делается так:
Код:
update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server
Думаю, различий будет немного :) что то, что то на Debian базируется...
 
P

PredatorGXG

Недавно в одном из чатов по этой операционке писали про проблему с возможным бэкдором в gpg приложении которое установлено в parrott по дефолту, советую убрать его (хэш сумм не совпадал)
 

CHEATER

Green Team
09.09.2017
79
43
BIT
0
У них вообще разработка стагнирует. Раньше какие-то релизы выходили, сейчас в разделе "news" ничего нет.
 

krypt0n

Green Team
12.11.2017
139
68
BIT
0
Так в Kali тоже дефолтные ключи лежат. И удалить старые и создать новые нужно еще до первого подключения к интернету!
Не знаю, как в попугае, но тут это делается так:
Код:
update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server
Думаю, различий будет немного :) что то, что то на Debian базируется...
спасибо сделал
 
  • Нравится
Реакции: ghost
L

L. Lawliet

Недавно в одном из чатов по этой операционке писали про проблему с возможным бэкдором в gpg приложении которое установлено в parrott по дефолту, советую убрать его (хэш сумм не совпадал)
Проблема в программе GPA, там и соержится бекдор. Устраняется удалением и заменой, например gpg4usb.
 

z3RoTooL

Grey Team
28.02.2016
803
696
BIT
7
Так в Kali тоже дефолтные ключи лежат. И удалить старые и создать новые нужно еще до первого подключения к интернету!
Не знаю, как в попугае, но тут это делается так:
Код:
update-rc.d -f ssh remove
update-rc.d -f ssh defaults
cd /etc/ssh/
mkdir insecure_original_default_kali_keys
mv ssh_host_* insecure_original_default_kali_keys/
dpkg-reconfigure openssh-server
Думаю, различий будет немного :) что то, что то на Debian базируется...

countryballs-%D0%9A%D0%BE%D0%BC%D0%B8%D0%BA%D1%81%D1%8B-662852.jpeg
 
  • Нравится
Реакции: woolf1514 и TROOPY
D

da4kgr3y

Бэк доры есть во многих по, друггой вопрос как быстро их находят. Конечно в арче такое коммунити, что строки на строке не оставят, разберут весь код и не дай бог там что то не то найдется. В попугае же может быть все что угодно. Правило номер 1 - определи свои риски.
 

Rise_S

Green Team
28.07.2018
188
61
BIT
0
Всем привет, дабы не плодить новых тем, задам вопрос в этой - скажите, пожалуйста, как в этой оси реализована анонимность, есть ли дефолтные утилиты по подмене идентификаторов железа? В чем ее повышенная анонимность, только лишь в торе и в шифровании?
 

SS35

Green Team
17.04.2018
23
4
BIT
0
Привет. Есть i2p но запуск теперь из терминала.
Еще фича macchanger меняет мак с каждым новым подключением.
кстати при обновлении системы(apt-get update && apt-get dist-upgrade) будет вопрос: запускать или нет автоматом macchanger.
это 5% "анонимности" остальные 95% зависят от тебя. ;)
 

Rise_S

Green Team
28.07.2018
188
61
BIT
0
Привет. Есть i2p но запуск теперь из терминала.
Еще фича macchanger меняет мак с каждым новым подключением.
кстати при обновлении системы(apt-get update && apt-get dist-upgrade) будет вопрос: запускать или нет автоматом macchanger.
это 5% "анонимности" остальные 95% зависят от тебя
Спасибо, но, Не соглашусь по поводу восторга от данной утилиты. Макченджер ставится одной командой в практически любой линукс дистрибутив, так же, в нем элементарно можно прописать рандом, или статическое изменение самому. Установление же подобной утилиты в ОС для пентеста, в дефолте, не является бонусом, ИМХО, обычная дефолтная настройка системы. для рядового пользователя, что реализовано даже в Вин 10 из коробки. Никакой аппаратной анонимности в 5% один лишь этот спуффинг не дает и близко. Как насчет вифи SSID grub, процессора, видеокарты хотя бы? Их спуффинг, как то реализован системно? А главное - юсб адаптеров? Настройки браузера по подмене не интересуют, он не нужен. Кто то, вообще, расковырял эту ось, что в ней есть то? Пока в описании я не нашел особых преимуществ в плане анонимности. Заранее спасибо за ответ
 
  • Нравится
Реакции: globaladm
A

am29f010b

Мне не понравилось (в параноидальных обстоятельствах) в Parrot, что предустановленный BleachBit v2.02 (стабильная 2.0) не очищает свободное пространство (удаление удаленных данных) он их просто пропускал (ntfs/ext4). Пошумел на Гитхабе BB, порекомендовали стабильный пакет BB ставить и все. Обратился к разработчикам Попугая, обещали проверить (осень 2018) сейчас не знаю что они сделали. И некоторый софт тоже некорректный идет (для рабты с кл.шифр) + по каким-то не известным мне причнам, они подражают Кали: в некоторых хак. инструментах (и не обновляют их несколько лет, когда те уже далеко ушли вперед, например JtR).

Темнеменее, выбор между Дэб.. Кали и Паррот я сделаю в Парррот (у них лучше техподдержка, к тому же находил следы "Главного", его в ИБ знают и уважают (не сравниваю репутации), как спеца высокого уровня, в том числе и CAINE), а Кали не отработал на оф.форуме по своей части, когда все указали пальцем на них (Кали на Амазоне-это не юриздикция Кали).
 

Rise_S

Green Team
28.07.2018
188
61
BIT
0
Мне не понравилось (в параноидальных обстоятельствах) в Parrot, что предустановленный BleachBit v2.02 (стабильная 2.0) не очищает свободное пространство (удаление удаленных данных) он их просто пропускал (ntfs/ext4). Пошумел на Гитхабе BB, порекомендовали стабильный пакет BB ставить и все. Обратился к разработчикам Попугая, обещали проверить (осень 2018) сейчас не знаю что они сделали. И некоторый софт тоже некорректный идет (для рабты с кл.шифр) + по каким-то не известным мне причнам, они подражают Кали: в некоторых хак. инструментах (и не обновляют их несколько лет, когда те уже далеко ушли вперед, например JtR).

Темнеменее, выбор между Дэб.. Кали и Паррот я сделаю в Парррот (у них лучше техподдержка, к тому же находил следы "Главного", его в ИБ знают и уважают (не сравниваю репутации), как спеца высокого уровня, в том числе и CAINE), а Кали не отработал на оф.форуме по своей части, когда все указали пальцем на них (Кали на Амазоне-это не юриздикция Кали).

а что значит, Кали на Амазоне? Я видел Кали в магазине мелкомягких, рядом с убунту. На Амазоне много чего продают нелегально, но, лично. знаю, что правообладатель может отправить жалобу и Амазон наведет порядок, на какое то время уж точно
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!