Metasploit forklaret for Risager
Vi har allesammen fulgt #hackersag med daglige opdatering fra retten, eller et alternativt univers som jeg tror vi må erkende at det er. Diverse småting som vi alle herinde på version2.dk tager for givet er pludselig vendt på hovedet og helt uforståeligt - som kryptonit. Nå, men grundet et tweet fra Søren Maagaard, @smaagaard som skrev nedenstående fik jeg en ide.
"I routinely use Kali Linux, Metasploit and OpenVas. Pretty sure the prosecutor in the #hackersag would implode if he had to grasp that."
https://twitter.com/smaagaard/status/507945858563047424
Tænk hvis man kunne forklare Metasploits muligheder, sådan at Riiiisager kunne forstå det?
Er I klar på øvelsen, så sender jeg gerne forklaringen til ham - og IT-ordførerne - så vi forhåbentlig tager den del med på forhånd, til næste store #hackersag.
Metasploit atomvåben i hænderne på skoleeleverne
Når man i hackerkredse snakker om de nyeste angreb og hvordan man laver indbrud på netværk er der et system som ofte bringes på banen, nemlig Metasploit. Dette stykke software består af mange dele, men hentes nemt fra en åben hjemmeside og koster ingenting. Det kan således frit hentes og nemt installeres med vejledninger på mange sprog.
Hjemmesiden Metasploit http://www.metasploit.com/ tjener også penge på en kommerciel udgave, men deler en gratis version som indeholder sprængfarlige kodestumper der vil kunne bryde ind i 100.000-vis af systemer over internet. Yderligere inkluderes programmer til at dumpe kodeord, slette systemlog og skjule sig på systemer man har overtaget.
Dette værktøj kan automatiseres med få kommandoer og derved bruges til indbrud over en bred kam i Danmark og resten af verden. Det er allerede downloadet i millionvis af kopier og opdateres hver uge med de nyeste angrebsmetoder som straks kan anvendes til indbrud.
Det er et farligt værktøj i hænderne på ukyndige som kan overtage IT-systemerne og forårsage stor skade.
Er det forklaring nok? Dækker det bare lidt af hvad Metasploit kan - er det for lidt? Forhåbentlig er det ikke allerede "for teknisk".
Den anden del af min mail til IT-ordførere vil så indeholde noget fra nedenstående.
Metasploit et nødvendigt værktøj for IT-administratorer
Metasploit som findes på hjemmesiden http://www.metasploit.com/ eller som en del af Kali Linux http://www.kali.org/ er et af de vigtigste værktøjer for IT-administratorer. De fleste kender dog ikke mulighederne for at teste IT-sikkerheden nemt og billigt. Metasploit og Kali er gratis men brugen kræver at man bruger tid på at sætte sig ind i værktøjerne.
Fordelen for administratorerne i netværk er at man kan portscanne sine egne systemer og derved afdække om der er åbninger som ville kunne misbruges af hackere til indbrud. Faktisk benytter Metasploit de samme angreb som hackere bruger til at bryde ind med og derved finder man nemt sikkerhedshuller og kan således lukke disse.
Det er også nemt at finde vejledninger til Metasploit eksempelvis Metasploit Unleashed fra Offensive Security http://www.offensive-security.com/metasploit-unleashed/Main_Page
Opsummering
Lad os lige se på en af sætningerne ovenfor:
Det er et farligt værktøj i hænderne på ukyndige som kan overtage IT-systemerne og forårsage stor skade.
Jeps, det er helt korrekt. Det er også korrekt at uanset om Metasploit findes til fri download og brug i Danmark så vil IT-systemerne blive angrebet - og angreb kommer også fra kilder udenfor Danmarks grænser. Det bedste man kan gøre som systemejer er at udføre Defense in Depth, altså flere lag af sikkerhed. Det er også essentielt at teste sikkerheden for at kontrollere at alting er som forventet. Det sker jævnligt at jeg under sikkerhedstest finder systemer, services og områder som administratoren troede var lukket, eller havde glemt at lukke.
Vi har altså et stort ansvar for at benytte disse programmer rigtigt, til at teste egen sikkerhed og hjælpe hinanden. Vi skal forhåbentlig ALDRIG ud i en situation hvor det er inkriminerende at have Kali og Metasploit. Sikkerhedstestværktøjer, malware, virus, emulatorer, programmeringssprog (Python) er ikke i sig selv en "smoking gun". Det er blot mere effektivt at IT-administratorer i Danmark benytter Kali, Metasploit og de +300 andre værktøjer til at sikre netværk og deler viden.
Alternativet er at man skal skjule programmer som Kali og kun dele det med vennerne, og den situation hjælper kun hackere som bryder ind. Disse hackere er rigtig gode, og har helt styr på at sælge dette som en service idag. Dette dilemma har jeg kendt til i nu 20 år og min holdning har ikke ændret sig, vi SKAL dele viden om angrebsmetoder vidt og bredt, gøre det nemt at afvikle testprogrammer. Håbet er at vi derved får lukket flere sikkerhedshuller og sårbarheder i vores infrastrukturer inden de rigtige hackere forsøger at bryde ind.
Vi ser idag en farlig udvikling hvor zero-day exploits sælges dyrt og derved kun kan bruges af dem som har råd, mens resten af verden ikke har en chance for at beskytte sig.
Jeg glæder mig til at se udfaldet fra #Hackersag, og da jeg er sikkerhedsmand frygter jeg worst case og tror derfor en fælles erklæring om sikkerhedstestværktøjer til politikerne kunne være en god ide. Jeg antager uden at vide det at vi kan få ihvertfald et par af sikkerhedsfirmaerne, IT-pol og PROSA med på det.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.