Metasploit-projektet er tilsyneladende en gruppe dannet for at "give nyttige oplysninger til personer, der udfører penetrationstest, IDS signaturudvikling og udnytte forskning."
Deres seneste udgivelse, Metasploit Framework version 2.0, hævder at være "en avanceret open source platform til udvikling, testning og brug af exploit kode."
Selvom det er rigtigt, at de værktøjer og funktionalitet, der er indbygget i Metasploit Framework, kan vise sig værdifulde for en sikkerhedsrevisor eller penetrationstester, der skal bruges til at kontrollere sikkerheden for et system eller netværk, er det nok så sandt eller mere, at script-kiddies og andre wannabe hackere eller udviklere af ondsindet kode kan sætte dette værktøj til at bruge som en ekspresbane eller et hurtigt spor for at hjælpe dem med at skabe udnyttelse og malware.
Jeg ved ikke rigtig nok nok om Metasploit Project eller de udviklere, der har arbejdet på dette værktøj for at sige, om deres motiver var rene. Det ser ud til, at linjen mellem at levere netværkssikkerhed og bryde netværkssikkerhed er tynd, og det tager ikke meget for nogle ellers rationelle mennesker at anklage sikkerhedsforskere eller administratorer med mindre end hederlige hensigter. Nogle formoder, at alle i netværkssikkerhed også er en hacker på siden, og mange spørgsmålstegn ved den sande hensigt med værktøjer, der fordobles som kraftige våben til script-kiddies.
Selv hvis vi antager, at deres mål virkelig er at give nyttige oplysninger og værktøjer til at hjælpe yderligere årsagen til udvikling og sikkerhedsforskning, ændrer det ikke, at værktøjet er tilgængeligt for alle at downloade, og der er ingen måde at forudsige eller kontrollere hvad slutbrugeren vil gøre med det.
Metasploit-projektet siger, at deres Metasploit Framework kan sammenlignes med dyre kommercielle produkter som Immunity's CANVAS eller Core Security Technology's Core Impact. Disse værktøjer giver også samme eller lignende funktionalitet. En af hovedårsagerne til, at de ikke er kommet under den kontrol, som Metasploit Framework har, er pricetaget. Da få har råd til disse pakker, udgør de ringe risiko, men hvis du tager den samme magt og distribuerer det frit, er der større bekymring for, at de forkerte mennesker vil bruge det af de forkerte grunde.
Metasploit Framework synes at være et kraftfuldt værktøj. Jeg hentede selv en kopi til at spille med på mit eget netværk mod mine laboratoriecomputere. Jeg tror, at for sikkerhedsadministratorer kan det vise sig værdifuldt i kampen for at sikre din computer og netværkssikkerhed og sørg for at du er beskyttet. Men jeg tror også, vi kan også begynde at se nye udnyttelser og malware, der rammer gaden, når script-killerne begynder at spille med dette værktøj og lære, hvor magtfulde det kan være som et våben.
