Το προφίλ μας στο Google Plus
0

Metasploit: Υπερπλατφόρμα επιθέσεων!

Λίγο να παρακολουθείτε τα νέα από το χώρο της ασφάλειας και δεν μπορεί, θα ‘χετε ακούσει γι’ αυτό. Συχνά πυκνά, με το που ανακαλύπτεται και δημοσιεύεται κάποια αδυναμία, από κοντά ακολουθεί και το αντίστοιχο module για το Metasploit. Τι ακριβώς όμως είναι αυτό το Metasploit; Γιατί κάποιοι πίνουν νερό στ’ όνομά του, ενώ άλλοι εύχονται να μην είχαν ακούσει ποτέ γι’ αυτό; Αξίζει να μάθετε να το δουλεύετε κι εσείς; Φυσικά κι αξίζει.

deltaHacker 017 (τεύχος Φεβρουαρίου 2013) | Metasploit: Υπερπλατφόρμα επιθέσεων!

Σε μια πρώτη προσέγγιση, είναι ακριβές να πούμε ότι το Metasploit Framework ή απλά Metasploit αποτελεί μια πλατφόρμα Ανοικτού Λογισμικού, η οποία αφενός παρέχει μια εκτενή βάση δεδομένων από exploits, αφετέρου επιτρέπει την ανάπτυξη νέων. Επιπρόσθετα, έρχεται και με τα απαραίτητα εργαλεία που διευκολύνουν σημαντικά τις διαδικασίες του penetration testing και του post exploitation.

Το penetration testing είναι κάτι σαν το επιθετικό hacking των καλών. Αν, δηλαδή, εγώ είμαι ένας penetration tester, πηγαίνω σε υποψήφιους πελάτες και τους λέω κάτι σαν αυτό: “Καλημέρα σας. Θέλετε να δοκιμάσω την ασφάλεια των συστημάτων και των δικτύων σας; Ό,τι καταφέρω, θα το καταγράψω αναλυτικά και θα σας το παρουσιάσω”. Κάποιοι, είναι πολύ πιθανό να μου απαντήσουν επιφυλακτικά: “Α, μπα; Και γιατί να το κάνουμε αυτό;”. Η απάντησή μου θα τους προβληματίσει: “Μα, γιατί ό,τι μπορώ να πετύχω εγώ σίγουρα μπορεί να το πετύχει κι ένας κακόβουλος επιτιθέμενος. Δεν θέλετε να γνωρίζετε από πριν τι θα μπορούσε να καταφέρει αυτός ο κακούργος, ώστε να λάβετε από τώρα τα απαραίτητα μέτρα προστασίας; Ε; Δεν θέλετε;”. Αφού το σκεφτούν λίγο, αρκετοί αποφασίζουν ότι θέλουν. Εξ ου λοιπόν τα επαγγέλματα των penetration testers και των ερευνητών ασφαλείας γενικότερα.

Το Metasploit είναι ένα από τα εργαλεία που κάθε penetration tester έχει στο οπλοστάσιό του, ακόμη κι εκείνοι που το σνομπάρουν. Βλέπετε, η εν λόγω πλατφόρμα διευκολύνει σημαντικά τις επιχειρήσεις πρόσβασης σε απομακρυσμένα συστήματα ή και ολόκληρα δίκτυα. Οι βετεράνοι χάκερ, λοιπόν, είναι λογικό να αισθάνονται μια δυσφορία μ’ αυτή την κατάσταση. Καταλαβαίνουν ότι αρκετοί, ειδικά νεότεροι σε ηλικία συνάδελφοί τους, δεν βάζουν καθόλου το μυαλό τους να δουλέψει και το μόνο που ξέρουν είναι να χειρίζονται άλλη μία εφαρμογή: το Metasploit. Βέβαια η εφαρμογή αυτή δεν μπορεί να κάνει θαύματα, οπότε στις περιπτώσεις που αδυνατεί να προσφέρει ουσιαστική βοήθεια πολλοί σηκώνουν τα χέρια ψηλά και τα παρατάνε. Άρα, λένε οι βετεράνοι χάκερ, το Metasploit στην πραγματικότητα κάνει περισσότερο κακό παρά καλό στους νεοφερμένους: Τους αποθαρρύνει από το να χρησιμοποιούν τη φαντασία τους αλλά κι από το να βάζουν το μυαλό τους να δουλέψει. Στην καλύτερη περίπτωση, σημειώνουν με νόημα οι βετεράνοι, το Metasploit φτιάχνει τη λεγόμενη γενιά των “Metasploit hackers”, οι οποίοι είναι επικίνδυνα κοντά στους “lame hackers”!

Δεν ακούγεται και πολύ άκυρη η συλλογιστική των βετεράνων, μόνο που οι φίλοι μας συχνά αποτυγχάνουν να παρουσιάσουν τη συνολική εικόνα. Ευτυχώς, τίποτε δεν μας εμποδίζει από το να τη δούμε μόνοι μας. Κι αν το κάνουμε, εύκολα θα διαπιστώσουμε ότι γνωστοί, καταξιωμένοι hackers και penetration testers, δεν έχουν κανένα απολύτως πρόβλημα να χρησιμοποιούν το Metasploit — και μάλιστα καθόλου δεν το κρύβουν! Ίσως επειδή αναγνωρίζουν την αξία της πλατφόρμας αλλά ταυτόχρονα ξέρουν ότι δεν είναι το άλφα και το ωμέγα. Επομένως, όταν το Metasploit δεν μπορεί να τους πάει πολύ μακρυά, τότε σίγουρα δεν διστάζουν να βάζουν το μυαλό τους να δουλέψει — και μάλιστα πέρα από την πεπατημένη.

Αν υποθέσουμε τώρα ότι εδώ έχουμε δύο αντιμαχόμενες πλευρές, η ταπεινότητά μας επιλέγει να πάει με το μέρος των hackers που *και* το Metasploit χρησιμοποιούν *και* δεν ντρέπονται να το παραδεχτούν. Φιλοδοξούμε μάλιστα να γνωρίσουμε και σ’ εσάς αυτή τη θαυμαστή πλατφόρμα, δείχνοντάς σας τι μπορεί και τι δεν μπορεί να κάνει.

Και πριν προχωρήσουμε στο κύριο μέρος της παρουσίασής μας, να κάνουμε μια σημαντική υποσημείωση: Για να μας ακολουθήσετε σ’ αυτό το ταξίδι στον κόσμο του penetration testing μέσω του Metasploit, ιδιαίτερες ή/και προχωρημένες γνώσεις *δεν* απαιτούνται. Η καλή διάθεση και η όρεξη για πειραματισμό είναι ό,τι θα χρειαστείτε. Ακριβώς τα ίδια εφόδια παίρνουμε κι εμείς μαζί μας, πάντα.

Διαβάστε όλο το άρθρο στο deltaHacker 017 (τεύχος Φεβρουαρίου 2013). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking, δίκτυα, ασφάλεια, προγραμματισμό και ηλεκτρονικά, που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων