Exploits für alle: Metasploit 3.0 in finaler Fassung erschienen
Die neue Version des Exploit-Frameworks zum Finden und Testen von Schwachstellen wurde komplett überarbeitet und bringt nun diverse Fuzzing-Tools mit.
- Daniel Bachfeld
Nach diversen Beta-Versionen ist nun endlich die finale Version 3.0 des Exploit-Frameworks Metasploit erschienen. Administratoren können damit Tools zum Testen von Sicherheitslücken entwickeln, um etwa zu überprüfen, ob im eigenen Unternehmensnetzwerk die Installation eines Updates auf Servern und Clients erfolgreich war. Auch viele Sicherheitsspezialisten greifen auf Metasploit zurück, wenn es um die Analyse eines Fehlers geht und ob sich dieser zum Einschmuggeln von Code in ein System ausnutzen lässt.
Das von H.D. Moore entwickelte Metasploit liefert dazu mehrere Tools, Bibliotheken und vorgefertigte Module, sodass sich ein Exploit quasi wie im Baukasten zusammenstellen lässt. Version 3.0 bringt bereits 177 fertige Exploits mit, die sich mit 104 Arten von Nutzlast, also Shells und dergleichen, kombinieren lassen. Zudem liefert das Framework diverse Programme mit, die mittels Fuzzing automatisch nach Fehlern suchen. Auch das WLAN-Fuzzing-Tool Lorcon ist nun fester Bestandteil von Metasploit. Die neue Version wurde zudem komplett überarbeitet und beruht nun auf der Skriptsprache Ruby statt auf Perl.
Metasploit steht für Linux, BSD, Mac OS X als rund 6 MByte großes Paket zum Download bereit, für Windows 2000, XP, 2003 und Vista gibt es einen eigenen 10 MByte großen Installer. Der Hintergrundartikel "Exploits für alle" auf heise Security erklärt die ersten Schritte mit Metasploit.
Mit der geplanten Verschärfung des so genannten Hacker-Paragraphen, der unter anderem schon das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools" kriminalisiert, könnte der Einsatz von Metasploit allerdings unmöglich werden. Eigene Tests der Sicherheit seiner Systeme und ob die Patches von Herstellern die Lücke wie versprochen auch wirklich schließen, wären dann leider auch unmöglich.
Siehe dazu auch:
- Metasploit Framework, Homepage von Metasploit
- Die Axt im Walde - Einführung in Fuzzing-Tools, Hintergrundartikel auf heise Security
- Klarstellungen bei neuen Hackerparagraphen gefordert, Meldung auf heise Security
(dab)
