kramselund jereminsen

Metasploit forklaret for Risager

Vi har allesammen fulgt #hackersag med daglige opdatering fra retten, eller et alternativt univers som jeg tror vi må erkende at det er. Diverse småting som vi alle herinde på version2.dk tager for givet er pludselig vendt på hovedet og helt uforståeligt - som kryptonit. Nå, men grundet et tweet fra Søren Maagaard, @smaagaard som skrev nedenstående fik jeg en ide.

Illustration: Privatfoto

"I routinely use Kali Linux, Metasploit and OpenVas. Pretty sure the prosecutor in the #hackersag would implode if he had to grasp that."
https://twitter.com/smaagaard/status/507945858563047424

Tænk hvis man kunne forklare Metasploits muligheder, sådan at Riiiisager kunne forstå det?

Er I klar på øvelsen, så sender jeg gerne forklaringen til ham - og IT-ordførerne - så vi forhåbentlig tager den del med på forhånd, til næste store #hackersag.

Metasploit atomvåben i hænderne på skoleeleverne

Når man i hackerkredse snakker om de nyeste angreb og hvordan man laver indbrud på netværk er der et system som ofte bringes på banen, nemlig Metasploit. Dette stykke software består af mange dele, men hentes nemt fra en åben hjemmeside og koster ingenting. Det kan således frit hentes og nemt installeres med vejledninger på mange sprog.

Hjemmesiden Metasploit http://www.metasploit.com/ tjener også penge på en kommerciel udgave, men deler en gratis version som indeholder sprængfarlige kodestumper der vil kunne bryde ind i 100.000-vis af systemer over internet. Yderligere inkluderes programmer til at dumpe kodeord, slette systemlog og skjule sig på systemer man har overtaget.

Dette værktøj kan automatiseres med få kommandoer og derved bruges til indbrud over en bred kam i Danmark og resten af verden. Det er allerede downloadet i millionvis af kopier og opdateres hver uge med de nyeste angrebsmetoder som straks kan anvendes til indbrud.

Det er et farligt værktøj i hænderne på ukyndige som kan overtage IT-systemerne og forårsage stor skade.

Er det forklaring nok? Dækker det bare lidt af hvad Metasploit kan - er det for lidt? Forhåbentlig er det ikke allerede "for teknisk".

Den anden del af min mail til IT-ordførere vil så indeholde noget fra nedenstående.

Metasploit et nødvendigt værktøj for IT-administratorer

Metasploit som findes på hjemmesiden http://www.metasploit.com/ eller som en del af Kali Linux http://www.kali.org/ er et af de vigtigste værktøjer for IT-administratorer. De fleste kender dog ikke mulighederne for at teste IT-sikkerheden nemt og billigt. Metasploit og Kali er gratis men brugen kræver at man bruger tid på at sætte sig ind i værktøjerne.

Fordelen for administratorerne i netværk er at man kan portscanne sine egne systemer og derved afdække om der er åbninger som ville kunne misbruges af hackere til indbrud. Faktisk benytter Metasploit de samme angreb som hackere bruger til at bryde ind med og derved finder man nemt sikkerhedshuller og kan således lukke disse.

Det er også nemt at finde vejledninger til Metasploit eksempelvis Metasploit Unleashed fra Offensive Security http://www.offensive-security.com/metasploit-unleashed/Main_Page

Opsummering

Lad os lige se på en af sætningerne ovenfor:
Det er et farligt værktøj i hænderne på ukyndige som kan overtage IT-systemerne og forårsage stor skade.

Jeps, det er helt korrekt. Det er også korrekt at uanset om Metasploit findes til fri download og brug i Danmark så vil IT-systemerne blive angrebet - og angreb kommer også fra kilder udenfor Danmarks grænser. Det bedste man kan gøre som systemejer er at udføre Defense in Depth, altså flere lag af sikkerhed. Det er også essentielt at teste sikkerheden for at kontrollere at alting er som forventet. Det sker jævnligt at jeg under sikkerhedstest finder systemer, services og områder som administratoren troede var lukket, eller havde glemt at lukke.

Vi har altså et stort ansvar for at benytte disse programmer rigtigt, til at teste egen sikkerhed og hjælpe hinanden. Vi skal forhåbentlig ALDRIG ud i en situation hvor det er inkriminerende at have Kali og Metasploit. Sikkerhedstestværktøjer, malware, virus, emulatorer, programmeringssprog (Python) er ikke i sig selv en "smoking gun". Det er blot mere effektivt at IT-administratorer i Danmark benytter Kali, Metasploit og de +300 andre værktøjer til at sikre netværk og deler viden.

Alternativet er at man skal skjule programmer som Kali og kun dele det med vennerne, og den situation hjælper kun hackere som bryder ind. Disse hackere er rigtig gode, og har helt styr på at sælge dette som en service idag. Dette dilemma har jeg kendt til i nu 20 år og min holdning har ikke ændret sig, vi SKAL dele viden om angrebsmetoder vidt og bredt, gøre det nemt at afvikle testprogrammer. Håbet er at vi derved får lukket flere sikkerhedshuller og sårbarheder i vores infrastrukturer inden de rigtige hackere forsøger at bryde ind.

Vi ser idag en farlig udvikling hvor zero-day exploits sælges dyrt og derved kun kan bruges af dem som har råd, mens resten af verden ikke har en chance for at beskytte sig.

Jeg glæder mig til at se udfaldet fra #Hackersag, og da jeg er sikkerhedsmand frygter jeg worst case og tror derfor en fælles erklæring om sikkerhedstestværktøjer til politikerne kunne være en god ide. Jeg antager uden at vide det at vi kan få ihvertfald et par af sikkerhedsfirmaerne, IT-pol og PROSA med på det.

Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Hansen

Metasploit er en guldgrube! Hvis det ikke var for dette stykke software (og et par andre der er lige så lette at anvende), så ville det uden tvivl stå ENDNU værre til med sikkerheden på nettets servere idag. Er metasploit et nuklear missil i hænderne på børn? Nej. Jeg vil snarere sammenligne det med en slangebøsse på steroider, hvor serverne er naboens drivhus. Det er forholdsvist nemt at "patche" drivhuset med polycarbonat vinduer, så slangebøssen ikke virker. På samme måde er det forholdsvist nemt at patche servere, så exploits i metasploits database ikke uden videre kommer ind. Var der ikke så lette værktøjer i omløb, så ville sikkerheds patching have endnu lavere prioritet, og de virkelig farlige personer have endnu nemmere ved at komme ind på servere (modsat den flok script kiddies der tæppebomber ip ranges idag)

  • 8
  • 0
Lars Lundin

Man indførte i 2007 i Tyskland faktisk en lov, der forbyder enhver brug af software til indbrud, altså f.eks. Metasploit:

https://www.schneier.com/blog/archives/2007/08/new_german_hack.html

Jeg lavede netop omkring 2007 noget kode, der stærkt øgede muligheden for at udnytte et buffer-overflow selvom der er randomisering af stak-adresserne på den sårbare maskine.

Men pga. ovenstående har jeg holdt den for mig selv (og der er sikkert andre der har opfundet samme, både før og siden).

  • 3
  • 0
Rasmus Rask

God idé og godt indlæg.

Ikke at det skal pakkes ind eller udvandes, men pessimisten i mig tænker dog at politikere ikke vil forstår (og derfor ignorere) tekstbidder som disse:

Når man i hackerkredse snakker om de nyeste angreb og hvordan man laver indbrud på netværk er der et system som ofte bringes på banen, nemlig Metasploit. Dette stykke software består af mange dele, men hentes nemt fra en åben hjemmeside og koster ingenting...

...som indeholder sprængfarlige kodestumper der vil kunne bryde ind i 100.000-vis af systemer over internet...

... bruges til indbrud over en bred kam i Danmark og resten af verden. Det er allerede downloadet i millionvis af kopier...

Det er et farligt værktøj i hænderne på ukyndige som kan overtage IT-systemerne og forårsage stor skade.

Eller reagere på den eneste måde de kender til, når de gøres opmærksom på "uønsket" materiale på internettet: DNS blacklist.

Så har de jo gjort noget ved problemet, eller...

  • 0
  • 0
Kenn Nielsen

Eller reagere på den eneste måde de kender til, når de gøres opmærksom på "uønsket" materiale på internettet: DNS blacklist.

Så har de jo gjort noget ved problemet, eller...

Netop derfor er det vigtigt at forklaringen "går rent ind" hos Hr. og Fru Jensen. (CMA: Jeg mener ikke den generelle jensen er dummere eller klogere end den gennemsnitlige dansker)

Kun hvis menigmand forstår problemet - og ikke bare at der er et problem - er politikere nødt til at forholde sig til virkeligheden som den er, og ikke den alternative virkelighed som de selv opfinder fordi den passer ind i at benytte det værdiladede ord børnepornofilter, der så kan være med til at give indtrykket af at det er lige så farligt som plutonium i løssalg.

Vi er nødt til at have en letforståelig forklaring, som ikke starter med "Der var en gang.." men nærmere med : "Hvis du ikke lyner op, og bruger flismaskinen uden nyeste afskærmning, SÅ..."

Vi er nødt til at brænde igennem ret hurtigt.

Alle disse testprogrammer som kan misbruges kan vel sidestilles med forskellige virtuelle varianter af standardprøvefingeren (testprobe B efter IEC 60529).

K

  • 3
  • 0
Jari Wiklund

At bruge metasploit, eller lignende værktøjer, bør vel ikke kunne regnes anderledes end at rende rundt med en låsedirk. Det er ikke ulovligt at have en dirk på sig, men så sandelig ulovligt hvis man bruger den til andet end egen lås, eller uden låsens ejers samtykke. Mon ikke Risager kan forstå den analogi.

Hvorvidt det det så regnes i anklagers favør, at forsvarede har en dirk på sig, kender jeg ikke nok til retspraksis til at afgøre.

  • 5
  • 1
Jesper Lund Stocholm Blogger

Mon ikke Risager kan forstå den analogi.

Nu hvor du selv bringer analogien på bane, så er ihændehavelse af "indbrudsværktøjer" ikke i sig selv inkriminerende (en typisk tømrer vil jo have tasken fuld af sådanne ting på daglig basis), men hvis du stoppes af politiet og udviser mistænkelig adfærd, er et sted på et tidspunkt, hvor du ikke burde (i et sommerhusområde om natten med hættetrøje på) og du har bilen fuld af redskaber til at bryde ind med, så kan du være sikker på, at dette vægtes imod dine påstande om, at du bare var ude at gå en tur.

Det er naturligvis ikke det samme som at du dermed kan dømmes for alle indbrud i det område du befinder dig i, men hvis der er begået et indbrud, hvor der er spor efter en hammer med et hoved på 25 mm ... og du har sådan en i bagagerummet sammen med de andre værktøjer til indbrud, så ser det ikke godt ud for dig - uanset at du ikke direkte kan knyttes til gerningsstedet.

  • 5
  • 0
Jan Rørgaard Hansen

Jeg tænker Metasploit kan sammenlignes med en vaccine, som man kan vælge at udsætte sig selv for og hvis immunforsvaret (IT-administrator) fungerer vil der dannes antistoffer (beskyttelsesmekanismer), som beskytter mod eventuelle udbrud (angreb) af sygdomme med samme karakteristika som vaccinen. Analogien med sygdom/vaccine synes jeg bedre dækker den uforudsigelighed og hurtige udbredelse et angreb kan have. Hvis analogien er en låsedirk, er det for mig svært at se faren i at xxx i et land langt langt væk render rundt med sådan en i lommen. Når vaccinen (Metasploit) ligger frit tilgængelig er det et udtryk for, at sygdomme med de kendte karakteristika allerede kan være i udbrud, og at argumentere for, at tilgangen til vaccinen skal begrænses giver vel ikke så meget mening, når den ikke koster noget.

  • 2
  • 0
Henrik Kramselund Jereminsen Blogger

Er jeg hyklerisk hvis jeg er helt enig med Henrik, men samtidig er for en mere restriktiv våbenlov i USA? ... det er jo en analog problemstilling til våben i USA.

Jeg er sikker på at vi kunne få en god snak. Jeg er nemlig bestemt for at vi har en våbenlov som begrænser AK47 til folket.

Jeg har det dog ret stramt med at jeg skal have en bæretilladelse til en Iai-to - som er et træningssværd som ligner en Japansk Katana, dog uden skarpheden. Den er godt nok spids, behandles som et sværd og kan forvolde skade. MEN hvergang jeg er i byggecenter kan jeg købe skarpe økser i stort antal - UDEN tilladelse.

Det skal ikke være nemt :-)

BTW en bæretilladelse ifb våben i Danmark giver tilladelse at erhverve, besidde, bære eller anvende våben. En lidt spøjs formulering. Hvis du kun ønsker at have et sværd hjemme kan du få en blankvåben tilladelse.

  • 3
  • 1
Peter H. Rankin Hansen

Metasploit kan sammenlignes med et jagtvåben.

Et jagtvåben er glimrende til at gå på jagt med, men kan også (mis)bruges i sparekassen. Det at have et jagtvåben er ikke en indikation på at man er bankrøver.

På samme måde er Metasploit et godt redskab til at forbedre sikkerheden på en server (Whitehat hacking), men kan også (mis)bruges til ulovlig indtrængen (Blackhat hacking). Det at have Metasploit er ikke en indikation på at man er Blackhat hacker.

  • 1
  • 0
Henrik Kramselund Jereminsen Blogger

Det argument bliver hurtigt brugt imod dig, således at metasplot vil skulle kræve at man har en licens til at bruge det, ligesom med jagtvåben...

Ja, og det skal for alt i verden undgås. Der er mange grunde til at dette ville skade IT-sikkerheden, men specielt definitionen af hvad der er et hackerprogram vil være umulig at lande fornuftigt.

En browser kan bruges til at udnytte SQL injection og andre webrelaterede sårbarheder, BAN IE! ;-)

En debugger kan bruges til reversing, og dermed finde sikkerhedshuller, men har bestemt også en relevant funktion til generel debugging

Python kan bruges til både alm programmering, men også til hacking osv. Det skal IKKE være kriminelt at have Python/Ruby/C osv. installeret

og fortsæt selv.

  • 3
  • 0
Maciej Szeliga

Det argument bliver hurtigt brugt imod dig, således at metasplot vil skulle kræve at man har en licens til at bruge det, ligesom med jagtvåben...

Enhver kniv fra din køkkenskuffe, enhver længere skruetrækker fra din værktøjskasse samt div. 20 cm lange bor kan bruges som stikvåben... en hammer er et fantastisk slagvåben og det er baseballbat også. Skal vi også have licens til værktøj ?

  • 2
  • 0
Jesper Lund Stocholm Blogger

Python kan bruges til både alm programmering, men også til hacking osv. Det skal IKKE være kriminelt at have Python/Ruby/C osv. installeret

Hold nu op, Henrik - har du ikke et specielt ansvar for, at denne debat ikke ryger ud af en tangent? Der er ingen, der taler for, at noget værktøj skal være kriminelt at være i besiddelse af. Men naturligvis kan besiddelse af specifikke værktøjer kombineret med andre beviser jo være belastende for en tiltalt. Sådan er det jo også i alle mulige andre situationer, hvor nogen er sigtet for at overtræde en eller anden lov.

I øvrigt - ved man noget om, hvordan politiet fandt frem til svenskeren? Gav CSC dem en IP-adresse, hvorfra deres systemer var blevet komprimitteret?

  • 1
  • 0
Henrik Kramselund Jereminsen Blogger

Hold nu op, Henrik - har du ikke et specielt ansvar for, at denne debat ikke ryger ud af en tangent? Der er ingen, der taler for, at noget værktøj skal være kriminelt at være i besiddelse af.

Både og, jeg står ihvertfald både med benzin, flammekaster og et brandtæppe. Jeg må nok også erkende at både tidligere henvisninger til lignende sager, den tyske lovgivning StGB §202c og rapportagerne fra #hackersag gør mig voldsomt urolig.

Du har naturligvis ret i at Python som sådan, sproget med core, formentlig ikke ryger med i bunken af "specifikke værktøjer", men det er kun en enkelt pakke som inkluderer en anden pakke (dependencies som man måske ikke selv har valgt) og så står du med eksempelvis Scapy http://www.secdev.org/projects/scapy/ som er dual-purpose. Faktisk er de fleste af vores værktøjer nemme at vride til at gøre skade.

Dernæst er det ikke langt til at fordi du er mistænkt er det mistænkeligt at du har disse mistænkelige værktøjer! Jeg beklager hvis du synes jeg blæser det for stort op. Hvis jeg havde spurgt dig for 5-10 år siden om UK ville indføre internetfiltre for at begrænse politiske udmeldinger på internet, ville du så have troet på det?

Bliver det mere inkriminerende hvis jeg har en bog stående med titlen "Black Hat Python" eller kan anklageren se igennem det og forstå at navnet formenlig er valgt for at sælge bøger, og ikke specifikt fordi jeg skal bryde ind. (Jeg har Gray Hat Python og den er god BTW)

http://www.nostarch.com/blackhatpython og http://www.nostarch.com/ghpython.htm

  • 0
  • 0
Peter H. Rankin Hansen

Og en bil kan bruges til rambuktyverier, etc, etc.

Stort set ALT kan misbruges, hvis viljen er der.

Er vi mistænkelige fordi vi besidder et værktøj {Metasploit | skruetrækker | jagtvåben | bil | whatever}, eller griber anklageren efter et halmstrå - og mistænkeliggør derved det halve af branchen?

Skal sådan en inkompetent klaphat virkelig have lov til at jage ærlige brugere af værktøjet i skjul?

Og hvad bliver det næste? Styresystemet? For det muliggør jo at vi kan bruge programmerne.

  • 1
  • 0
Log ind eller Opret konto for at kommentere