Введение
Приватность стала навыком, который необходимо осознанно выстраивать и защищать. Для пентестеров и просто для осознанных пользователей, возможность контролировать свой цифровой след превращается в насущную потребность. Ключевым элементом этой независимости является создание и использование инфраструктуры, не связанной с вашей личностью. Речь идёт о выделенном арендованном VPS сервере, который вы арендуете за криптовалюту. Это мощный инструмент для обеспечения безопасности. Такой не только позволяет скрыть ваш трафик с помощью VPN, а полностью отделить саму точку его возникновения от ваших персональных данных. Однако ваша анонимность сильно зависит от выбора правильного провайдера. В данной статье, мы объясним, зачем и как преобрести сервер анонимно, и какие шаги предпринять, чтобы защитить личность при обучении пенстесту(для этичных целей).
Причины для анонимной оплаты услуг
Конфиденциальность тестовой инфраструктуры
При проведении тестов на проникновение важно не «засветить» заказчика. Платежи могут быть вычислены и связаны с активностью, что раскрывает факт проведения тестов.
Для тестов часто требуются Домены, VPS, Хостинг, Сертификаты, которые не должны быть связаны с основной компанией. Анонимная оплата разрывает эту связь.
Анонимные платежи – это инструмент. Как и любой другой, он может использоваться в законных целях, так и в незаконных. Для специалистов в области информационной безопасности его использование оправдано. Анонимная оплата – это не стремление «что-то скрыть», а профессиональная необходимость в парадигме OPSEC.
OPSEC (Operational Security) для различных групп
OPSEC (аббревиатура от Operations Security - операционная или процедурная безопасность) - это процесс выявления и защиты критически важной информации.
Принципы OPSEC изначально разработали вооруженные силы США, чтобы избежать утечки разнородных данных, которые в совокупности могли бы выдать некую общую важную секретную информацию. Однако сегодня их активно применяют ИБ-специалисты, чтобы снизить риск утечки конфиденциальных сведений.
Любой платёж оставляет цифровой след: имя, банк, email, IP-адрес. Эти данные могут быть скомпрометированы, утечка данных в платёжной системе или хостинг-провайдере раскрывает личность.
Пять этапов OPSEC:
- Определение критически важных данных – На данном этапе выясняют, какая информация может представлять интерес для недоброжелателей, а также утечка каких сведений способна нанести наибольший ущерб организации.
- Анализ ландшафта угроз – Специалисты прогназируют, кто может быть заинтересован в краже критически важных данных, выявленных в пункте 1. – киберпреступники, конкуренты или штатные сотрудники.
- Анализ уязвимостей – С учётом ранее разработанного ландшафта угроз, определяют слабые места, которые могут стать причиной утечки информации, если угрозы будут реализованы.
- Оценка рисков – Выявив слабые места, специалисты оценивают, с какой вероятностью каждое из них может стать причиной утечки критически важных данных и каков будет ущерб в случае такой утечки. Уязвимости ранжируют по степени их опасности, и становится ясно, на что стоит обратить внимание в первую очередь.
- Разработка и принятие мер – На финальном этапе специалисты организации разрабатывают план устранения угроз и снижения рисков утечки данных. Он может включать в себя, разработку политик безопасности, обновление должностных инструкций и другие шаги.
Обзор провайдеров VPS, принимающих криптовалюту
Вот вам 2 очень хороших VPS провайдеров, которые смогут анонимно принимать оплату в криптовалюте.
Cherry Servers
*KYC – верификация профиля
При покупке сервера у Cherry Servers вы получаете:
- Полный root-доступ к серверу
- Управление через Веб-панель, REST API, CLI/
- Техническая поддержка 24/7
Ссылка скрыта от гостей
IT Garage
При покупке сервера у It-Garage вы получаете:
- Полный root-доступ к серверу
- Удобный веб-интерфейс
- Оплату криптовалютой без KYC и прочих данных.
- Есть возможность регистрации профиля на временную почту
- Поддержка через тикеты или Telegram
- Бесплатная защита от DDoS-атак
Ссылка скрыта от гостей
Вы можете выбрать любой из этих двух сервисов для создания своей VPS и дальнейшей её оплаты с помощью криптовалюты( я лично пользуюсь It Garage и мне кажется лучше сервиса по удобству и анонимности не найти ).
Пошагово: крипто-кошелёк, покупка крипты, оплата хостинга
В этой главе мы пошагово создадим свой крипто-кошелёк, купим на него крипту и оплатим наш хостинг.
Ссылка скрыта от гостей
и скачиваем для своей ОС.
Создаём пароль для вашего кошелька и записываем кодовые фразы.
Далее у вас должен появиться ваш «профиль», в котором будут балансы разных валют.
Теперь давайте купим немного крипты для нашего кошелька, для этого идём на платформу
Ссылка скрыта от гостей
(используем любой бесплатный VPN (Например BrowSec) или арендуем Proxy для доступа к сайту (Например, proxys.io)).
Выбираем любую площадку для обмена и валюту (В Give - я выбрал свой банк, в Get - я выбрал Tron). Многие площадки предлагают обмен от 1000 рублей, их просто нужно поискать.
Вводим номер карты и ваш кошелёк.
Нажимаем на «Exchange», ожидаем около 15-20 минут(может до часу) и средства поступят на ваш крипто-кошелёк.
Теперь в нашем Exodus есть немного Tron.
Давайте с помощью наших только что купленных Tron оплатим хостинг. Хостинг я использую It-Garage, давайте я покажу как на нём создать аккаунт, а потом мы оплатим наш хостинг.
Регистрируемся и подтверждаем нашу фейк почту. Готово!
Способы пополнения очень похожи, итак, нажимаем на кнопку «пополнить» возле нашего баланса
Создаём плательщика и не переживайте, все данные можно вписать выдуманные, вводите сумму и выбираете метод оплаты CrystalPay.
Далее вас перенаправляет на сервис CrystalPay.io с суммой и методом оплаты, выбираем Tron.
Далее во вкладке «Виртуальные серверы» выбираем наш сервер и нажимаем кнопку «Продлить», оплачиваем продление с внутреннего баланса хостинга.
Советы по выбору локации сервера, настройке VPN/SSH.
Лучше всего выбирать страны ЕС, поскольку у них прозрачное законодательство + адекватная реакция хостеров на security-тесты. А также чётко разрешены тесты безопасности при наличии согласия владельца системы и понятные законы о кибербезопасности и компьютерных преступлениях.
Часто выбирают такие страны как: Нидерланды, Германия, Финляндия, Канада.
Перед покупкой обязательно проверяйте: разрешены ли penetration testing / security testing, можно ли запускать сканеры(nmap,burp,nikto), требуется ли предварительное уведомление провайдера. Лучше выбирать провайдера, которые сразу пишут, что ethical hacking is available.
Настройка VPN/SSH
Теперь настроем SSH. Никогда не используйте root при подключении по SSH. Это одна из самых частых уязвимостей.
Bash:
adduser vpn
usermod –aG sudo vpn
Bash:
sudo nano /etc/ssh/sshd_config
Bash:
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
Bash:
sudo systemctl restart sshВ sshd_config:
Код:
Port 1488Теперь настроем VPN на нашем сервере. Мы будем использовать популярную панель 3x-ui. Копируем Bash скрипт и вставляем в терминал предварительно обновив дистрибутив.
Далее вписываем данные которые нас просят при установке. Устанавливаем.
Теперь у нас появились «URL, логин, пароль, путь» к нашей веб-панели, подключаемся к ней используя браузер и авторизуемся с генерированным логином и паролем.
Создаём новый Inbound во вкладке “Inbounds”.
Выставляем протокол vless, а транспорт XHTTP.
Клиент вы можете использовать на своё усмотрение, я же рекомендую использовать v2rayA или v2rayN.
Для телефонов v2rayBox или Exclave(Доступен только в F-droid).
Напоминание об этике: не использовать для противозаконных действий
Использование VPS и VPN допустимо только в законных и добросовестных целях. Запрещается применять их для противоправной деятельности, обхода законов или нарушения прав других лиц.
Тестируйте только те сисетмы, на которые у вас есть договор, письменное согласие или явное разрешение.
Если в задании указан один домен или IP - не лезьте дальше. Выход за рамки = нарушение.
VPS + VPN не делают действия легальными. Логи есть всегда, как и ответственность.
Не ломайте, не удаляйте данные, не мешайте работе сервисов, если это не согласовано. Пентест - проверка, не саботаж.
Делайте ровно столько, сколько нужно, чтобы доказать уязвимость. Если баг очевиден – не надо «дожимать» его до реального ущерба.
Нашёл уязвимость? – сообщи заказчику или владельцу системы, а не используй её и не сливай публично.
Заключение
VPS, оплаченный криптовалютой, может быть полезным инструментом для пентестера при легальной и ответственной работе. Он сочетает в себе удобство, доступность и технологичность, но требует осознанного подхода и соблюдения правовых норм. Только при этих условиях такой вариант действительно оправдан. Для пентестера важно использовать серверы исключительно в рамках разрешённых тестов, обучающих лабораторий и договорных работ. При правильном подходе VPS становится надёжной платформой для практики и развития навыков в сфере информационной безопасности. А грамотный выбор сервера и способа оплаты помогает создать эффективную и безопасную среду для тестирования.
Вложения
Последнее редактирование модератором:
