【51CTO.com 独家翻译】HD Moore是Rapid7公司的CSO(Chief Security Officer),同时,他也是Metasploit(一个开源的入侵检测平台)的首席架构师,HD创建了Metasploit项目,他创建这个项目的目地是为安全漏洞发掘代码的研究和开发提供一个公用的资源。在2009年年底,Rapid7收购了Metasploit。在这个采访中,HD Moore谈到了向Rapid7公司的过渡,同时,他对Metasploit的发展和不同的版本也做了详细的说明,此外,他还讨论了即将到来的新特性。
对于像Metasploit这样拥有一定用户基数的,著名的开源产品来说,进入到Rapid7的企业环境中,会给这个产品带来什么影响呢?
对于Metasploit项目来说,Rapid7公司的存在,显著地增加了我们的软件在企业环境中的接受程度。一个鲜为人知的事实是,作为标准合约的一部分,我们的商业产品的客户也可以享受到开源产品的部分支持。这提供了前所未有的商业化支持。
在Rapid7内部,有多少机会可以让Metasploit进一步发展呢?
收购以后的12个月里,Metasploit的用户基数增加了5倍,安全漏洞发掘模块的数量翻了一番,新增加代码150,000行。这个增长速度主要归功于6个全职的开发者合并成了一个核心团队,以及产品应用范围的扩大和社区贡献的增加。
商业产品中的大多数功能都是以我们贡献到开源代码库中的那些功能为基础的。虽然我们在商业产品线上工作,但是这种商业和开源之间的依赖性可以让我们继续把资源集中在免费的代码上。
自从Metasploit被Rapid7收购以来,Metasploit的用户基数增长了多少?
我们通过点击我们的在线更新服务器(SVN)的唯一IP数来跟踪我们的用户基数的变化情况。这个数值反映了在安装Metasploit以后,真正更新它的用户的数量,所以我们感觉这个数值比原始的下载次数更准确。在收购以前,这个数值每个月大约是22000个唯一的IP数。
截止到去年9月,我们大约是120000个唯一的IP数,或者说我们的活跃用户数量增加了5倍。如果我们把过去12个月里的下载和更新这个框架的唯一IP数合起来,这个总数现在是100多万。
当前,不同版本的Metasploit,在功能方面有什么区别呢?
Metasploit Framework是我们的开源“内核”,它是通过自由的BSD许可证发布的,它一直是我们开发的重点。
Metasploit Express提供了一个GUI(基于Web的),它不但可以访问标准的Metasploit Framework的所有功能,而且还给使用Metasploit进行入侵检测提供了一个流程。Metasploit Framework是一个工具包,而Metasploit Express为了完成特定的任务把这些工具组合到了一起。
使用Metasploit Express提供的界面可以依次对目标网络进行扫描,安全漏洞发掘,和暴力破解。我们可以很快地从被攻击的机器收集到相关的证据,然后它会使用像Pass-the-Hash和SSH key reuse那样的技术,进一步执行安全漏洞发掘和暴力破解。在入侵检测完成以后,会生成一份高质量的报告,这份报告包括检测的结果和检测期间执行的每个操作的审核日志。
在10月20日,我们发布了Metasploit Pro,它是在Metasploit Express的基础之上开发的,可以支持多用户团队,社会工程活动,Web应用程序安全漏洞发掘,高级的evasion技术和我个人比较喜欢的VPN Pivoting。对于加速入侵检测流程来说,Metasploit Express是一个很优秀的产品,而Metasploit Pro则又进了一步,它可以通过一个集中式的界面帮助安全团队彼此之间进行协作,也可以对目标网络进行各种层次的安全检测——从人性方面(社会工程学)的检测,到注重细节的服务端安全漏洞发掘。
Metasploit Pro中的VPN Pivot功能,可以把任何被入侵的机器转变成一个远程的以太网接口而进入到目标网络中。这可以让用户入侵一个内部的机器(也就是说,通过浏览器安全漏洞发掘),然后使用VPN Pivot继续对防火墙后面的其他的内部机器进行扫描和安全漏洞发掘。
不像其他的pivot技术,VPN pivot可以被任何网络工具使用,因为在Metasploit Pro系统上它建立了一个真正的接口。标准的入侵检测和漏洞评估工具都可以使用这个Metasploit Pro建立的接口。为了让我们的产品更上一层楼,我们还添加了创建自定义报告的功能,它使用JasperSoft报告引擎和iReport图形报告编辑器。
这三个产品都使用相同的安全漏洞发掘方式,负载和库。区别是附加的功能,扩展性,团队支持和每个工具的定位。Metasploit Framework一直是安全漏洞发掘和入侵检测的一流工具,但是,在规模较大的情况下,商业产品可以让这些功能更容易使用。
你近期的计划是什么?Metasploit用户将会看到怎样的功能?
通过Metasploit 3.5.0(所有产品都使用同样的版本号),我们首先会进入到Web应用程序安全领域中。这需要对后端的数据库进行大量的检测,在更新我们的Web模块和填补检测范围的漏洞方面,我们还有一些其他的工作要做。
我个人的开发工作主要集中在Metasploit的Web应用程序检测功能上,和确保我们的产品可以和我们的用户当前使用的其他产品进行交互上。
在负载方面,我们进展的很慢,但是已经对Meterpreter进行了扩展,以支持Windows以外的平台。Philip Sanderson是我们的社区开发者之一,他在完成POSIX的Meterpreter负载方面做了很多工作。我们正在把他所做的工作集成到这个框架中。
在过去的几个月里,我们添加了本地的PHP和Java负载,这可以让他比过去更容易获得高级的功能(从Web应用程序漏洞到Java服务器漏洞)。在安全漏洞发掘的覆盖率方面,我们一直在投入各种资源;其中既包括全职的安全漏洞发掘工程师,也包括和社区一起努力把更多的安全漏洞整合到Metasploit平台上。
【编辑推荐】