Hay una gran cantidad de herramientas para hacer muchas cosas, como olfatear, escanear e incluso puertas traseras. Sin embargo, me cuesta mucho confiar en estas herramientas. Cuando los instalo en casa y apunto a mis computadoras, ¿cómo puedo confiar en que las herramientas que estoy usando no me hacen daño?
Ejemplo 1 - Metasploit, especialmente Meterpreter : uso Metasploit. Con un exploit confiable, eso me da una conexión de Meterpreter. ¿Cómo puedo confiar en que Meterpreter, de hecho, hace lo que dice hacer y no abre puertas traseras aquí y allá? Considero que esta herramienta es un estándar de la industria para su propósito en cierto sentido, pero aún así, ¿confías en ella?
Ejemplo 2 - Google : Ratproxy es un producto de Google, y eso suena confiable, ¿verdad? También es de código abierto. ¿Pero solo es Google el que lo desarrolla? Probablemente me llevaría un año leer y entender todo el código. ¿Cómo se puede confiar en esto? ¿Confías en ello?
Ejemplo 3 - Herramientas en línea : En este momento, uso herramientas en línea para hacer algunas cosas, como la codificación base64. Entonces necesito confiar en la herramienta con JavaScript. Es bastante fácil mirar el código JavaScript, pero llevaría menos tiempo escribir una herramienta de codificador y decodificador Base64 con GUI. Haré esto, pero hasta entonces, solo tengo que confiar en estas herramientas. ¿Cómo confías en herramientas similares? ¿Usted?
Ejemplo 4 - Burp Suite : Burp Suite realmente parece ser la herramienta # 1 "HTTP-proxy y más" para usar, pero es propietaria y No es de código abierto. Está escrito en Java, pero probablemente se ofuscó correctamente, por lo que no podemos saber exactamente qué hace. ¿Digno de confianza? "¡Por supuesto, úsalo! Todos mis amigos lo usan ..." !?
Ejemplo 5 - Paquetes : hay algunos paquetes de herramientas de seguridad por ahí. Específicamente, me gustaría hablar sobre Kali / Backtrack. Viene con muchas herramientas. ¿Confías en su selección de herramientas? ¿Confías en la propia empresa? Por supuesto, con esa cantidad de herramientas, no pueden saberlo todo acerca de todas las herramientas, pero creo que son personas inteligentes, entonces la pregunta es si solo agregaron las herramientas en las que confían ellos mismos o simplemente agregaron todo lo que sus usuarios ¿Le gustaría ver en el paquete / distribución?
Discutan en torno a esos ejemplos y quizás presenten sus propios ejemplos. ¿En qué herramientas deberíamos confiar? ¿Por qué? ¿Cuál es tu definición de confianza? El mío es que lo ejecutaría en mi propia computadora de escritorio (no en VM).
EDITAR: Además, ¿cómo podemos distinguir entre las herramientas que se crearon con las siguientes filosofías?
"Haré esta herramienta porque odio a los chiquillos de script, así que los dañaré y los usaré para mis propios propósitos". y
"Haré que esta herramienta me facilite la vida como investigador de seguridad y probador de lápiz, y si es buena, la compartiré con la comunidad".