От секьюрити-инструмента больше вреда, чем пользы?

Проект HREF="http://www.metasploit.com/index.html" target="_blank">Metasploit Project и его основатель Г.Д. Мур надеются изменить это мнение. В среду Metasploit Project выпустил обновленную структуру проектирования для инструмента Metasploit, который позволяет секьюрити-экспертам проверять подключенные к их сетям компьютеры и выявлять те из них, в которых есть неустраненные уязвимости. Новая структура, называемая Metasploit Framework 2.0, позволяет создавать стандартизованные плагины, помогающие легально проникать в компьютеры через вновь обнаруженные пробелы в защите. Уже существует 18 таких эксплойтов, способных решать 27 разных задач.

В общем случае инструмент может помочь администраторам находить и «патчить» системы с уязвимостями, не позволяя злоумышленникам нарушить защиту компании, утверждает Мур. «Это хороший аналитический инструмент», — заявил он, отметив, что около 30% бета-тестеров Metasploit — это консультанты по безопасности, отыскивающие пробелы в защите сетей своих клиентов. Другие компании активно используют инструмент для обнаружения уязвимостей в собственных приложениях. «Одна крупная софтверная фирма внедрила продукты Metasploit в свой процесс контроля качества».

Однако подобный инструмент может сослужить службу и злоумышленникам, автоматически обнаруживая уязвимые серверы и позволяя проникнуть в компьютер даже человеку со слабой технической подготовкой.

Недавний отчет аналитической фирмы Forrester показывает, что, после того как недобросовестные хакеры создают эксплойты, обычно наблюдается всплеск атак. Многие эксперты согласны с этим, утверждая, что подобные скрипты exploit-testing, автоматизирующие сложную техническую задачу использования уязвимости, плодят желающих побаловаться онлайновыми атаками.

«На десяток академиков и серьезных исследователей, которым это покажется интересным, найдется 10 тыс. недоумков, пудрящих друг другу виртуальные мозги, а отдуваться придется системным администраторам», — говорит директор по исследованиям консалтинговой секьюрити-фирмы Spire Security Питер Линдстром.

Однако предусмотрительным сисадминам Metasploit позволит играть на одном уровне с хакерами-злоумышленниками, отмечает Стивен Норткатт, директор по обучению и сертификации The SANS Institute, который преподает безопасность и сетевое администрирование. В частности, инструмент оберегает их от необходимости отдавать много времени кодированию. «Опасение, что инструмент будет использоваться с дурными намерениями, естественно. Но злоумышленники и так создают эксплойты, так что это ничего не изменит, — говорит он. — Это следующий логический шаг к созданию инкубаторов эксплойтов, так же, как инкубаторы вирусов стали шагом в развитии этой разновидности злонамеренного ПО».

Даже Мур соглашается, что продукты его компании облегчают эксплуатацию уязвимостей. Однако он настаивает на том, что инструмент станет неоценимым подспорьем для системных администраторов: им, чтобы получить необходимые корпоративные ресурсы на обновление своих систем, необходимо продемонстрировать, что их сети уязвимы. «Сегодня проблема в том, что многие организации не обновляют свои системы до появления действенного эксплойта, — говорит Мур. — Поэтому такие эксплойты не только полезны, но и необходимы для решения многих легитимных задач».

На самом деле компании уже создали аналогичные инструменты и программы, использующие подобные технологии. Две секьюрити-фирмы, Immunity и Core Security Technologies, предложили программу для организации сетевых атак, которая помогает консультантам, зарабатывающим себе на жизнь поиском уязвимых систем. А Hewlett-Packard в феврале анонсировала автоматизированный атакующий инструмент, который можно применять для создания доброкачественных эксплойтов, проверяющих цифровую иммунную систему сети.

Чтобы предотвратить его злонамеренное использование, Metasploit помещает в ПО подписи, помогающие производителям защитных секьюрити-продуктов обнаруживать атаки, вызванные этим инструментом. Мур отмечает также, что уже сейчас такой продукт можно приобрести у нескольких секьюрити-фирм. Однако он признает, что широкое распространение подобного ПО может кому-то усложнить жизнь.

«Если системный администратор занимается только тем, что патчит машины, ему, конечно, ни к чему никакие новые эксплойты, — говорит Мур. — Но это не означает, что проблемы не существует. Мы можем делать все что угодно, чтобы сдерживать выпуск эксплойтов — вплоть до запрета их в США — но они все равно будут появляться».

Источник: Zdnet.