Metasploit, wenn die beste Verteidigung der Angriff ist

(Di Alessandro Fiori)
01 / 07 / 19

In den letzten Jahren hören wir immer häufiger von "Cyber-Angriffen", "Cyber-Kriegsführung" und allgemeiner von Computersicherheit.
Dies liegt daran, dass sich in einer sich ständig ändernden Welt nicht nur die Strategien und Methoden zur Bewältigung der Bedrohung, sondern auch die Bedrohung selbst und das Schlachtfeld ändern.

Wir erleben eine Übergangsphase (um ehrlich zu sein fast abgeschlossen), in der alles miteinander verbunden ist und folglich möglichen Cyber-Bedrohungen ausgesetzt ist.

Heute präsentiere ich Ihnen ein Instrument, eine echte "kybernetische Waffe", die ebenso vielseitig wie mächtig ist und daher sowohl in Angriffs- als auch in Verteidigungsszenarien vorkommt: Metasploit.

Metasploit ist ein Open Source Frameworkoder eine Reihe von Werkzeugen, die in einer einzigen "Toolbox" enthalten sind, erstellt von HD Moore in der 2003. In der 2009 wird das Projekt von der amerikanischen Firma übernommen Rapid7 was schafft, von der Basis der Rahmen, zwei Plattformen für Informationssicherheit: Metasploit Express (jetzt Metasploit Community) e Metasploit Pro.

Metasploit ist sofort sehr beliebt in Communities, die sich an Profis oder Computer-Sicherheitsliebhaber richten, da es nicht nur vollständig ist Open Source (dh mit einem offenen Code kann jeder ihn modifizieren und / oder in seine eigenen Tools integrieren), aber seine Effektivität und Vielseitigkeit machten ihn bald zum Hauptverbündeten vieler "Penetrationstester", dh von Fachleuten, die eine Organisation analysieren, a System oder ein Netzwerk, um seine Schwachstellen zu finden und zu beheben.

Natürlich kann eine solche Waffe auch verwendet werden, um einen echten Angriff auszuführen, aber seien Sie vorsichtig:

  • Das Angreifen eines Netzwerks oder Systems ohne Autorisierung ist a illegale HandlungDaher wird die Verwendung in diesem Licht nicht empfohlen.
  • Metasploit kann nur dann legal verwendet werden, wenn Sie eine Berechtigung vom Eigentümer des Systems haben, die speziell für die Durchführung eines Audits der Systeme mit diesem Tool freigegeben wurde.

Dieses Framework besteht aus mehreren Komponenten, genannt Module, die vom Bediener ausgewählt werden, um einen erfolgreichen Angriff zu erzielen, abhängig vom Typ der entfernten Maschine und der Situation.
Das Ziel eines erfolgreichen Angriffs ist es, Zugriff auf die entfernte Maschine, auf Dateien, auf laufende Programme und auf die darin enthaltenen Daten zu erhalten, ohne dass das Ziel etwas bemerkt.

Die Leistungsfähigkeit und Vielseitigkeit von Metasploit wird durch das Vorhandensein zahlreicher Module für jedes Betriebssystem, jeden Router, jedes Smartphone und jedes IOT-System auf dem Markt unterstrichen.

Wie bereits erwähnt, ist der Angriff auf ein System ohne Autorisierung illegal, und der Angriff auf ein "kritisches" System kann schwerwiegende Folgen haben. Wie manche sagen würden: "Versuch das nicht zu Hause!"

Aber warum ist das alles möglich und warum kontrollieren Softwareunternehmen, Systeme und Hardwaregeräte nicht genau, was sie tun? Um diese Frage zu beantworten, müssen wir einen Schritt zurücktreten ...

Unsere Welt ist voll von elektronischen Objekten. Damit ein elektronisches Objekt komplexe Vorgänge ausführen kann, z. B. ein Fernseher, ein Router oder ein Smartphone, muss die Software das "Bügeleisen" steuern.
Diese Software wurde von Menschen geschrieben, die als solche unfreiwillige Fehler begehen. Diese unfreiwilligen Fehler werden als "Bugs" bezeichnet.
Einige "Lücken" im Design oder der Implementierung der Software können bestehen bleiben freiwillig B. die "Hintertüren" oder echten "Servicetüren", die einige Entwickler absichtlich im Softwarecode belassen, um Administratorzugriff für den Fall zu erhalten, dass es in den schwerwiegendsten Fällen zu Fehlfunktionen oder anderen speziellen Vorgängen kommen könnte .
Viele dieser Hintertüren sind nicht dokumentiert, der Benutzer wird nicht über ihre Existenz informiert und Oft ist das Passwort für den Zugriff auf diese "Hintertür" null oder schwach.
Da diese "Tür" von außen zugänglich ist, könnte ein Angreifer sie zu seinem Vorteil ausnutzen (Sie können sich nur vorstellen, welchen Schaden dieses Verhalten anrichten kann).

In jedem Fall werden die "Bugs" der Software von anderen Menschen ausgenutzt, die "Exploits" erstellen, um diese Bugs auszunutzen, und die anfällige Software treffen, um unerwünschtes Verhalten zu erhalten.
Durch i ausbeutengreift ein Angreifer die anfällige Software an und lädt nach dem Zugriff auf das System eine "Nutzlast", im Allgemeinen eine kleine Software, mit der der Angreifer mit dem Remotecomputer kommunizieren und komplexe Befehle ausführen kann.
Gelingt es dem Angreifer, komplexe Befehle auszuführen, erlangt er Zugriff auf die Maschine und kann verschiedene mehr oder weniger gefährliche Operationen zu seinem Vorteil ausführen.
Metasploit ermöglicht es, den gesamten Prozess zu vereinfachen und verfügbar zu machen ausbeuten, Nutzlast und "Ausweich" -Systeme, um Firewalls, Antivirus und andere Einbruchsicherungssysteme zu vermeiden.

Wie bereits erwähnt, handelt es sich bei der Verletzung des Computersystems um ein Verbrechen (repetita iuvant)..

Nachfolgend finden Sie ein Beispiel für einen Angriff auf ein Windows-System.

In dieser Zeit erleben wir Wellen von Phishing-Angriffen (E-Mails oder Mitteilungen, die als wahr erscheinen, aber tatsächlich erstellt wurden, um das Opfer dazu zu bringen, seine Daten einzugeben oder einen infizierten Anhang zu öffnen).

In diesem Szenario hat der Angreifer einen Server, auf dem Metasploit geladen ist und der darauf wartet, eine Verbindung von seinem "Meterpreter" (einem bestimmten Server) zu erhalten Nutzlast von Metasploit, das mit dem Server des Angreifers kommunizieren kann).
Unten sehen Sie ein Beispiel für einen Server, der auf die Verbindung durch das Opfer wartet:

Das folgende Beispiel zeigt den Computer des Opfers mit der infizierten Verbindung:

Schauen Sie sich das Beispiel nicht an, solche infizierten Links oder Dateien können per E-Mail ankommen und sich in Musikdateien, Bildern, PDFs oder Office-Dateien verstecken.
Im Folgenden wird die Verbindung hervorgehoben, die erfolgreich auf dem Computer des Opfers hergestellt wurde:
Beachten Sie, wie Sie jetzt Befehle an das Betriebssystem des Opfers senden können.
Unten sehen Sie einen Beispielbefehl, der an den Remote-Computer gesendet wurde:

Wie oben erwähnt, ist dies nur ein Beispiel in einer isolierten Umgebung und mit speziell vorbereiteten Maschinen.
Trotz der Simulation ist der Angriff jedoch real.

Daher ist es immer ratsam, nicht erkannte E-Mail-Dateien zu verdächtigen, die Quelle zu überprüfen, Antiviren- und Firewall-Lösungen auf dem neuesten Stand zu halten und stets Aktualisierungen Ihres Betriebssystems vorzunehmen, um unangenehme Situationen zu vermeiden.

Metasploit wird sowohl von Zivilisten als auch von Militärs zum Angriff und zur Verteidigung von Systemen verwendet. Simulationen realer Angriffe werden auf reale oder simulierte Ziele durchgeführt, um die Verteidigung zu testen und sie zu erhöhen / vergrößern, basierend auf der Kritikalität des zu verteidigenden Systems.

Metasploit wird häufig auch bei militärischen Operationen eingesetzt und nicht nur als einfaches Verteidigungsinstrument.
Die Streitkräfte und verschiedene Regierungsbehörden verschiedener Nationen auf der ganzen Welt modifizieren das Framework aufgrund seiner Natur Open-Source-, und in einigen Fällen veröffentlichen sie ihre Änderungen an die breite Öffentlichkeit, so dass jeder von ihnen profitieren kann.

Um ein Beispiel für die Rolle von Metasploit (oder eines ähnlichen Rahmens) in einem realen Kriegsszenario zu geben, können Streitkräfte den Verlust von Menschenleben verringern, indem sie kritische Infrastrukturen angreifen, Kommunikationen, Stromleitungen und andere Infrastrukturen beschädigen und den Feind lähmen unbedingt auf eine enge Konfrontation zurückgreifen.

Diese Art der Nutzung hat im Laufe der Zeit alle Streitkräfte angezogen und das Interesse verschiedener Länder effektiv auf den Schutz von Informationen und Systemen gelenkt. Die Information und die Verwendung derselben werden zunehmend zu einer Quelle des Reichtums, denn wenn die Daten und die Analyse derselben das Wissen der Welt um uns herum bringen, wird die Aggregation und Vertiefung dieses Wissens zu einem Vorteil strategisch in allen Sektoren, von der Kriegsindustrie über die Pharmaindustrie bis zur wirtschaftlichen.

Tatsächlich hat das Aufkommen dieser Technologien und die anschließende Entwicklung verschiedener Szenarien, die sich aus ihrer Verwendung ergeben, zu einer Entwicklung der Betriebsszenarien geführt.

Da ein Cyberangriff ohne leicht zu identifizierende Waffen, ohne "Gerichtsbarkeit" oder "Grenzen" Tausende von Kilometern entfernt ausgeführt werden kann, ist das Konzept der "Grenze" bis vor einigen Jahren verschwunden.

Jede Nation, jede organisierte Gemeinschaft hat ihre eigene "Grenze", diktiert durch geografische oder kulturelle Grenzen. Das Internet kennt naturgemäß keine Grenzen und geht über den Begriff "Nation" oder "Herrschaft" und diese Art von Verzerrung hinaus. Selbst wenn es nur elektronisch ist, hat es tatsächlich den "Nuancen" -Prozess bestehender Grenzen ausgelöst. Das bedeutet, dass konzeptionell zwei geografisch weit entfernte Völker dank des Internets in Wirklichkeit nur wenige "Zentimeter" voneinander entfernt sind.

Diese Art der Veränderung hat den Volkswirtschaften viele Vorteile gebracht, aber auch neue Risiken. Wenn in Europa ein zunehmendes Bewusstsein für Risiken und die Notwendigkeit entsteht, dank der verschiedenen CERTs (Abkürzung für Computer-Notfallteam, dh Personen, die bereit sind, bei IT-typischen Notfällen einzugreifen).
Es gibt strukturierte Realitäten, zum Beispiel die verschiedenen Agenturen wie die NSA, die komplette Strukturen und Methoden für personalisierte Angriffe erstellen (wie Quantum Attack, X-KeyScore und Tailored Access Operations).

Wir werden auch ähnliche Strukturen haben, und eine Menge von CERT-PA und CERT-Nazionale tun, um sicherzustellen, dass das gesamte "Ländersystem" in der Lage ist, sich der neuen Ära (die bereits begonnen hat) zu stellen. Die neuen Szenarien für die Zukunft ändern sich rasant, die Menschen werden sich neuer Realitäten bewusst, und diese Werkzeuge sind zunehmend öffentlich zugänglich (und nicht alle von ihnen sind "gute Jungs").

Wir brauchen also nicht auf Kleinigkeiten zu warten die verschiedenen Entwicklungen, aber handeln Sie umgehend, ohne uns angesichts neuer Herausforderungen in Panik zu versetzen, unsere Fähigkeiten zu erweitern und das neue Humankapital zu bilden (und vielleicht ein paar Köpfe nach Italien zurückzuholen), das uns in allen Sektoren dabei hilft, uns neuen und neuen Schlachten zu stellen Feinde.

Um mehr zu erfahren:
https://it.wikipedia.org/wiki/Metasploit_Project
https://github.com/rapid7/metasploit-framework
https://en.wikipedia.org/wiki/Tailored_Access_Operations
https://www.securityweek.com/nsa-linked-hacking-tools-ported-metasploit
https://www.certnazionale.it/

Foto: US Marine Corps / US Air Force / Autor / Verteidigungsministerium