Berjalan Garis Tipis Antara Alat Dan Senjata
Proyek Metasploit adalah kelompok yang dibentuk untuk "memberikan informasi yang berguna kepada orang-orang yang melakukan pengujian penetrasi, pengembangan tanda IDS, dan mengeksploitasi riset."
Rilisan terbaru mereka, Metasploit Framework versi 2.0, mengklaim sebagai "platform open-source lanjutan untuk mengembangkan, menguji, dan menggunakan kode eksploit."
Meskipun benar bahwa alat dan fungsionalitas yang dibangun pada Kerangka Metasploit mungkin terbukti berharga bagi auditor keamanan atau tester penetrasi untuk digunakan dalam memverifikasi keamanan suatu sistem atau jaringan, itu mungkin benar atau lebih banyak sehingga script-kiddies dan peretas wannabe lain atau pengembang kode berbahaya mungkin menempatkan alat ini untuk digunakan sebagai jalur cepat atau jalur cepat untuk membantu mereka membuat eksploitasi dan malware.
Saya tidak begitu tahu tentang Proyek Metasploit atau pengembang yang telah bekerja pada utilitas ini untuk mengatakan apakah motif mereka murni. Tampaknya seringkali garis antara menyediakan keamanan jaringan dan keamanan jaringan yang rusak adalah hal yang tipis dan tidak perlu banyak bagi beberapa orang yang secara rasional untuk menuduh para peneliti atau administrator keamanan dengan niat yang kurang terhormat. Beberapa orang menganggap bahwa siapa pun dalam keamanan jaringan juga adalah seorang hacker di samping dan banyak yang mempertanyakan maksud sebenarnya dari alat-alat yang berfungsi ganda sebagai senjata ampuh untuk script-kiddies.
Bahkan jika kita berasumsi bahwa tujuan mereka benar-benar adalah untuk menyediakan informasi yang berguna dan alat untuk membantu lebih lanjut penyebab pengembangan dan penelitian keamanan, itu tidak mengubah fakta bahwa alat ini tersedia untuk diunduh dan tidak ada cara untuk memprediksi atau kontrol apa yang akan dilakukan pengguna akhir dengan itu.
Proyek Metasploit mengatakan bahwa Kerangka Metasploit mereka dapat dibandingkan dengan produk komersial yang mahal seperti CANVAS dari ImVAS atau Core Security Technology Core Impact. Alat-alat ini juga menyediakan fungsi yang sama atau serupa. Salah satu alasan utama mengapa mereka tidak berada di bawah pengawasan bahwa Kerangka Metasploit adalah pricetag. Karena hanya sedikit yang mampu membeli paket-paket ini, mereka menimbulkan risiko kecil, tetapi jika Anda mengambil kekuatan yang sama dan mendistribusikannya dengan bebas, ada kekhawatiran yang lebih besar bahwa orang yang salah akan menggunakannya untuk alasan yang salah.
Kerangka Metasploit tampaknya menjadi alat yang kuat. Saya mengunduh salinan sendiri untuk bermain dengan-pada jaringan saya sendiri melawan komputer lab saya. Saya pikir bahwa untuk administrator keamanan mungkin terbukti berharga dalam pertempuran untuk memastikan keamanan komputer dan jaringan Anda dan pastikan Anda dilindungi. Tapi, saya pikir kita mungkin juga mulai melihat eksploitasi dan malware baru yang memukul jalanan begitu script-kiddies mulai bermain dengan alat ini dan belajar betapa kuatnya itu bisa sebagai senjata.