Περπατώντας τη λεπτή γραμμή ανάμεσα σε ένα εργαλείο και ένα όπλο
Το έργο Metasploit είναι φανερά μια ομάδα που έχει δημιουργηθεί για να "παρέχει χρήσιμες πληροφορίες σε άτομα που εκτελούν δοκιμές διείσδυσης, ανάπτυξη υπογραφών IDS και εκμεταλλεύονται την έρευνα".
Η πιο πρόσφατη έκδοση, η έκδοση 2.0 του Metasploit Framework, ισχυρίζεται ότι είναι "μια προηγμένη πλατφόρμα ανοιχτού κώδικα για την ανάπτυξη, τη δοκιμή και τη χρήση κώδικα εκμετάλλευσης".
Παρόλο που είναι αλήθεια ότι τα εργαλεία και η λειτουργικότητα που ενσωματώνονται στο Metasploit Framework μπορεί να αποδειχθούν πολύτιμα για έναν ελεγκτή ασφαλείας ή έναν ελεγκτή διείσδυσης που θα χρησιμοποιήσει για την επαλήθευση της ασφάλειας ενός συστήματος ή δικτύου, είναι πιθανώς τόσο αληθινό ή περισσότερο, ώστε script-kiddies άλλοι hackers wannabe ή προγραμματιστές κακόβουλου κώδικα ενδέχεται να χρησιμοποιήσουν το εργαλείο αυτό ως ρητή λωρίδα ή γρήγορη διαδρομή για να τους βοηθήσει να δημιουργήσουν εκμεταλλεύσεις και κακόβουλο λογισμικό.
Δεν γνωρίζω αρκετά για το έργο Metasploit ή για τους προγραμματιστές που εργάστηκαν σε αυτό το βοηθητικό πρόγραμμα για να δηλώσουν εάν τα κίνητρά τους ήταν καθαρά. Φαίνεται ότι συχνά η γραμμή μεταξύ της παροχής ασφάλειας δικτύων και της θραύσης της ασφάλειας του δικτύου είναι μια λεπτή και δεν παίρνει πολλά για κάποιον άλλο λογικό άνθρωπο να κατηγορεί τους ερευνητές ασφαλείας ή τους διαχειριστές λιγότερο από τις έντιμες προθέσεις. Μερικοί υποθέτουν ότι ο καθένας στην ασφάλεια δικτύων είναι επίσης ένας χάκερ στο πλάι και πολλοί αμφισβητούν την αληθινή πρόθεση εργαλείων που διπλασιάζουν τα ισχυρά όπλα για script-kiddies.
Ακόμα και αν υποθέσουμε ότι ο στόχος τους είναι πραγματικά να παρέχουν χρήσιμες πληροφορίες και εργαλεία για να βοηθήσουν στην περαιτέρω διερεύνηση της ανάπτυξης και της ασφάλειας, δεν αλλάζει το γεγονός ότι το εργαλείο είναι διαθέσιμο για όλους και ότι δεν υπάρχει τρόπος να προβλεφθεί ή ελέγχει τι θα κάνει ο τελικός χρήστης με αυτό.
Το έργο Metasploit αναφέρει ότι το πλαίσιο Metasploit μπορεί να συγκριθεί με ακριβά εμπορικά προϊόντα, όπως ο CANVAS της Immunity ή ο βασικός αντίκτυπος της Core Security Technology. Αυτά τα εργαλεία παρέχουν επίσης την ίδια ή παρόμοια λειτουργικότητα. Ένας από τους κύριους λόγους για τους οποίους δεν έχουν έρθει στο πλαίσιο ελέγχου του πλαισίου Metasploit είναι η τιμή. Επειδή λίγοι μπορούν να αντέξουν οικονομικά αυτά τα πακέτα, θέτουν μικρούς κινδύνους, αλλά αν παίρνετε την ίδια δύναμη και την διανέμετε ελεύθερα υπάρχει μεγαλύτερη ανησυχία ότι οι λάθος άνθρωποι θα το χρησιμοποιήσουν για λάθος λόγους.
Το Πλαίσιο Metasploit φαίνεται να είναι ένα ισχυρό εργαλείο. Κατέβασα ένα αντίγραφο για να παίξω με τον εαυτό μου - στο δικό μου δίκτυο ενάντια στους υπολογιστές του εργαστηρίου μου. Νομίζω ότι για τους διαχειριστές ασφαλείας μπορεί να αποδειχθεί πολύτιμη στη μάχη για να εξασφαλίσει τον υπολογιστή σας και την ασφάλεια του δικτύου και να βεβαιωθείτε ότι είστε προστατευμένοι. Αλλά νομίζω ότι μπορούμε επίσης να αρχίσουμε να βλέπουμε νέα εκμεταλλεύματα και κακόβουλα προγράμματα να χτυπούν στους δρόμους όταν αρχίσουν να παίζουν τα script-kiddi με αυτό το εργαλείο και να μάθουν πόσο ισχυρό μπορεί να είναι ως όπλο.