Een van de bekendste penetratietools is ongetwijfeld Metasploit. Zodra een kwetsbaarheid in deze tool wordt opgenomen, wordt een gat pas echt gevaarlijk, omdat ook cybercriminelen er breed mee aan de slag gaan. “Maar de dreiging is er dan al”, zegt Jen Ellis, manager bij Metasploit-maker Rapid7 tegen Computerworld.nl. “We helpen bedrijven juist om hun netwerken te scannen en te dichten tegen deze dreiging.”
Vroegtijdige disclosure
Afgelopen zomer werd een kwetsbaarheid in Internet Explorer opgenomen in Metasploit nog voordat details hierover breed beschikbaar waren. Volgens Microsoft was het lek op dat moment alleen nog maar in beperkte, gerichte aanvallen gebruikt. Wanneer een dergelijke kwetsbaarheid wordt opgenomen in een populaire testingtool, wordt de druk op fabrikanten erg groot om zo vlug mogelijk een patch uit te rollen. Bij het IE-gat was deze nog niet beschikbaar, hoewel bedrijven en particulieren het gat wel handmatig konden dichten met een fix.
Veelgehoorde kritiek op Metasploit is dat de tool – dankzij het toevoegen van de nieuwste gaten – de wereld er niet veiliger op maakt. Rapid7 vindt deze kritiek onterecht en wijst erop dat de enige manier om beveiliging te versterken juist is door informatie te delen. “Bovendien wordt de exploit aangepast en zo schoon mogelijk verwerkt, zodat hij het minste schade aanricht.” De bedoeling is uiteindelijk om een (bedrijfs)netwerk te testen op gaten, niet om er misbruik van te maken. “We willen beveiligers de informatie geven om hun omgevingen te testen.”
Beveiligers bewapenen
Metasploit wordt ook gebruikt door cybercriminelen om exploits te bouwen en daarom is het verschijnen van een kwetsbaarheid in de tool een belangrijke mijlpaal in de cyclus van een kwetsbaarheid. Dat criminelen de tool gebruiken, doet volgens Ellis niets af aan de waarde ervan. “Ik vergelijk het met Tor. Dat wordt ook gebruikt door slechteriken, maar dat betekent niet het slecht is dat [deze privacysoftware] er is.”
Andersom gebruiken de onderzoekers van Rapid7 de tools die cybercriminelen inzetten om gebruikers te belagen. “We kijken naar exploitkits om te zien wat de nieuwste trucs zijn”, aldus Ellis. Op deze manier worden informatiebeveiligers beter bewapend tegen de dreigingen die op grote schaal worden ingezet.
“Het is niet alsof we een theoretische dreiging openbaren. Deze dreiging is er al; hij wordt gebruikt door cybercriminelen en is veelal al beschikbaar in commerciĆ«le exploitkits.” Volgens Ellis is het dan ook een kwestie van het ervoor zorgen dat iedereen dezelfde informatie heeft. Door een kwetsbaarheid zo snel mogelijk in de tool op te nemen, kunnen inderdaad cybercriminelen met de exploit aan de slag, maar ook de IT’ers die hun netwerk beveiligen tegen deze criminelen.
Opgroeien met pentesting
Metasploit wordt al vroeg gebruikt door op dat moment enthousiaste hackers die zich later ontwikkelen tot IT-specialisten als informatiebeveiligers. Veel beveiligingskennis begint met hacken. “Om te weten hoe iets werkt, moet je het eerst uit elkaar halen”, vertelt Ellis. “Dus we beginnen allemaal op deze manier: we willen weten hoe het functioneert onder meer door de gaten te vinden.”
Op de volgende pagina: Hoe IP-scaninitiatief Project Sonar in de basisfilosofie van Metasploit past.
Geen opmerkingen:
Een reactie posten