Ոտքով հարվածող գործիքը եւ զենքի բարակ գծերը
The Metasploit Project- ը ակնհայտորեն ձեւավորվում է «օգտակար տեղեկություն տրամադրող անձանց համար, ովքեր կատարում են ներթափանցման փորձարկումներ, IDS ստորագրության զարգացում եւ հետազոտության օգտագործում»:
Նրանց վերջին թողարկումը, Metasploit Framework 2.0 տարբերակը, պնդում է, որ «զարգացած բաց կոդով հարթակ մշակման, փորձարկման եւ շահագործման կոդի օգտագործման համար»:
Թեեւ ճիշտ է, որ Metasploit- ի շրջանակում կառուցված գործիքները եւ գործառույթները կարող են արժեքավոր լինել անվտանգության աուդիտորի կամ ներթափանցման փորձարարի համար, օգտագործելու համակարգի կամ ցանցի անվտանգությունը ստուգելու համար, դա, հավանաբար, ճիշտ է կամ ավելի շատ, որպեսզի սցենարները եւ այլ wannabe հաքերները կամ չարամիտ կոդավորողները կարող են այս գործիքը օգտագործել որպես բաց կոճակ կամ արագ երթեւեկություն, օգնելու նրանց օգտագործել շահագործման եւ չարամիտ ծրագրեր:
Ես չեմ հասկանում, թե որքանով է Metasploit- ի ծրագիրը կամ այն մշակողները, ովքեր աշխատել են այս օգտակար ծառայության մեջ `ասելու, թե արդյոք իրենց մղումները մաքուր են: Թվում է, որ հաճախ ցանցային անվտանգության ապահովման եւ ցանցի անվտանգության խախտման միջեւ տողը բարակ է, եւ դա չի նշանակում, որ որոշ այլ ռացիոնալ մարդկանց համար պատասխանատվություն են կրում անվտանգության հետազոտողներին կամ ադմինիստրատներին պակաս քան պատվավոր մտադրությունների համար: Ոմանք կարծում են, որ ցանցային անվտանգության որեւէ մեկը նույնպես կողմնակից է հակերին եւ շատերը կասկածում են գործիքների իրական մտադրության համար, որոնք կրկնապատիկ զենք են սցենարիստների համար:
Նույնիսկ եթե մենք ենթադրենք, որ իրականում նրանց նպատակն է ապահովել օգտակար տեղեկատվություն եւ գործիքներ, որոնք կօգնեն հետագա զարգացման եւ անվտանգության հետազոտության համար, դա չի փոխում այն փաստը, որ գործիքը հասանելի է ներբեռնման համար եւ չկա կանխատեսելու կամ վերահսկել, թե ինչն է վերջնական օգտագործողը կանի դա:
The Metasploit Project- ը նշում է, որ իրենց Metasploit- ի շրջանակները կարելի է համեմատել թանկարժեք կոմերցիոն արտադրանքների հետ, ինչպիսիք են անձեռնմխելիության CANVAS կամ Core Security Technology- ի հիմնական ազդեցությունը: Այս գործիքները նաեւ տրամադրում են նույն կամ համանման ֆունկցիոնալությունը: Հիմնական պատճառներից մեկն այն է, որ նրանք չեն մտնում Metasploit- ի շրջանակի ուսումնասիրությունը: Քանի որ քանիսը կարող են թույլ տալ, որ այդ փաթեթները փոքր ռիսկի են ենթարկում, բայց եթե նույն ուժն եք վերցնում եւ ազատ եք տարածում, ապա ավելի մեծ մտահոգություն է առաջանում, որ սխալ մարդիկ կկարողանան օգտագործել այն սխալ պատճառներով:
The Metasploit Framework- ը կարծես թե հզոր գործիք է: Ես ներբեռնում էի մի օրինակ, որ իմ համակարգում իմ համակարգչի վրա խաղալն է: Կարծում եմ, որ անվտանգության ադմինիստրատորների համար այն կարող է արժեքավոր լինել ճակատամարտում `ապահովելու ձեր համակարգիչը եւ ցանցային անվտանգությունը եւ համոզվեք, որ դուք պաշտպանված եք: Բայց, կարծում եմ, մենք կարող ենք նաեւ սկսել նոր բացահայտումներ եւ փողոցներ հարձակող չարամիտ տեսանյութեր, երբ սցենարիստները սկսել են խաղալ այս գործիքի հետ եւ սովորել, թե որքան հզոր է դա որպես զենք: