20 października 2010
Metasploit Pro: nowy wymiar testów penetracyjnych? [Aktualizacja]
Minął właśnie okrągły rok od momentu, gdy amerykańska firma Rapid7 nabyła projekt Metasploit. Wydarzeniu temu towarzyszyły powszechne obawy dotyczące tego, czy aby popularny framework nie podzieli przypadkiem losu cenionego skanera Nessus, i nie zostanie całkowicie skomercjalizowany. Tymczasem Metasploit pozostał w pełni otwarty, a jego rozwój nabrał w ostatnim czasie niespotykanego do tej pory tempa. Jednocześnie Rapid7 sukcesywnie wprowadza na rynek rozwiązania komercyjne, takie jak zaprezentowany niedawno Metasploit Express. W ostatnim czasie ukazała się kolejna, jeszcze bardziej zaawansowana wersja komercyjnego środowiska do przeprowadzania zautomatyzowanych testów penetracyjnych. Spójrzmy pokrótce na możliwości Metasploit Pro.
Wspomniany już Metasploit Express został pomyślany jako rozwiązanie oferujące każdemu zainteresowanemu możliwość przeprowadzania zaawansowanych testów penetracyjnych bez potrzeby zaznajamiania się z zawiłościami samego środowiska Metasploit Framework. Jest to więc narzędzie, po uruchomieniu którego wszystkie testy penetracyjne wykonają się w sposób wysoce zautomatyzowany, przy stosunkowo niewielkim udziale użytkownika. Metasploit Pro został stworzony na podobnej zasadzie, ma jednak pozwalać na przeprowadzanie jeszcze bardziej rozbudowanych, skutecznych i trudnych do wykrycia ataków testowych.
Wersja Pro pozwala m.in. na testowanie bezpieczeństwa standardowych oraz nietypowych aplikacji webowych, co do tej pory zbyt mocną stroną Metasploita na pewno nie było. W razie udanego ataku testowego, możemy przykładowo liczyć na automatyczne uzyskanie dostępu do bazy danych zasilającej samą aplikacją, a nawet na uzyskanie dostępu do kolejnych maszyn pracujących w danej sieci.
Nowością jest również możliwość tworzenia kampanii socjotechnicznych. Dzięki Metasploit Pro będziemy więc w stanie wykonywać automatyczne testy socjotechniczne, pozwalające na ocenę podatności pracowników określonej organizacji właśnie na tego typu ataki. Z technicznego punktu widzenia mogą to być ataki testowe z wykorzystaniem sklonowanych witryn internetowych, kampanie phishingowe lub kontrolowane rozsyłanie potencjalnie niebezpiecznych załączników.
Poza tym specjaliści z firmy Rapid7 obiecują nam niespotykaną w innych tego typu rozwiązaniach skuteczność w unikaniu firewalli i innych mechanizmów stworzonych z myślą o ochronie sieci i systemów komputerowych, głównie dzięki wykorzystaniu szyfrowania i tunelowania poszczególnych sesji oraz wykonywaniu kolejnych ataków z poziomu hostów, które już do tej pory udało się przejąć.
Wreszcie spory nacisk został położony na pracę grupową, czyli na umożliwienie łatwego podziału zadań pomiędzy poszczególne grupy pentesterów. Metasploit Pro wspiera współpracę pomiędzy poszczególnymi grupami, ułatwia wymianę już zdobytych informacji oraz pozwala na centralne gromadzenie wszystkich informacji o przejętych już do tej pory poświadczeniach i wykrytych w trakcie całego testu podatnościach.
Metasploit Pro nie jest tani. Roczna licencja na jednego nazwanego użytkownika (ang. named user), to koszt 15.000 (15 tys.) USD. Możliwe jest jednak czasowe skorzystanie z wersji testowej, którą można pobrać pod tym adresem. Niestety, niezbędne jest również przejście przez dość humorzasty system rejestracji, w celu otrzymania darmowej testowej licencji.
Co najważniejsze, za darmo otrzymujemy wersję środowiska, która wymaga od użytkownika większej wiedzy i zaangażowania, jednak dysponuje praktycznie takimi samymi możliwościami i podobną skutecznością! Osobiście nadal będę więc wszystkich zainteresowanych tematyką testów penetracyjnych zachęcał do poznawania wersji otwartej, ponieważ niesie to ze sobą znacznie większe walory edukacyjne.
[Aktualizacja]
W dniu dzisiejszym ukazał się również Metasploit Framework 3.5.0. Wydanie to przynosi sporo nowych funkcji, w sumie ponad 600 exploitów oraz nowe Java GUI. Zachęcam do testowania!
[źródło]
Subskrybuj:
Komentarze do posta (Atom)