Здравствуйте, дорогие друзья.

В свете «Hacker Summer Camp 2022» (BlackHat USA, BSides LV и DEFCON), который проходит прямо сейчас, мы хотели выпустить Kali Linux 2022.3 в качестве приятного сюрприза для всех! С публикацией этого сообщения в блоге у нас есть ссылки для загрузки, готовые для немедленного доступа, или вы можете обновить любую существующую установку.

Основные моменты выпуска Kali 2022.3:

• Discord Server — запущена новая опция чата сообщества Kali в режиме реального времени!

• Test Lab Environment — быстро создайте тестовую среду, чтобы изучить, попрактиковаться и протестировать инструменты, а также сравнить их результаты.

• Открытие репозитория Kali-Tools. Мы открыли репозиторий инструментов Kali и принимаем ваши заявки!

• Требуется помощь — мы ищем разработчика Go, который поможет нам в проекте с открытым исходным кодом.

• Обновления Kali NetHunter — новые релизы в нашем магазине NetHunter

• Обновления виртуальных машин — новый формат образов VirtualBox, еженедельные образы и сценарии сборки для создания собственных

• Новые инструменты в Kali — не было бы релиза без новых инструментов!

Кали в Дискорде

Мы запустили новый дискорд-сервер Kali Linux & Friends. Это наше новое место, где сообщество Kali может собраться и пообщаться в режиме реального времени обо всем, что касается Kali Linux (а также других проектов сообщества, которые может предложить OffSec).

Это сервер сообщества, и у всех общие интересы. У нас нет цели привлечь как можно больше пользователей. Вместо этого мы создаем пространство друг для друга, чтобы помогать друг другу. Мы ориентируемся на качество, а не на количество. Пожалуйста, имейте в виду, что если вы ищете помощи, сначала найдите свою проблему, задайте вопросы, а затем ждите поддержки сообщества от ваших коллег. Помните, что никто не обязан вам помогать, и вы, скорее всего, получите помощь, если будете вежливы и покажете, что приложили усилия для решения своей проблемы.

Говоря о «общении в реальном времени», мы собираемся начать новую традицию. Мы будем проводить часовую сессию после каждого выпуска Kali, на которую будут приходить различные разработчики Kali и общаться в голосовом чате в Discord, отвечать на вопросы о Kali и ее направлении, прислушиваться к вам и так далее. Мы обязательно добавим подробности об этом в каждом выпуске блога в будущем.

Первый состоится во вторник, 16 августа 2022 г., с 16:00 до 17:00 UTC/+0 GMT.

Не стесняйтесь, и приходите, чтобы поздороваться или задать вопросы! Это отличная возможность задать вопросы, поделиться своим мнением о том, что может помочь улучшить Kali, или принять участие и внести свой вклад!

Обратите внимание, мы не будем вести запись этих сессий. Это только живые сеансы.

Почему Дискорд? Это распространенная и популярная платформа, которая с годами стала очень популярной. Люди уже прошли процесс регистрации и ознакомления с пользовательским интерфейсом. Для тех, кто этого не делает, вы можете зарегистрироваться и в течение нескольких минут общаться в чате. Начать работу легко и просто.

Чат в реальном времени можно рассматривать как социальную сеть, поскольку он хорош настолько, насколько хороши люди, которые в нем участвуют.

Почему бы не использовать Матрицу? Короче говоря, по тем же причинам, что и выше — это пользовательская база. Углубляясь немного глубже, барьер входа выше. Его немного сложнее настроить, и он не так удобен для пользователя.

Матрица великолепна (и многие члены команды используют ее ежедневно)! Kali является открытым исходным кодом, поэтому использование решений с открытым исходным кодом для соответствия имеет смысл. Но мы не пытаемся быть законодателями моды — мы идем с толпой. Мы считаем, что ключом к успешному сообществу является само сообщество. Мы не хотим изобретать велосипед, мы не хотим, чтобы люди снова подписывались на другой сервис, используя другое приложение для чата, еще одну вещь, которая дает вам уведомления. Если люди уже там, мы идем с ними.

Наконец, мы не хотим сосредотачиваться на запуске и обслуживании инфраструктуры автономного решения для чата в реальном времени, поскольку это уводит нас от разработки ОС со всем, что с ней связано.

Что случилось с IRC? Короче, все еще есть. Мы все еще используем его с точки зрения разработки Kali. Сеть могла измениться (с Freenode на Libera Chat), но мы по-прежнему используем Internet Relay Chat.

Во времена расцвета Freenode это было именно то, что нужно. «Все» были на нем. Он действительно начал медленно терять некоторых пользователей до краха в 2021 году. Libera Chat вмешался и восстановил некоторые из сломанных частей, но различные дома перешли на другие сети или даже протоколы.

Каналы IRC общедоступны, так что любой может присоединиться к процессу разработки. Однако внимание сообщества Kali будет сосредоточено на Discord.

Среда тестовой лаборатории

«Мастер хорош ровно настолько, насколько хороши его инструменты».

Это правда, даже за пределами области информационной безопасности вам нужно понимать свои инструменты, чтобы овладеть своим ремеслом. Вы можете прочитать их код, чтобы понять, как они работают (или иногда очень подробный README), экраны справки и их руководства (если они есть) дадут вам отправную точку в том, как их использовать. Но где вы их используете, особенно когда они являются инструментами безопасности? Какой результат должен дать инструмент? Как долго работает инструмент? Какова его основа? Как я могу получить опыт с ним? Все действительные вопросы, которые требуют ответов.

Чтобы попытаться получить эти ответы, большинство опытных профессионалов сначала потренируются (надеюсь, в известной, контролируемой среде!). Здесь в игру вступает «испытательный стенд/лаборатория». Теория отличается от практики (вы можете вспомнить это, когда вам впервые поручили выполнить что-то новое). Вы можете брать основанные на статической теории выходные данные с экранов справки, README и справочных страниц и вручную вводить данные в программы и отслеживать динамические выходные данные и практический ответ. Одно дело что-то читать, другое — делать. Результат часто дает людям более глубокое понимание.

Практика делает ~совершенное~ постоянным. Так что практика, практика, практика! Пытливые умы могут затем начать экспериментировать с новыми конфигурациями, опциями, командами и флагами. Затем начните объединять элементы в цепочку или сравнивать похожие и альтернативные решения, а затем сравнивать результаты, чтобы стать более образованным и создать эталон знаний. Это увеличивает опыт.

Мы пытаемся упростить создание вашей тестовой лаборатории. Итак, мы упаковали:

DVWA — чертовски уязвимое веб-приложение

Juice Shop — OWASP Juice Shop

Все, что вам нужно сделать, это apt install <package>, иначе вы можете использовать метапакет kali-linux-labs, чтобы получить их все! Этот список будет пополняться в следующих выпусках Kali!

Иногда вы можете запускать коды, разработанные с учетом уязвимости. Примите необходимые меры для защиты вашей среды.

Практикуйте инструменты, оттачивайте навыки и тестируйте альтернативы.

Кали для виртуальных машин

Мы уже предоставили образы Kali Linux для VMware и VirtualBox с самого начала. В этом выпуске есть несколько изменений, которые стоит отметить.

Теперь мы распространяем образ VirtualBox в виде VDI-диска и файла метаданных .vbox, или, короче говоря, в родном формате для образов VirtualBox. Загрузка должна быть немного быстрее, так как эти образы имеют лучшую степень сжатия по сравнению с файлом OVA, которые мы использовали для предоставления. Его также должно быть немного проще использовать, вам просто нужно распаковать образ в папку VirtualBox и запустить его. Если вам нужна помощь, обратитесь к нашей документации: Import Pre-Made Kali VirtualBox VM.

Кроме того, мы только что начали предоставлять еженедельные сборки наших образов виртуальных машин. Эти образы собраны из ветки kali-rolling, что означает, что они имеют самые последние пакеты, но, с другой стороны, они не подвергаются такому тщательному тестированию, как наши ежеквартальные выпуски.

И последнее, но не менее важное: скрипты, которые мы используем для создания этих образов, теперь доступны на GitLab. Если вам нужно создать собственные образы виртуальных машин Kali, это то, что вам нужно!

Требуется помощь

Ты знаешь Go? Команда Kali ищет помощи! Бонусные баллы, если вы также знаете Redis!

Эта работа будет входить в уже существующий проект с открытым исходным кодом, MirrorBits. У нас есть несколько желательных функций, которые мы хотели бы добавить в него.

Заинтересованы? Давай поговорим. Пожалуйста, свяжитесь с нами по электронной почте icanhelp по адресу kali dot org или напрямую в Твиттере. Если у вас есть какие-либо предыдущие работы для демонстрации, даже лучше.

Почему вы, ребята, этого не делаете? У нашей команды разработчиков есть максимально расширенная дорожная карта, и мы не хотим ждать, пока элементы будут закрыты, прежде чем это пойдет в производство.

Другие обновления Кали

Для людей, которые используют Xrdp (например, Win-KeX), появился новый вид входа в систему.

Мы исправили некоторую путаницу между fuse и fuse3.

Мы немного отремонтировали наш сетевой репозиторий и уменьшили /kali с 1,7 Тб до 520 Гб!

Новые инструменты в Кали

Это не было бы выпуском Kali, если бы не было добавлено никаких новых инструментов! Краткий обзор того, что было добавлено (в сетевых репозиториях):

• BruteShark — инструмент сетевого анализа

• DefectDojo — инструмент корреляции уязвимостей приложений с открытым исходным кодом и оркестровки безопасности

• phpsploit — стелс-фреймворк после эксплуатации

• shellfire — использование уязвимостей LFI/RFI и внедрения команд

• SprayingToolkit — атаки с распылением паролей на Lync/S4B, OWA и O365

Также было выпущено множество обновлений пакетов.

На этом все. Всем хорошего дня!

Источник: https://www.kali.org/blog/kali-linux-2022-3-release/