ID.nl logo
Huis

Pentesting met Kali Linux: Test je systeem op lekken

Ben je verantwoordelijk voor je thuisnetwerk of voor het netwerk of de webserver van je bedrijf, dan wil je alle systemen natuurlijk zo goed mogelijk beveiligen tegen aanvallen van buitenaf. Een grondige analyse van potentiële kwetsbaarheden dringt zich dan op. Kali Linux is de aangewezen tool voor uiteenlopende vormen van ‘penetration testing’, ofwel pentesting.

Om te weten hoe goed je systeem bestand is tegen allerlei hackersaanvallen zijn er in feite twee mogelijkheden. Ofwel je wacht af tot de eerste geslaagde aanval een feit is, ofwel je voert zelf zulke ‘aanvallen’ uit en neemt op basis daarvan de gepaste maatregelen.

Het lijkt ons evident welke aanpak de voorkeur geniet. Daarom reiken we je in dit dubbelartikel tools aan waarmee je zelf kunt proberen specifieke computersystemen binnen te dringen. Daarbij ontplooien we activiteiten die ook cybercriminelen zouden kunnen verrichten. We gaan er echter wel vanuit dat het om je eigen systemen gaat of minstens om systemen waarvoor je de nodige autorisaties hebt.

Deze vorm van ethisch hacken wordt penetration testing, kortweg pentesting genoemd. Zo’n pentest zal vaak niet alle antwoorden bieden op je beveiligingsproblemen, maar zal het risico op een succesvolle aanval van buitenaf in elk geval sterk verminderen. Je doet er echter wel goed aan zo’n pentest op regelmatige basis uit te voeren: cybercriminelen vinden immers voortdurend nieuwe exploits voor systemen en applicaties.

Over Kali Linux

Een van de meest uitgebreide tools voor pentesting is Kali Linux, de opvolger van het populaire, op Knoppix gebaseerde BackTrack. Kali Linux werd in 2013 van de grond af herschreven en is op Debian gebaseerd. Deze distributie bevat enkele honderden pentesting-applicaties en bestrijkt zowat het hele werkveld van de (ethisch) hacker, met tools voor onder meer het verzamelen van informatie, social engineering, sniffen en spoofen, het kraken van wachtwoorden, het analyseren van kwetsbaarheden, het aanvallen van draadloze netwerken, enz.

Kali Linux is beschikbaar voor diverse platformen, met name i386, AMD64 en ARM. Het laat zich als nieuw systeem of in een dualboot-configuratie installeren, maar je kunt het tevens op een live medium plaatsen of binnen een virtuele machine draaien. Voor dit artikel gaan we uit van dit laatste scenario. We maken hiervoor gebruik van de gratis hosted hypervisor Oracle VM VirtualBox, met Windows 10 als host. Via deze tool gaan we bovendien enkele doelsystemen (targets) virtualiseren. Immers, virtualisatie biedt niet alleen een veilig afgeschermde omgeving voor je experimenten, maar met behulp van de ingebouwde snapshot-functie kun je ook snel terugkeren naar een eerdere situatie.

Een logisch begin is dus het opzetten van ons virtueel lab. Naast Kali Linux heb je bij voorkeur ook enkele uiteenlopende doelmachines beschikbaar, zoals een Linux-distributie, een oudere Windows-versie (XP) en een recentere Windows-versie, zoals Windows 7 en/of 10.

Virtual Box

Download en installeer alvast de nieuwste versie van VirtualBox. Het is onze bedoeling deze systemen via een virtueel netwerk met elkaar te verbinden, waarbij die met behulp van NAT en een virtuele gateway het internet kunnen bereiken.

Dit scenario bereid je het best als volgt voor. Start VirtualBox op en kies Bestand / Voorkeuren. In de rubriek Algemeen leg je de standaardmap voor je virtuele machines (vm’s) vast, waarbij je een locatie kiest met flink wat vrije ruimte. Ben je niet zo bekend met VirtualBox, bekijk dan zeker ook even beide tabbladen in de rubriek Invoer, want die tonen een hele reeks nuttige sneltoetsen.

Open ook de rubriek Netwerk, waar je vastlegt hoe de virtuele machines met elkaar communiceren. Op het tabblad NAT-netwerken klik je de groene plusknop aan en dubbelklik je vervolgens op het toegevoegde item. Hier kun je als je wilt de naam (NatNetwork), de Netwerk CIDR (10.0.2.0./24) en enkele netwerkopties wijzigen. Je kunt echter ook gewoon de standaardkeuzes gebruiken, inclusief dhcp-ondersteuning. Zorg wel dat er een vinkje staat bij Inschakelen netwerk en bevestig je keuzes.

©PXimport

Kali downloaden en installeren

We zijn nu klaar om onze virtuele machines te installeren en het testplatform Kali Linux lijkt ons een logische eerste kandidaat. Wij kiezen Kali Linux Vbox 64 Bit Ova, een open virtual appliance die je als volgt in VirtualBox installeert. Ga naar Bestand, kies Appliance importeren, verwijs naar het uitgepakte bestand en druk op Volgende. Via een dubbelklik op de naam kun je die aanpassen als je wilt. Je zet de operatie in gang met de knop Importeren. Na afloop kun je de vm opstarten. Inloggen doe je met de standaard gebruikersnaam root en het wachtwoord toor. Als het goed is verschijnt even later de Kali-desktop.

Het is nu tijd om de doelsystemen te installeren waarop we de pentests van Kali – op een veilige manier – kunnen uitproberen. Een dankbaar target is Metasploitable: een Ubuntu-distributie die door de makers van het populaire exploit-ontwikkelingsplatform MetaSploit werd vrijgegeven en waarin met opzet diverse kwetsbaarheden werden ingebouwd. Je vindt de download hier, dat uitgepakt onder meer een vmdk-bestand oplevert. Je haalt dat als volgt naar VirtualBox: klik op Nieuw, vul als Type Linux en bij Versie Ubuntu (64-bit) in. Je kunt volstaan met 1 GB ram. Selecteer Gebruik een bestaand virtuele harde schijf bestand en verwijs naar het vmdk-bestand. Inloggen op het systeem doe je standaard met msfadmin, zowel voor de gebruikersnaam als het wachtwoord.

Een paar Windows-systemen als target zijn zeker ook wenselijk. Die vind je gratis en bruikbaar gedurende 90 dagen in de vorm van deze handige ova-appliances, althans voor Windows 7 (x86) en Windows 10 (x64). Bij Select platform selecteer je VirtualBox.

Voor Windows XP kun je hier jammer genoeg niet meer terecht, maar we vonden een download op Softlay.net, via het uitklapmenu Windows / Windows XP ISO (het betreft Windows XP Professional SP3), waarna die zich moeiteloos liet installeren binnen VirtualBox.

Bij Windows XP en 7 doe je er wel goed aan de functie automatische updates meteen na de eerste opstart uit te schakelen, want voor onze experimenten zijn we juist geïnteresseerd in ongepatchte systemen. Dat kan via het Windows Configuratiescherm (Control Panel) in Classic View, waarna je bij System het tabblad Automatic Updates opent en Turn Off Automatic Updates selecteert.

©PXimport

Pentesting-tools

Alles is nu in gereedheid om met Kali aan de slag te gaan. Zoals gezegd bevat Kali enkele honderden pentesting-tools en die vind je op het bureaublad overzichtelijk gerubriceerd onder het menu Applications.

De rubriek Information gathering bevat maar liefst tien subcategorieën (met in totaal meer dan vijftig tools), waaronder DNS Analysis, IDS/IPS Identification, Live Host Identification en Network & Port Scanners. We maken kennis met twee bekende tools: Dmitry en Maltego.

Dmitry is een opdrachtregel-tool die je kunt inzetten voor een whois-lookup van een host, het scannen naar open tcp-poorten en het identificeren van subdomeinen. Bij de opstart toont de applicatie je al meteen enkele nuttige parameters. In zijn eenvoudigste vorm ziet een commando er als volgt uit:

dmitry <domein> </domein>

(bijvoorbeeld ‘dmitry google.com’). Je krijgt nagenoeg onmiddellijk heel wat informatie terug over het bevraagde domein, waaronder ip-adres, nameservers, registrar, subdomeinen, enzovoort. Je kunt ook specifiek naar poorten scannen (via de switch -p) en je virtuele Metasploitable-machine is een dankbaar slachtoffer. Je moet deze vm dan natuurlijk wel ook eerst opstarten – het interne ip-adres kun je hier opvragen met het shell-commando

ifconfig

Om ook de banners van de poorten te zien, zodat we de versie van de software vernemen die instaat voor de services, gebruik je de -b switch:

dmitry -pb 10.0.2.5

(het ip-adres binnen ons eigen virtueel netwerk).

©PXimport

Maltego-transforms

Een information gathering-tool met een geheel andere aanpak is het populaire – en behoorlijk indrukwekkende - Maltego. Dat bevraagt op een slimme manier publiek toegankelijke informatie over organisaties. Kali bevat de gratis community edition van Maltego, maar voor je hier daadwerkelijk mee aan de slag kunt moet je je registreren. Vervolgens kun je Maltego opstarten en je bij de service aanmelden met je accountgegevens.

Pas daarna zal Maltego de publieke transforms in zijn database laden. Transforms zijn analytische processen die publieke data over het beoogde doelwit opvragen en vervolgens die data transformeren naar een boomdiagram van gerelateerde informatie. Er zijn heel wat transforms beschikbaar in Maltego, maar je kunt desgewenst ook je eigen transforms scripten.

In de gui-interface van Maltego zie je een paneel met beschikbare transforms: de Paterva CTAS CE transform is standaard al geïnstalleerd. Bekende transforms zijn onder meer nog Cisco Threat Grid, Blockchain.info (Bitcoin), Have I Been Pwned?, VirusTotal Public API, Social Links en Kaspersky Lab. Die kun je eveneens installeren, maar meestal heb je daarvoor een token of een API-sleutel nodig die je bij de desbetreffende websites kunt ophalen.

Om een nieuw diagram te starten vanuit de Maltego-gui klik je linksboven het plusknopje New aan. In het Palette-paneel tref je een aantal transform-functies aan, waaronder Infrastructure, Locations, Malware, Personal en Social Network.

We beperken ons hier tot een tweetal voorbeelden.

©PXimport

Beginnen we met de rubriek Infrastructure, waar je de Domain-functie naar het canvas versleept. Dubbelklik op het toegevoegde item en vul de beoogde domeinnaam in. Vervolgens rechtsklik je op het item: je krijgt nu de beschikbare transforms te zien. Via het knopje Configure kun je individuele taken aanpassen en verwijderen, maar je kunt in één keer ook Run All kiezen, bijvoorbeeld bij het onderdeel DNS from Domain. Het resultaat, zowel tekstueel als grafisch, laat niet lang op zich wachten: je krijgt onder meer alle websites, nameservers en mailservers van dat domein te zien. Je kunt echter ook rechtsklikken op elk van deze subitems om nog meer details op te vragen. Het is tevens mogelijk de grafiek te bewaren en te delen.

Open ook even de rubriek Personal en sleep Person naar het canvas. Via een dubbelklik vul je de gewenste persoonsnaam in, waarna je hier alle transforms op laat uitvoeren (je hoeft niet noodzakelijk specifieke domeinen in te vullen). Voor Twitter moet je wel eerst even je autorisatie geven.

Met wat geluk duiken meteen een aantal websites, e-mailadressen en telefoonnummers op die met de beoogde persoon verband houden. En ook hier kun je nog meer transforms loslaten op elk van deze subitems, zodat je extra e-mailadressen, tweets, enzovoort te zien krijgt.

Dit zijn slechts twee van de tools die je met Kali Linux tot je beschikking hebt. Veel testplezier!

▼ Volgende artikel
Mazda’s nieuwe koers: de luxueuze, zevenzits CX-80
Mobiliteit

Mazda’s nieuwe koers: de luxueuze, zevenzits CX-80

Er was best wat kritiek op de Mazda CX-60. Met inachtneming van de verschillende punten pakken de Japanners nu door met een luxe, zevenzits SUV. Het nieuwe topmodel biedt onder meer 2,5 ton trekgewicht en tot 63 kilometer volledig elektrisch rijden. Irwin van InstaAutoVlog bespreekt de Mazda CX-80 PHEV.

Dit artikel in het kort:

  • Mazda heeft de CX-80 ontwikkeld als luxe zevenzits SUV, met een verbeterde focus op rijcomfort.
  • De auto is 25 centimeter langer dan de CX-60 en biedt meer binnenruimte.
  • Het interieur is van hoge kwaliteit en biedt nieuwe technologieën zoals Chat GPT en een Alexa-spraakassistent.
  • De CX-80 combineert een uitgebalanceerde rijervaring met comfort en wendbaarheid.

Lees ook: Rijden met de nieuwe Renault 5: Overtreft alle verwachtingen

Ze hebben zich bij Mazda eens flink achter de oren gekrabd. De huidige generatie CX-60 is gewoon niet goed genoeg. De plug-in hybride aandrijflijn ten spijt: er is bij de ontwikkeling van de zo'n twee ton zware wagen te veel op dynamische rijeigenschappen gericht. Het resultaat was een op alle fronten onrustige auto die de aantrekkelijkheid drastisch reduceerde.

25 centimeter langer

De Mazda CX-80 is een net geen vijf meter lange SUV. Een auto in de klasse van de Kia EV9 en de Volvo XC90. Met een breedte van 1,89 meter is hij net zo breed als de '60', maar door de langere en hogere daklijn is hij met 1,75 meter zo'n tweeënhalve centimeter hoger. Bijzonder is de wielbasis. Zo is de CX-80 25 centimeter langer dan de '60' en die kwart meter vind je compleet tussen de voor- en achteras. Met een totaal van 3,12 meter overklast de wagen daarmee zowel de Koreaan als de Zweed en dit alles belooft veel goeds voor de binnenruimte. 

Meld je aan voor de E-bakfiets Duurtest-resultaten

Door het invullen van jouw naam en e-mailadres meld je je aan voor ontvangst van de Kieskeurig.nl E-bakfiets Duurtest resultaten. Tevens ben je ingeschreven voor de Kieskeurig.nl nieuwsbrief.

©Irwin Versteegh - Duijnstee

Artisan Red

De instap is op heuphoogte en opvallend is het compleet andere gevoel. Ik lijk iets hoger te zitten waardoor het sportievere karakter van de '60' op een lager pitje is gezet. Voor de rest is het interieur - op een aantal details na – identiek. We zien dezelfde hoge mate van afwerkingskwaliteit in combinatie met een uitmuntende bouwkwaliteit en aandacht voor details.

De testauto was een Takumi Plus-uitvoering, voorzien van een ivoorwit lederen interieur. De combinatie met het Artisan Red-jasje van de testauto en de zogeheten Melting Copper zorgt voor een chic, doch opvallend kleurenpalet. 

Lees ook: De nieuwe Mitsubishi Outlander PHEV: zwaarlijvig, maar nog altijd uniek

©Irwin Versteegh - Duijnstee

Ontdek jouw ideale elektrische auto

Vergelijk en vind de beste deals op Kieskeurig.nl!

Alexa en ChatGPT 

Wat opvalt, is een vernieuwd infotainment- en navigatiesysteem met ChatGPT en een Alexa-spraakassistent. Ook de nieuwe doorkijkfunctie voor de 360graden-camera is handig, evenals de speciale trekhaakmodus.

Jammer is dat Mazda vooralsnog vasthoudt aan de controller op de middentunnel. Een groter touchscreen werkt overzichtelijker. Een ander detail is de climate control-functie voor de achterste passagiers die je voorin in of uit kunt schakelen. 

©Irwin Versteegh - Duijnstee

Propere 7-zitter

Die tweede zitrij is een sterk punt. De instap is riant en ook de ruimte en het zitcomfort zijn prima. Het enige smetje is de fikse cardantunnel. De achterbank is in de lengte verschuifbaar en dat is nodig als er extra personen op de derde zitrij plaatsnemen. Klap je in één beweging de rugleuning naar voren, dan ontgrendelt ook de zitting.

Mazda communiceert een comfortabele zitting voor personen tot 1,70 meter, maar zelf blijk ik met mijn 1,84 meter prima te kunnen zitten. Sterker nog, in vergelijking met de Volvo EX90 beschik ik over meer been- en hoofdruimte. Zijn zeven zitplaatsen net iets te veel, dan is er ook een zeszitter beschikbaar. 

©Irwin Versteegh - Duijnstee

Hoog vermogen en trekgewicht

Aandrijftechnisch leunt de CX-80 op eenzelfde basis als de '60'. Dat betekent een 175 pk sterke elektromotor die via een 8-traps automaat met een 2,5 viercilinder Skyactiv benzinemotor samenwerkt. Het gecombineerde vermogen bedraagt 327 pk en mede daardoor mag hij maar liefst 2500 kilogram trekken.

Dankzij een 17,8kWh-batterij kun je maximaal 63 kilometer volledig elektrisch rijden. Een 60liter-benzinetank neemt het vervolgens over. Reken dan op zo'n 700 kilometer gecombineerd rijbereik.

Qua prestaties voelt de '80' krachtig en diverse aanpassingen aan de software maken de aandrijflijn iets prettiger dan die in de '60'. Toch blijft het geheel vrij onrustig. Zeker in vergelijking met de volledig elektrische concurrentie of een plug-in hybride Santa Fe. Die voelt net even verfijnder. 

©Irwin Versteegh - Duijnstee

Fijne rijdynamiek

Qua rijcomfort blijkt de CX-80 een echte Mazda, en nee, dan niet zoals de '60'. De '80' voelt uitgebalanceerd, comfortabel en rustig, maar dan wel met een 'betrokken randje'. Het hoeft niet, maar de vierwielaangedreven CX-80 is dankzij zijn achterwielaangedreven basis verrassend wendbaar en ook de stuurinstallatie voelt prettig.

 Meer weten over de nieuwe Mazda CX-80 PHEV? Bekijk dan de video van InstaAutoVlog. 

Watch on YouTube


▼ Volgende artikel
Koffiebonen of gemalen koffie: wat is beter?
Huis

Koffiebonen of gemalen koffie: wat is beter?

Ga je voor snelheid en gemak, dan is gemalen koffie voor jou de beste keuze. Maar gaat het je vooral om de smaak, dan ben jij team koffiebonen. In dit artikel lees je alles over de kunst van het malen én we onthullen het geheim achter het ultieme kopje koffie.

In dit artikel ontdek je wanneer je het beste kunt kiezen voor koffiebonen of gemalen koffie.

  • Versgemalen koffiebonen zorgen voor de beste smaak en aroma’s, ideaal voor een heerlijk kopje koffie.
  • Gemalen koffie is sneller en vaak voordeliger, en het scheelt je een extra apparaat op het aanrecht.
  • Kwaliteit is cruciaal: kies daarom altijd voor goede bonen en maal ze vlak voordat je je koffie zet.

Wil je je eigen koffiesmaak nog een beetje ontdekken? Lees dan: Verschillende soorten koffiebonen: welke kies je?

Koffiebonen of gemalen koffie?

Eigenlijk hebben we het al verklapt. Maar dat komt omdat het antwoord op deze vraag zo duidelijk is:

• Ga je voor de beste smaak? Dan koop je goede koffiebonen en maal je ze zelf.
• Ga je voor snelheid en gemak? Dan is gemalen koffie een goede keuze.

Goede koffiebonen kunnen soms best prijzig zijn. Dat komt vooral omdat je – als het goed is – voor de betere bonen kiest. Want dat komt de smaak van je koffie zeker ten goede.

Om koffiebonen te malen heb je natuurlijk een koffiemolen nodig. Er zijn handmatige molens, waarmee je koffiezetten een echt rustmoment wordt – perfect voor ontspannen zondagochtenden. Voor doordeweekse dagen is een elektrische molen echter een stuk praktischer.

Waarom zou je zelf je bonen malen?
Versgemalen koffiebonen zorgen voor de maximale versheid, smaak en aroma's. Hele bonen blijven langer vers dan gemalen koffie, dat sneller smaak verliest door blootstelling aan zuurstof en vocht. Bovendien komen de smaakvolle oliën pas vrij wanneer je de bonen zelf maalt, wat je koffie nog lekkerder maakt. Een ander voordeel is dat je de maalgraad kunt aanpassen aan je persoonlijke voorkeur en de zetmethode die je gebruikt.

©Natsicha

Maal je bonen pas als je koffie gaat zetten

Wat vooral belangrijk is wanneer je zelf bonen gaat malen, is dat je het doet vlak voordat je de koffie zet. Binnen een minuut vervliegen al zo veel oliën dat je de helft van de smaak verliest. Vijftig procent. Binnen één minuut. Dat verklaart meteen waarom het vooruit malen voor de hele week geen zin heeft. dan kun je net zo goed kant-en-klaar gemalen koffie kopen!

De maalgraad

De maalgraad speelt een grote rol in de smaak en extractie van je koffie. Dit verwijst naar hoe fijn of grof de koffie is gemalen. Bij de juiste korrelgrootte stroomt het water gelijkmatig door de koffie, waardoor elk deeltje precies genoeg smaak afgeeft. Hoe fijner de maling, hoe groter het oppervlak dat in contact komt met het water, wat de smaakextractie beïnvloedt. De maling bepaalt dus de snelheid waarmee het water de smaken en aroma’s uit de koffiebonen haalt.

Natuurlijk heb je een persoonlijke voorkeur. Niet alleen voor koffiebonen, maar ook voor de maling. Toch passen bepaalde malingen beter bij sommige zetmethoden.

  • Espresso: voor espresso is een fijne maling nodig. Het lijkt op fijne suiker of zelfs bloem. Deze maling zorgt voor de juiste druk en doorlooptijd om een geconcentreerde shot espresso te maken.

  • Filterkoffie: bij filterkoffie past een gemiddelde maling, te vergelijken met tafelzout. Deze maling is grover dan espresso en fijner dan voor een French press. Dit zorgt ervoor dat de koffie niet bitter wordt. Het gekozen filter speelt overigens ook een rol.

  • French press: voor een French press, ook wel cafetière genoemd, gebruik je een grove maling. De korrels zijn vergelijkbaar met grof zeezout dat je met een molen maalt. Omdat bij deze zetmethode het water langer in contact blijft met de koffie, zorgt deze grove maling ervoor dat de koffie niet te sterk wordt.

  • Percolator: een percolator werkt goed met een maling die iets grover is dan die voor espresso, maar fijner dan voor een French press. Daarmee bereik je een goede balans tussen smaak en extractie in de percolator.

Lees ook: Van French press en filter tot slow drip en espressomachine: hoe zet jij je koffie?

©saiparn

Koffiebonen of gemalen koffie bewaren?

In een luchtdichte opbergbox blijven geur en smaak behouden!

5 tips voor het malen van koffiebonen

Nu wil je natuurlijk zelf aan de slag! Let op deze tips om jouw perfecte bakkie troost te zetten:

Tip 1: Kies de juiste maling

De maalgraad hangt af van je smaak en de zetmethode, zoals je hierboven kunt lezen.

Tip 2: Investeer in een goede molen

Er bestaan diverse soorten koffiemolens, maar over het algemeen vallen ze in twee categorieën: molens met messen en molens met maalschijven. De koffiemolen met messen is vaak de keuze voor mensen met een beperkt budget. Een maalschijf-koffiemolen heeft meer kwaliteit en maalt de koffiebonen beter. Deze machines gebruiken ze in de horeca ook. Een derde categorie zijn de apparaten om koffie met de hand te malen.

Tip 3: Experimenteer

Wees niet bang om met verschillende maalinstellingen te experimenteren tot je de juiste smaak vindt.

Tip 4: Maal alleen wat je nodig hebt

Versgemalen koffie smaakt het beste. Maal daarom alleen de hoeveelheid koffiebonen die je onmiddellijk gaat gebruiken om de versheid te behouden.

Tip 5: Houd de molen schoon

Reinig je koffiemolen regelmatig om ophoping van koffie-oliën en oude koffieresten te voorkomen, want dat kan de smaak beïnvloeden.

Toch gemalen koffie?

Niet iedereen heeft altijd de tijd om bonen vers te malen. Als je toch kiest voor gemalen koffie, let dan op of de verpakking een ventiel heeft. Koffie stoot namelijk CO2 uit, wat via het ventiel kan ontsnappen. Tegelijkertijd voorkomt het ventiel dat er zuurstof naar binnen komt, wat oxidatie en smaakverlies veroorzaakt. Zo blijft je gemalen koffie zo vers mogelijk.