Почему не начать изучение Linux с UBUNTU, как делают многие? Ну, наверно хотя бы потому, что в HELP-ах UBUNTU я не встречал таких дружественных, пошаговых и элементарных описаний для новичков и "чайников", как встретил на сайте Kali - kali.training. Посмотрите этот пример сами:

По мне, так всё написано более чем доступным "русским языком". Ах да, забыл упомянуть, что  сайт полностью на английском языке, но знания его вам особо не понадобятся. Ну как, базовых знаний, типа "London is the capital of ...." будет достаточно на первом этапе, а терминологией овладеете со временем. Для того что бы читать пошаговые инструкции на русском, просто открываем этот сайт в браузере Google Chrome и включаем встроенный переводчик:

Прежде чем приступить к установке Kali Linux, обязательно прочитайте введение и первую главу здесь - kali.training, где Вы узнаете много интересного об этой операционной системе практически "из первых уст", и у Вас не будет повода задавать глупые вопросы и писать не разумные комментарии под этим постом... ;-)

Почему я остановил свой выбор операционной системы для Умного дома (Home Assistant) на Kali Linux?  Причины собственно две. Первая - это то, что Умный дом по сути в финальной стадии должен быть автономным и требовать от пользователя по его обслуживанию минимум действий связанных с его безопасностью и без перебойной работой.

Это ещё одна причина, почему я остановил свой выбор на этой системе умного дома, наряду с тем, что эта система ставит на первое место локальный контроль и конфиденциальность! Всё это обеспечить нам помогает Supervisor, а его стабильная работа гарантируется только в двух операционных системах. Это собственно и есть вторая причина:

Да, можно поставить чистый Debian на свой домашний сервер и это будет лучший оптимальный вариант. Но я свой "сервер" буду использовать и как обычный ПК, т.к. ресурсы позволяют. Точнее наоборот, у меня для этих целей есть NETTOP имеющий на борту 4-х ядерный Intel Celeron - 2 GHz, два SSD 120 и 500 Gb и оперативки 8 Gb (Всё это обошлось мне (если поискать) за 4+4+2=10 т.р., что всего на 20-30% дороже обычной Raspberry Pi 4 b c китая). Ресурсов под Home Assistant + несколько других запущенных сервисов и ПК для изучения ОС Linux, более чем достаточно.
Поэтому я решил совместить Умный дом с мониторингом (тестированием) его безопасности и лучший выбор по моему для этого - Kali Linux. Вы же можете ограничится ОС Debian, ибо все мои  дальнейшие примеры и интеграции  Home Assistant  будут так же повторяемы на ОС Debian, с незначительными исключениями так же на UBUNTU и Raspberry.

После такого лирического отступления ))) приступим наконец к установке Kali Linux:

Предлагаю новичкам сначала посмотреть ОС Kali Linux (что это за зверь такой) на домашней виртуальной машине  Oracle VM VirtualBox. Попробовать систему, установить тот же  Home Assistant, а уже потом принимать решение о покупке  простенького ПК или сервера для своего Умного дома.

Отличие моего примера установки в VirtualBox от установки на обычный ПК будет лишь в том, что потребуется дополнительно из образа сделать "загрузочную флешку" и немного настроить BIOS ("uefi и legacy" + загрузка с флешки). К счастью, как это сделать - легко "гуглиться" ;-)

Итак,

1) Скачиваем последний образ системы Kali Linux с официального сайта;

2) И скачиваем и устанавливаем последнюю версию VirtualBox с официального сайта.

Запускаем VirtualBox и нажимаем "Создать".

Подробная инструкция по VirtualBox находится (например) здесь.

Переходим в "Экспертный режим" )))

- В открывшемся окне вводим "Kali Linux", "Тип" и "Версия" ОС определится автоматически (если нет, выбираем, как на фото ниже);

- Указываем объём оперативной памяти (минимальные требования системы - 2 Гб);

- Выбираем "Создать новый виртуальный жёсткий диск" и жмём "Далее";

- Выделяем объём памяти под систему. Рекомендуемый объём 20 Гб (и желательно конечно иметь SSD для этих целей);

- Указываем тип "VDI", формат "Динамический" и жмём "Создать".

Настройки можно не менять, но если вы считаете себя экспертом, то читаем (например) здесь, что там и для чего... ;-)

Далее нажимаем "Запустить" установку системы.

Выбираем наш скачанный ранее образ системы Kali Linux.

"Выбрать" и "Продолжить"

Выбираем пока самый простой вариант установки "Graphical instal".

Далее следуют несколько простых шагов установки по выбору языка, раскладки клавиатуры, "имя компьютера", логина и пароля для входа в систему... Если у вас будут затруднения на этом этапе, то рекомендую обратиться к этой официальной инструкции включив в браузере переводчик, как я написал выше. Там так просто и доступно написано, что "копипастить" всю инструкцию я посчитал лишним, покажу лишь пример этапа "Разбиение на разделы" (как это делаю я):

- Выбираю метод распределения пространства жёсткого диска по логическим томам -  LVM ( размер которых можно легко менять, в отличие от разделов, а это нам пригодится на реальной машине)

- Выбираю отдельные разделы для /home и /var /tmp  Это позволит, если кратко - "Мухи отдельно, котлеты отдельно". Ключевое - это не нужно будет думать о переносить данных пользователей на другие носители в случае переустановки системы. Как это повышает безопасность системы от различных атак, уязвимостей  и т.п. подробно говорится в курсе kali.training.

- Шифрование системы - вещь крайне полезная и нужная, но на этапе обучения и тестирования (пока на машине нет важных, конфиденциальных или возможно компрометирующих файлов) можно от неё отказаться. Мы переустановим систему с шифрованием на финальном этапе запуска умного дома, ибо лазить в неё часто нам уже не потребуется.

На этапе выбора программного обеспечения рекомендуется оставить предложенные Метапакеты Kali, т.е. ничего не менять, а просто "Продолжит".

Далее, после установки загрузчика GRUB, вам будет предложено перегрузить систему (в случае установки на реальную машину нужно будет извлечь установочную флешку). И вы попадаете в свеже установленную систему, где вас впереди  ждёт много интересного:

На этом у меня закончился лимит добавления фото в этот пост и почти исчерпан лимит на добавление текстовых блоков, а это знак переходить к его завершению... )))

Ну далее в принципе идёт настройка системы под себя, установка необходимых вам программ и знакомство с особенностями Kali Linux, в том числе инструментами тестирования на безопасность...

Как я уже писал ранее, весь базовый багаж знаний доступно и понятно изложен в официальном курсе Kali Linux. В заключении этого курса будет рассмотрено, что  именно означает «безопасность» при работе с информационными системами. Конфиденциальность, целостность и доступность являются основными элементами, на которых вы будете сосредоточены при обеспечении безопасности своей системы после прохождения этого курса ;-)

Удачи Вам в освоении! На этом у меня всё.

Всем пока и "бобра"! ;-)

На что вы готовы ради успешного завершения проекта? Не спать ночами, отправить семью в отпуск, чтобы они вас не отвлекали, литрами пить кофе и энергетики? Есть варианты и покруче. Cloud4Y хочет поделиться удивительной историей аналитика по вопросам кибербезопасности. Джон Стрэнд, получивший контракт на проверку системы защиты исправительных учреждений, выбрал человека, который идеально подходил на роль пентестера: собственную мать.

Джон Стрэнд специализируется на проникновении в различные системы и оценке их защищённости. Его услугами пользуются различные организации, желающие выявить слабые места в собственной защите до того, как эти дыры в безопасности будут обнаружены хакерами. Как правило, Стрэнд сам выполняет задачи на проникновение или подключает одного из своих опытных коллег из Black Hills Information Security. Но в июле 2014 года, готовясь к ручному тестированию в исправительном учреждении в Южной Дакоте, он принял весьма неожиданное решение. На выполнение задания он послал свою маму.

Идея ввязаться в такую авантюру принадлежит самой Рите Стрэнд. Примерно за год до событий, когда ей было 58 лет, она стала финансовым директором Black Hills, а до этого примерно три десятка лет работала в сфере общественного питания. Имея столь внушительный профессиональный опыт, Рита была уверена, что сможет выдать себя за инспектора здравоохранения, чтобы проникнуть в тюрьму. Всё что требовалось, так это поддельное удостоверение и правильный шаблон поведения.

«Однажды она подошла ко мне и сказала: «Ты знаешь, я хочу куда-нибудь проникнуть», — рассказывает Странд — «Как я мог отказать ей?».

Пентест — это не так просто, как кажется. Специалисты по тестированию на проникновение всегда говорят, что благодаря одному лишь уверенному виду можно добиться невероятных результатов, но пустить новичка в исправительное учреждение штата – это пугающий эксперимент. И хотя обычно нанятым пентестерам разрешено проникать в системы клиента, в случае их поимки могут возникнуть проблемы. Два пентестера, которые проникли в здание суда штата Айова в рамках заключённого ранее договора, провели 12 часов в тюрьме после того, как были пойманы. Потом был суд, долгие разбирательства, и лишь недавно всё закончилось. Благополучно для парней, хотя нервы им помотали изрядно.

Задача Риты Стрэнд была осложнена отсутствием технических знаний. Профессиональный пентестер может оценить цифровую безопасность организации в режиме реального времени, и сразу установить backdoor, который соответствует найденным в конкретной сети уязвимостям. Рита же могла изобразить надменного инспектора здравоохранения, но она совсем не была хакером.

Как проходил пентест

Чтобы помочь Рите попасть внутрь, ей сделали поддельные документы, визитку и бейдж «руководителя» с контактной информацией Джона. Предполагалось, что после проникновения внутрь Рита сфотографирует точки доступа учреждения и физические средства безопасности. Вместо того, чтобы заставлять женщину в возрасте взламывать какие-либо компьютеры, Джон снабдил маму так называемыми «Rubber Duckies»: вредоносными флешками, которые она могла подключить к любому устройству. Флэшки устанавливали связь с её коллегами из Black Hills и открывали им доступ к тюремным системам. Затем они дистанционно выполняли другие компьютерные операции, пока Рита продолжала действовать внутри.

«Большинству людей, которые занимаются пентестом впервые, очень некомфортно», — рассказал Стрэнд. «Но Рита была готова к работе. Кибербезопасность в тюрьме имеет решающее значение по очевидным причинам. Если кто-то может проникнуть в тюрьму и захватить компьютерные системы, вывести кого-то из тюрьмы будет действительно просто».

Утром в день пентеста Стрэнд с коллегами собрались в кафе возле тюрьмы. Пока готовился их заказ, ребята собрали рабочую систему с ноутбуками, мобильными точками доступа и другим оборудованием. И когда все было готово, Рита поехала в тюрьму.

«Когда она вышла, я подумал, что это была очень плохая идея» — вспоминает Стрэнд. «У неё нет опыта проникновения, нет опыта взлома ИТ. Я сказал: «Мама, если всё станет плохо, тебе нужно взять телефон и немедленно позвонить мне».

Пентестеры обычно стараются проводить на объекте как можно меньше времени, чтобы избежать лишнего внимания и подозрений. Но после 45 минут ожидания Рита так и не появилась.

«Когда прошло около часа, я начал паниковать», — улыбается Джон Стрэнд. «Я корил себя за то, что должен был это предусмотреть, пока мы ехали в одной машине, а сейчас я сижу в глуши в кафе, и у меня нет возможности добраться до неё».

Внезапно ноутбуки Black Hills начали подавать сигналы активности. Рита сделала это! Установленные ею USB-закладки создавали так называемые веб-оболочки, которые давали команде в кафе доступ к различным компьютерам и серверам внутри тюрьмы. Стрэнд вспоминает, что один из коллег кричал: «Твоя мама в порядке!».

На самом деле Рита вообще не встретила никакого сопротивления внутри тюрьмы. Она сказала охранникам на входе, что проводит внеплановую медицинскую инспекцию, и они не только пропустили ее, но и оставили у неё мобильный телефон, с помощью которого она записала всю процедуру проникновения на объект. На тюремной кухне она проверила температуру в холодильниках и морозильниках, сделала вид, что проверяет наличие бактерий на прилавках и полках, искала просроченные продукты и делала фотографии.

Также Рита попросила осмотреть рабочие зоны сотрудников и зоны отдыха, сетевой операционный центр тюрьмы и даже серверную комнату — всё это якобы для проверки на наличие насекомых, уровня влажности и заплесневелости. И никто ей не отказал. Ей даже разрешили бродить по тюрьме в одиночку, дав предостаточно времени для того, чтобы сделать кучу фотографий и установить USB-закладки везде, где только можно.

В конце «инспекции» директор тюрьмы попросил Риту посетить его кабинет и дать рекомендации, как учреждение может улучшить организацию питания. Благодаря большому опыту в сфере питания женщина рассказала о некоторых проблемах. Затем она передала ему специально подготовленную флешку и сообщила, что у инспекции есть полезный контрольный список вопросов для самооценки и что он может использовать его для устранения текущих проблем. На флешке лежал Word-файл, заражённый вредоносным макросом. Когда начальник тюрьмы открыл его, он дал Black Hills доступ к своему компьютеру.

«Мы были просто ошарашены», — говорит Стрэнд. «Это был ошеломительный успех. Представителям кибербезопасности теперь есть что сказать о фундаментальных недостатках и слабостях действующей системы. Даже если кто-то уверяет, что он инспектор здравоохранения или кто-то ещё, необходимо лучше проверять информацию. Нельзя слепо верить тому, что говорят».

Что в итоге

Знающие эту историю другие пентестеры считают, что пусть успех Риты и является в большей степени удачным стечением обстоятельств, но ситуация в целом хорошо отражает их повседневный опыт.

«Результат применения небольшой лжи и физических аспектов может быть невероятным. Мы выполняем похожие работы всё время и редко оказываемся разоблачёнными», — соглашается Дэвид Кеннеди, основатель ещё одной фирмы по тестированию на проникновения, TrustedSec. «Если вы утверждаете, что являетесь инспектором, аудитором, авторитетным лицом, то вам всё позволено».

Рита больше никогда не участвовала в тестах на проникновение. А Джон Стрэнд и сейчас отказывается говорить, в какую тюрьму проникала его мать. Уверяет, что сейчас она уже закрыта. Но усилия команды оказали существенное влияние на организацию безопасности, говорит Стрэнд. И в шутку добавляет: «Я также думаю, что благодаря нашему тесту уровень здравоохранения в организации был повышен».