Metasploit的過去,現在和將來
原創【51CTO.com 獨家翻譯】HD Moore是Rapid7公司的CSO(Chief Security Officer),同時,他也是Metasploit(一個開源的入侵檢測平臺)的首席架構師,HD創建了Metasploit項目,他創建這個項目的目地是為安全漏洞發掘代碼的研究和開發提供一個公用的資源。在2009年年底,Rapid7收購了Metasploit。在這個采訪中,HD Moore談到了向Rapid7公司的過渡,同時,他對Metasploit的發展和不同的版本也做了詳細的說明,此外,他還討論了即將到來的新特性。
對于像Metasploit這樣擁有一定用戶基數的,著名的開源產品來說,進入到Rapid7的企業環境中,會給這個產品帶來什么影響呢?
對于Metasploit項目來說,Rapid7公司的存在,顯著地增加了我們的軟件在企業環境中的接受程度。一個鮮為人知的事實是,作為標準合約的一部分,我們的商業產品的客戶也可以享受到開源產品的部分支持。這提供了前所未有的商業化支持。
在Rapid7內部,有多少機會可以讓Metasploit進一步發展呢?
收購以后的12個月里,Metasploit的用戶基數增加了5倍,安全漏洞發掘模塊的數量翻了一番,新增加代碼150,000行。這個增長速度主要歸功于6個全職的開發者合并成了一個核心團隊,以及產品應用范圍的擴大和社區貢獻的增加。
商業產品中的大多數功能都是以我們貢獻到開源代碼庫中的那些功能為基礎的。雖然我們在商業產品線上工作,但是這種商業和開源之間的依賴性可以讓我們繼續把資源集中在免費的代碼上。
自從Metasploit被Rapid7收購以來,Metasploit的用戶基數增長了多少?
我們通過點擊我們的在線更新服務器(SVN)的唯一IP數來跟蹤我們的用戶基數的變化情況。這個數值反映了在安裝Metasploit以后,真正更新它的用戶的數量,所以我們感覺這個數值比原始的下載次數更準確。在收購以前,這個數值每個月大約是22000個唯一的IP數。
截止到去年9月,我們大約是120000個唯一的IP數,或者說我們的活躍用戶數量增加了5倍。如果我們把過去12個月里的下載和更新這個框架的唯一IP數合起來,這個總數現在是100多萬。
#p#
當前,不同版本的Metasploit,在功能方面有什么區別呢?
Metasploit Framework是我們的開源“內核”,它是通過自由的BSD許可證發布的,它一直是我們開發的重點。
Metasploit Express提供了一個GUI(基于Web的),它不但可以訪問標準的Metasploit Framework的所有功能,而且還給使用Metasploit進行入侵檢測提供了一個流程。Metasploit Framework是一個工具包,而Metasploit Express為了完成特定的任務把這些工具組合到了一起。
使用Metasploit Express提供的界面可以依次對目標網絡進行掃描,安全漏洞發掘,和暴力破解。我們可以很快地從被攻擊的機器收集到相關的證據,然后它會使用像Pass-the-Hash和SSH key reuse那樣的技術,進一步執行安全漏洞發掘和暴力破解。在入侵檢測完成以后,會生成一份高質量的報告,這份報告包括檢測的結果和檢測期間執行的每個操作的審核日志。
在10月20日,我們發布了Metasploit Pro,它是在Metasploit Express的基礎之上開發的,可以支持多用戶團隊,社會工程活動,Web應用程序安全漏洞發掘,高級的evasion技術和我個人比較喜歡的VPN Pivoting。對于加速入侵檢測流程來說,Metasploit Express是一個很優秀的產品,而Metasploit Pro則又進了一步,它可以通過一個集中式的界面幫助安全團隊彼此之間進行協作,也可以對目標網絡進行各種層次的安全檢測——從人性方面(社會工程學)的檢測,到注重細節的服務端安全漏洞發掘。
Metasploit Pro中的VPN Pivot功能,可以把任何被入侵的機器轉變成一個遠程的以太網接口而進入到目標網絡中。這可以讓用戶入侵一個內部的機器(也就是說,通過瀏覽器安全漏洞發掘),然后使用VPN Pivot繼續對防火墻后面的其他的內部機器進行掃描和安全漏洞發掘。
不像其他的pivot技術,VPN pivot可以被任何網絡工具使用,因為在Metasploit Pro系統上它建立了一個真正的接口。標準的入侵檢測和漏洞評估工具都可以使用這個Metasploit Pro建立的接口。為了讓我們的產品更上一層樓,我們還添加了創建自定義報告的功能,它使用JasperSoft報告引擎和iReport圖形報告編輯器。
這三個產品都使用相同的安全漏洞發掘方式,負載和庫。區別是附加的功能,擴展性,團隊支持和每個工具的定位。Metasploit Framework一直是安全漏洞發掘和入侵檢測的一流工具,但是,在規模較大的情況下,商業產品可以讓這些功能更容易使用。
你近期的計劃是什么?Metasploit用戶將會看到怎樣的功能?
通過Metasploit 3.5.0(所有產品都使用同樣的版本號),我們首先會進入到Web應用程序安全領域中。這需要對后端的數據庫進行大量的檢測,在更新我們的Web模塊和填補檢測范圍的漏洞方面,我們還有一些其他的工作要做。
我個人的開發工作主要集中在Metasploit的Web應用程序檢測功能上,和確保我們的產品可以和我們的用戶當前使用的其他產品進行交互上。
在負載方面,我們進展的很慢,但是已經對Meterpreter進行了擴展,以支持Windows以外的平臺。Philip Sanderson是我們的社區開發者之一,他在完成POSIX的Meterpreter負載方面做了很多工作。我們正在把他所做的工作集成到這個框架中。
在過去的幾個月里,我們添加了本地的PHP和Java負載,這可以讓他比過去更容易獲得高級的功能(從Web應用程序漏洞到Java服務器漏洞)。在安全漏洞發掘的覆蓋率方面,我們一直在投入各種資源;其中既包括全職的安全漏洞發掘工程師,也包括和社區一起努力把更多的安全漏洞整合到Metasploit平臺上。
【編輯推薦】
