ID.nl logo
Huis

Pentesting met Kali Linux: Test je systeem op lekken

Ben je verantwoordelijk voor je thuisnetwerk of voor het netwerk of de webserver van je bedrijf, dan wil je alle systemen natuurlijk zo goed mogelijk beveiligen tegen aanvallen van buitenaf. Een grondige analyse van potentiële kwetsbaarheden dringt zich dan op. Kali Linux is de aangewezen tool voor uiteenlopende vormen van ‘penetration testing’, ofwel pentesting.

Om te weten hoe goed je systeem bestand is tegen allerlei hackersaanvallen zijn er in feite twee mogelijkheden. Ofwel je wacht af tot de eerste geslaagde aanval een feit is, ofwel je voert zelf zulke ‘aanvallen’ uit en neemt op basis daarvan de gepaste maatregelen.

Het lijkt ons evident welke aanpak de voorkeur geniet. Daarom reiken we je in dit dubbelartikel tools aan waarmee je zelf kunt proberen specifieke computersystemen binnen te dringen. Daarbij ontplooien we activiteiten die ook cybercriminelen zouden kunnen verrichten. We gaan er echter wel vanuit dat het om je eigen systemen gaat of minstens om systemen waarvoor je de nodige autorisaties hebt.

Deze vorm van ethisch hacken wordt penetration testing, kortweg pentesting genoemd. Zo’n pentest zal vaak niet alle antwoorden bieden op je beveiligingsproblemen, maar zal het risico op een succesvolle aanval van buitenaf in elk geval sterk verminderen. Je doet er echter wel goed aan zo’n pentest op regelmatige basis uit te voeren: cybercriminelen vinden immers voortdurend nieuwe exploits voor systemen en applicaties.

Over Kali Linux

Een van de meest uitgebreide tools voor pentesting is Kali Linux, de opvolger van het populaire, op Knoppix gebaseerde BackTrack. Kali Linux werd in 2013 van de grond af herschreven en is op Debian gebaseerd. Deze distributie bevat enkele honderden pentesting-applicaties en bestrijkt zowat het hele werkveld van de (ethisch) hacker, met tools voor onder meer het verzamelen van informatie, social engineering, sniffen en spoofen, het kraken van wachtwoorden, het analyseren van kwetsbaarheden, het aanvallen van draadloze netwerken, enz.

Kali Linux is beschikbaar voor diverse platformen, met name i386, AMD64 en ARM. Het laat zich als nieuw systeem of in een dualboot-configuratie installeren, maar je kunt het tevens op een live medium plaatsen of binnen een virtuele machine draaien. Voor dit artikel gaan we uit van dit laatste scenario. We maken hiervoor gebruik van de gratis hosted hypervisor Oracle VM VirtualBox, met Windows 10 als host. Via deze tool gaan we bovendien enkele doelsystemen (targets) virtualiseren. Immers, virtualisatie biedt niet alleen een veilig afgeschermde omgeving voor je experimenten, maar met behulp van de ingebouwde snapshot-functie kun je ook snel terugkeren naar een eerdere situatie.

Een logisch begin is dus het opzetten van ons virtueel lab. Naast Kali Linux heb je bij voorkeur ook enkele uiteenlopende doelmachines beschikbaar, zoals een Linux-distributie, een oudere Windows-versie (XP) en een recentere Windows-versie, zoals Windows 7 en/of 10.

Virtual Box

Download en installeer alvast de nieuwste versie van VirtualBox. Het is onze bedoeling deze systemen via een virtueel netwerk met elkaar te verbinden, waarbij die met behulp van NAT en een virtuele gateway het internet kunnen bereiken.

Dit scenario bereid je het best als volgt voor. Start VirtualBox op en kies Bestand / Voorkeuren. In de rubriek Algemeen leg je de standaardmap voor je virtuele machines (vm’s) vast, waarbij je een locatie kiest met flink wat vrije ruimte. Ben je niet zo bekend met VirtualBox, bekijk dan zeker ook even beide tabbladen in de rubriek Invoer, want die tonen een hele reeks nuttige sneltoetsen.

Open ook de rubriek Netwerk, waar je vastlegt hoe de virtuele machines met elkaar communiceren. Op het tabblad NAT-netwerken klik je de groene plusknop aan en dubbelklik je vervolgens op het toegevoegde item. Hier kun je als je wilt de naam (NatNetwork), de Netwerk CIDR (10.0.2.0./24) en enkele netwerkopties wijzigen. Je kunt echter ook gewoon de standaardkeuzes gebruiken, inclusief dhcp-ondersteuning. Zorg wel dat er een vinkje staat bij Inschakelen netwerk en bevestig je keuzes.

©PXimport

Kali downloaden en installeren

We zijn nu klaar om onze virtuele machines te installeren en het testplatform Kali Linux lijkt ons een logische eerste kandidaat. Wij kiezen Kali Linux Vbox 64 Bit Ova, een open virtual appliance die je als volgt in VirtualBox installeert. Ga naar Bestand, kies Appliance importeren, verwijs naar het uitgepakte bestand en druk op Volgende. Via een dubbelklik op de naam kun je die aanpassen als je wilt. Je zet de operatie in gang met de knop Importeren. Na afloop kun je de vm opstarten. Inloggen doe je met de standaard gebruikersnaam root en het wachtwoord toor. Als het goed is verschijnt even later de Kali-desktop.

Het is nu tijd om de doelsystemen te installeren waarop we de pentests van Kali – op een veilige manier – kunnen uitproberen. Een dankbaar target is Metasploitable: een Ubuntu-distributie die door de makers van het populaire exploit-ontwikkelingsplatform MetaSploit werd vrijgegeven en waarin met opzet diverse kwetsbaarheden werden ingebouwd. Je vindt de download hier, dat uitgepakt onder meer een vmdk-bestand oplevert. Je haalt dat als volgt naar VirtualBox: klik op Nieuw, vul als Type Linux en bij Versie Ubuntu (64-bit) in. Je kunt volstaan met 1 GB ram. Selecteer Gebruik een bestaand virtuele harde schijf bestand en verwijs naar het vmdk-bestand. Inloggen op het systeem doe je standaard met msfadmin, zowel voor de gebruikersnaam als het wachtwoord.

Een paar Windows-systemen als target zijn zeker ook wenselijk. Die vind je gratis en bruikbaar gedurende 90 dagen in de vorm van deze handige ova-appliances, althans voor Windows 7 (x86) en Windows 10 (x64). Bij Select platform selecteer je VirtualBox.

Voor Windows XP kun je hier jammer genoeg niet meer terecht, maar we vonden een download op Softlay.net, via het uitklapmenu Windows / Windows XP ISO (het betreft Windows XP Professional SP3), waarna die zich moeiteloos liet installeren binnen VirtualBox.

Bij Windows XP en 7 doe je er wel goed aan de functie automatische updates meteen na de eerste opstart uit te schakelen, want voor onze experimenten zijn we juist geïnteresseerd in ongepatchte systemen. Dat kan via het Windows Configuratiescherm (Control Panel) in Classic View, waarna je bij System het tabblad Automatic Updates opent en Turn Off Automatic Updates selecteert.

©PXimport

Pentesting-tools

Alles is nu in gereedheid om met Kali aan de slag te gaan. Zoals gezegd bevat Kali enkele honderden pentesting-tools en die vind je op het bureaublad overzichtelijk gerubriceerd onder het menu Applications.

De rubriek Information gathering bevat maar liefst tien subcategorieën (met in totaal meer dan vijftig tools), waaronder DNS Analysis, IDS/IPS Identification, Live Host Identification en Network & Port Scanners. We maken kennis met twee bekende tools: Dmitry en Maltego.

Dmitry is een opdrachtregel-tool die je kunt inzetten voor een whois-lookup van een host, het scannen naar open tcp-poorten en het identificeren van subdomeinen. Bij de opstart toont de applicatie je al meteen enkele nuttige parameters. In zijn eenvoudigste vorm ziet een commando er als volgt uit:

dmitry <domein> </domein>

(bijvoorbeeld ‘dmitry google.com’). Je krijgt nagenoeg onmiddellijk heel wat informatie terug over het bevraagde domein, waaronder ip-adres, nameservers, registrar, subdomeinen, enzovoort. Je kunt ook specifiek naar poorten scannen (via de switch -p) en je virtuele Metasploitable-machine is een dankbaar slachtoffer. Je moet deze vm dan natuurlijk wel ook eerst opstarten – het interne ip-adres kun je hier opvragen met het shell-commando

ifconfig

Om ook de banners van de poorten te zien, zodat we de versie van de software vernemen die instaat voor de services, gebruik je de -b switch:

dmitry -pb 10.0.2.5

(het ip-adres binnen ons eigen virtueel netwerk).

©PXimport

Maltego-transforms

Een information gathering-tool met een geheel andere aanpak is het populaire – en behoorlijk indrukwekkende - Maltego. Dat bevraagt op een slimme manier publiek toegankelijke informatie over organisaties. Kali bevat de gratis community edition van Maltego, maar voor je hier daadwerkelijk mee aan de slag kunt moet je je registreren. Vervolgens kun je Maltego opstarten en je bij de service aanmelden met je accountgegevens.

Pas daarna zal Maltego de publieke transforms in zijn database laden. Transforms zijn analytische processen die publieke data over het beoogde doelwit opvragen en vervolgens die data transformeren naar een boomdiagram van gerelateerde informatie. Er zijn heel wat transforms beschikbaar in Maltego, maar je kunt desgewenst ook je eigen transforms scripten.

In de gui-interface van Maltego zie je een paneel met beschikbare transforms: de Paterva CTAS CE transform is standaard al geïnstalleerd. Bekende transforms zijn onder meer nog Cisco Threat Grid, Blockchain.info (Bitcoin), Have I Been Pwned?, VirusTotal Public API, Social Links en Kaspersky Lab. Die kun je eveneens installeren, maar meestal heb je daarvoor een token of een API-sleutel nodig die je bij de desbetreffende websites kunt ophalen.

Om een nieuw diagram te starten vanuit de Maltego-gui klik je linksboven het plusknopje New aan. In het Palette-paneel tref je een aantal transform-functies aan, waaronder Infrastructure, Locations, Malware, Personal en Social Network.

We beperken ons hier tot een tweetal voorbeelden.

©PXimport

Beginnen we met de rubriek Infrastructure, waar je de Domain-functie naar het canvas versleept. Dubbelklik op het toegevoegde item en vul de beoogde domeinnaam in. Vervolgens rechtsklik je op het item: je krijgt nu de beschikbare transforms te zien. Via het knopje Configure kun je individuele taken aanpassen en verwijderen, maar je kunt in één keer ook Run All kiezen, bijvoorbeeld bij het onderdeel DNS from Domain. Het resultaat, zowel tekstueel als grafisch, laat niet lang op zich wachten: je krijgt onder meer alle websites, nameservers en mailservers van dat domein te zien. Je kunt echter ook rechtsklikken op elk van deze subitems om nog meer details op te vragen. Het is tevens mogelijk de grafiek te bewaren en te delen.

Open ook even de rubriek Personal en sleep Person naar het canvas. Via een dubbelklik vul je de gewenste persoonsnaam in, waarna je hier alle transforms op laat uitvoeren (je hoeft niet noodzakelijk specifieke domeinen in te vullen). Voor Twitter moet je wel eerst even je autorisatie geven.

Met wat geluk duiken meteen een aantal websites, e-mailadressen en telefoonnummers op die met de beoogde persoon verband houden. En ook hier kun je nog meer transforms loslaten op elk van deze subitems, zodat je extra e-mailadressen, tweets, enzovoort te zien krijgt.

Dit zijn slechts twee van de tools die je met Kali Linux tot je beschikking hebt. Veel testplezier!

▼ Volgende artikel
Waar voor je geld: 5 koel-vriescombinaties met een zuinig energielabel
© africa-studio.com (Olga Yastremska and Leonid Yastremskiy)
Huis

Waar voor je geld: 5 koel-vriescombinaties met een zuinig energielabel

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Een koel-vriescombinatie is de ideale koelkast voor wie veel ruimte nodig heeft voor het bewaren van vers eten en drinken en voor het langer bewaren van bevroren producten. Wij zochten naar vijf energiezuinige modellen met een grote capaciteit.

De moderne koel-vriescombinatie met vriezer onder bieden een praktische indeling: je dagelijkse producten op ooghoogte in het koelgedeelte bovenin, terwijl de vriezer onderin zit met handige lades. Helemaal ideaal zijn de 'no-frost' varianten – eindelijk verlost van het vervelende ontdooien . Sommige modellen hebben speciale zogeheten BioFresh-zones waardoor je groenten en fruit langer vers blijven .

ETNA KCV520NZWA 

De ETNA KCV520NZWA is een energiezuinige koel-vriescombinatie met energielabel A en een jaarlijks energieverbruik van slechts 109 kWh. De netto inhoud bedraagt 336 liter, verdeeld over 238 liter koelruimte en 98 liter vriesruimte.

Deze vrijstaande koelkast heeft een strak zwart design en is uitgerust met NoFrost, waardoor handmatig ontdooien overbodig is. De zogeheten MultiFlow 360°-ventilatietechniek zorgt voor een gelijkmatige koeling, terwijl de Convert FreshZone-lade in te stellen is voor het bewaren van vlees, vis, groenten of fruit. Daarnaast heeft deze koelkast functies als superkoelen en supervriezen voor het snel op de juiste temperatuur brengen van nieuwe producten.

Opgegeven jaarlijks energieverbruik: 109 kWh
Geluidsniveau: 35 dB
Inhoud koelgedeelte: 238 liter
Inhoud vriesgedeelte: 98 liter

Samsung RB38C7B5AB1-EF 

Deze stijlvolle en energiezuinige koel-vriescombinatie uit de Bespoke-serie, ontworpen voor moderne huishoudens die waarde hechten aan zowel functionaliteit als design. Met een royale netto inhoud van 387 liter biedt dit apparaat voldoende ruimte voor al je etenswaren.

Dankzij de SpaceMax-technologie heeft de koelkast dunnere wanden, waardoor er meer binnenruimte ontstaat zonder dat de buitenafmetingen toenemen. De No Frost+-functie voorkomt ijsvorming, maakt. Met Twin Cooling Plus worden het koel- en vriesgedeelte afzonderlijk gekoeld, wat zorgt voor optimale luchtvochtigheid en voorkomt geurvermenging.

De Digital Inverter Compressor past zich automatisch aan op basis van de koelbehoefte, wat resulteert in een stille werking van slechts 35 dB en een laag jaarlijks energieverbruik van 108 kWh. Deze koelkast kun je bedienen met de SmartThings-app, en hiermee het energieverbruik monitoren.

Opgegeven jaarlijks energieverbruik: 108 kWh
Geluidsniveau: 35 dB
Inhoud koelgedeelte: 273 liter
Inhoud vriesgedeelte: 114 liter

Bosch KGN392LAF 

Deze koel-vriescombinatie van Bosch biedt een totale netto inhoud van 363 liter, verdeeld over een koelgedeelte van 260 liter en een vriesgedeelte van 103 liter . Dankzij de NoFrost-technologie is handmatig ontdooien verleden tijd, terwijl het MultiAirflow-systeem zorgt voor een gelijkmatige luchtverdeling, waardoor voedsel langer vers blijft.

Het VitaFresh XXL 0°C-systeem biedt optimale bewaarcondities voor vlees, vis, groente en fruit, waardoor de versheid en voedingswaarde behouden blijven . Met een geluidsniveau van slechts 29 dB is dit apparaat uitzonderlijk stil, ideaal voor open keukens en woonruimtes.

De Bosch KGN392LAF is afgewerkt met RVS-design met geïntegreerde handgrepen en is voorzien van verstelbare glazen legplateaus, LED-verlichting en een digitale temperatuurregeling.

Opgegeven jaarlijks energieverbruik: 104 kWh
Geluidsniveau: 29 dB
Inhoud koelgedeelte: 260 liter
Inhoud vriesgedeelte: 103 liter

Hisense RB440N4AFA

De Hisense RB440N4ACA is een energiezuinige koel-vriescombinatie met een A-label en een jaarlijks energieverbruik van slechts 109 kWh. Met een geluidsniveau van 35 dB is dit apparaat fluisterstil, ideaal voor open keukens of kleinere woonruimtes. De totale netto inhoud bedraagt 336 liter, verdeeld over 238 liter koelruimte en 98 liter vriesruimte.​

Deze vrijstaande koelkast heeft een strak roestvrijstalen design en is uitgerust met moderne technologieën zoals Total No Frost, waardoor handmatig ontdooien overbodig is. De Multi Air Flow-technologie zorgt voor een gelijkmatige koeling, terwijl de Super Freeze-functie snel nieuwe producten invriest. Daarnaast beschikt het apparaat over een Holiday Mode voor energiebesparing tijdens afwezigheid.

Opgegeven jaarlijks energieverbruik: 109 kWh
Geluidsniveau: 35 dB
Inhoud koelgedeelte: 238 liter
Inhoud vriesgedeelte: 95 liter

LG GBV7280BPY

De LG GBV7280BPY is een stijlvolle en energiezuinige koel-vriescombinatie die uitblinkt in zowel design als functionaliteit. Met een totale netto inhoud van 387 liter biedt deze combinatie voldoende ruimte voor de opslag van al je verse en diepgevroren producten.

Het vriesgedeelte van 110 liter is voorzien van drie transparante lades, waardoor je gemakkelijk overzicht houdt over je diepvriesproducten. Dankzij de Total No Frost-technologie is handmatig ontdooien niet meer nodig. De Smart Inverter Compressor zorgt niet alleen voor energie-efficiëntie, maar ook voor een stille werking met een geluidsniveau van slechts 33 dB. Het apparaat heeft een energieklasse B en een jaarlijks energieverbruik van 138 kWh.

Opgegeven jaarlijks energieverbruik: 138 kWh
Geluidsniveau: 33 dB
Inhoud koelgedeelte: 233 liter
Inhoud vriesgedeelte: 110 liter

▼ Volgende artikel
Help, mijn wasmachine centrifugeert niet! Wat nu? (Spoiler: geen paniek!)
© AK | ID.nl
Huis

Help, mijn wasmachine centrifugeert niet! Wat nu? (Spoiler: geen paniek!)

Als je wasmachine het programma keurig afwerkt, maar de was kletsnat uit de trommel komt, is de kans groot dat het centrifugeren niet goed is gegaan. Frustrerend, zeker als je net een volle trommel beddengoed hebt gedraaid. Gelukkig is vaak goed te achterhalen wat er aan de hand is. In dit artikel lees je waar het misgaat, hoe je het herkent en wat je eraan kunt doen.

Was nog steeds nat? Dit kan er aan de hand zijn:

  • De trommel raakt uit balans
  • Problemen met de afvoer
  • Verkeerd toerental gekozen
  • Technische mankementen
  • Elektronica en foutmeldingen

Lees ook: Zelf de afvoerslang van je wasmachine vervangen: zo doe je dat

Dat het centrifugeren niet of niet helemaal goed gaat, kan een aantal oorzaken hebben. Hieronder vind je de meest voorkomende – uiteraard mét oplossing!

De trommel raakt uit balans

Een van de meest voorkomende oorzaken is een ongelijke verdeling van het wasgoed. Grote stukken zoals dekbedhoezen of badmatten trekken tijdens het centrifugeren naar één kant, waardoor de trommel uit balans raakt. De machine detecteert dat en besluit het toerental niet of nauwelijks op te voeren. Je merkt het aan het zachte ronddraaien aan het einde van het programma en het feit dat er nog behoorlijk wat water in de trommel staat. Je voorkomt dit probleem meestal door zware stukken over meerdere wasbeurten te verdelen of er wat lichtere kleding bij te doen. Een goed gevulde trommel met een combinatie van groot en klein wasgoed draait namelijk een stuk stabieler.

Problemen met de afvoer

Als water niet snel genoeg uit de kuip kan worden gepompt, blijft het niveau te hoog om veilig te centrifugeren. De machine slaat die stap dan over of draait op een laag toerental. Dit komt vaak door een verstopt filter, een propje stof in de afvoerpomp of een geknikte afvoerslang. De pomp moet met kracht het water wegwerken, en als dat niet lukt, stopt de elektronica het proces. Maak het filter schoon, controleer of de pomp vrij kan draaien en kijk of de slang niet geknikt is of te hoog hangt. Meestal lost dit het probleem op.

KIJK GOED NAAR HET TOERENTAL Niet elke was draait standaard op het hoogste toerental. Veel programma's – zoals die voor fijne was of eco-instellingen – beperken automatisch het centrifugeren om kleding te beschermen of energie te besparen. Dat is vaak ingesteld op 800 of 1000 toeren, terwijl je was pas echt droog wordt bij 1400 of 1600 toeren. Controleer dus voor je start welk toerental is gekozen. Je kunt dit handmatig aanpassen via het display of de draaiknop, afhankelijk van het model.

©Oriol Roca

Technische mankementen

Soms zit het probleem dieper in de machine. Versleten koolborstels kunnen ervoor zorgen dat de motor niet genoeg kracht levert voor de centrifugeersnelheid. Ook een versleten aandrijfsnaar (ook wel aandrijfriem genoemd) of een kapotte trommellager kan de boel verstoren. In zulke gevallen hoor je vaak een brommend geluid of zie je dat de trommel moeizaam beweegt. Om dit op te lossen, zul je vaak een reparateur moeten inschakelen. De kosten voor vervanging hangen af van het merk en de leeftijd van je machine. Op de websites van fabrikanten en verkopers van wasmachines vind je meer informatie over de garantieperiode en waar je terechtkunt met vragen. Tip: zorg dat je altijd de aankoopbon bewaart!

Elektronica en foutmeldingen

Tot slot kan een storing in de software de boosdoener zijn. Moderne wasmachines meten voortdurend of alles volgens plan verloopt. Bij afwijkingen geven ze een foutcode, bijvoorbeeld bij waterproblemen, een deur die niet goed sluit of een motor die geen terugkoppeling geeft. In zulke gevallen loont het om de handleiding erbij te pakken of de foutcode op te zoeken op de website van de fabrikant. Resetten van het systeem kan soms al voldoende zijn. Verhelpt dat het probleem niet, dan zal er een reparateur bij moeten komen.

WISSELEND RESULTAAT? LET OP DE BELADING Als je merkt dat het soms wel goed gaat en soms niet, dan kun je ervan uit gaan dat het geen technisch mankement is, maar dat de belading de boosdoener is. Eerder in dit artikel heb je kunnen lezen wat je kunt doen om dat op te lossen.

Checklist centrifugeerproblemen
ProbleemMogelijke oorzaakOplossing
Was blijft natTrommel uit balansWasgoed verdelen, trommel evenwichtig vullen
Centrifugeert niet of halfVerstopte afvoer of geknikte slangFilter schoonmaken, slang controleren
Brommend geluid, geen snelheidVersleten motoronderdelenKoolborstels of aandrijfsnaar vervangen
Foutmelding bij starten centrifugeSoftwarefout of sensorsignaal ontbreektHandleiding checken, eventueel resetten
Programma draait te langzaamLaag ingestelde centrifugeersnelheidToerental verhogen in programma-instellingen
Wisselend resultaat per wasbeurtAfhankelijk van beladingZware en lichte stukken mengen

Wat controleer je als eerste?

Wil je zeker weten waar het aan ligt, begin dan met het controleren van de makkelijke dingen: het filter, de slang, de trommelverdeling. Vaak hoef je geen technicus te zijn om het op te lossen. Gaat het dan nog niet goed, dan moet je bepalen of reparatie zinvol is of dat het tijd is voor een nieuwe wasmachine.