Penetratietester Metasploit gaat SaaS
Gepubliceerd: Dinsdag 10 februari 2009
Auteur: Michiel van Blommestein
Penetratietest-project Metasploit slaat het pad van Software as a Service (SaaS) in. Een beetje althans, want de makers zijn bezig om systeembron-vretende processen als functie 'in de Cloud' op te nemen, zodat de ict-omgeving van gebruikers minder belast worden.
Dat schrijft DarkReading naar aanleiding van een gesprek met HD Moore, de oprichter van Metasploit. De Metasploit Opcode Database, oftewel een lijst van de posities van de opcodes in verschillende versies van besturingssystemen, zal in de toekomst als dienst beschikbaar komen. Zulke lijsten worden gebruikt voor het veroorzaken van buffer overflows. HD noemt ook een apart tooltje voor het kraken van wachtwoorden als cloud-kandidaat. De kern van het project, de Metasploit Framework, blijft in ieder geval wel gewoon lokaal draaien.
De Opcode-database geeft de penetratietester de mogelijkheid om bepaalde aanvalsvectoren te toetsen op verschillende versies van een OS, ook als deze niet direct in de ict-omgeving beschikbaar zijn. Met de wachtwoord-dienst kunnen gebruikers hashes insturen, waarna deze terugkomen in tekstvorm.
Beide processen hebben als kenmerk dat ze redelijk wat bronnen vreten, en hierop besparen is mooi meegenomen, zo redeneert Moore. Het zou interne penetratietesten ook aantrekkelijker moeten maken, en in het artikel spreekt Moore er zijn verbazing over uit dat commerciële leveranciers (genoemd worden Core Technologies en Immunity) dergelijke diensten nog niet bieden. "Ze kunnen hiermee per slot van rekening verdienen op onderhoudscontracten", zegt Moore. Hij verwacht dan ook dat commerciële penetratietest-bedrijven het model gaan volgen.
Helaas wordt het Metasploit Framework ook gebruikt door hackers en ander gespuis. Hoe de penetratietester boeven buiten de deur houdt bij de dienstverlening is nog niet bekend; gedacht wordt aan telefonische registratie, "maar dat is niet ideaal", aldus Moore.
Bron: Techworld
