Nachdem wir Ihnen in der ersten Ausgabe die Wirkungsweise und Zielsetzung der Penetrationstest erklärt haben, widmen wir dieser Ausgabe dem „Metasploit Framework“. Professionelle Hacker bedienen sich für Cyberangriffe in der Regel speziellen Frameworks. Unter einem „Framework“ (Rahmenwerk) wird ein Programmgerüst verstanden. Dieses wird in der Softwaretechnik, hauptsächlich im Rahmen einer objektorientierten Softwareentwicklung eingesetzt.
Das Rahmenwerk ist eine Grundstruktur, die selbst kein fertiges Programm bildet, aber als Rahmen (Frame) dient, in dem ein Programmierer eine Anwendung erstellen kann. Die Frameworks der Hacker sammeln unter einer Oberfläche alle nötigen Tools (Tool: Werkzeug), um möglichst viele Angriffe zu starten. Bestandteile der Werkzeuge sind „Exploits“. Darunter werden Programme oder Codeteile verstanden, die in der Lage sind, Sicherheitslücken in der Software zu entdecken.
>> Download: Metasploit Framework kostenlos herunterladen
[sc name=“adsense_InText_ad“]
Metasploit Framework: Geschichte
„Meta-sploids“ (Abstraktionsschicht -Meta- für ExSploids) ist ein großes Framework im Bereich der Sicherheitsindustrie, startete im Jahre 2003 als Open-Source-Projekt und bot anfangs elf Exploid-Codes. Mit der Zeit erhöhte sich die Zahl der Exploids in Metasploits auf ca. 1500. Neben der frei verfügbaren Community-Version vertreibt das Unternehmen „Rapid 7“ zwei kommerzielle Varianten.
Legitim und legal
Metasploit Frameworks haben nichts mit kriminellen und illegalen Angriffen zu tun und werden doch täglich eingesetzt. Das geschieht legitim (im Innenverhältnis) sowie legal (im Außenverhältnis) und dient Testzwecken. Administratoren oder Sicherheitsleute bedienen sich dem Metasploit Framework, um Angriffe zu Testzwecken durchzuführen und so die IT-Sicherheit zu prüfen. Möchten Sie selbst einen Testangriff mit Metasploit durchführen,werden Sie selbst zum Administrator und greifen ganz legal Ihr eigens System an, um Schwachstellen aufzudecken, die sich in Ihren Systemen befinden. Selbst das Bundesamt für Informationstechnik (BSI) beführwortet Penetrationstest wie das Metasploit Framework, um einen Testangriff durchzuführen. Um einen Testangriff zu starten, benötigen Sie das Framework Metasploit, das legal und sicher als Download in der Gratis-Version bei Rapid 7 erhältlich ist.
Dieser Artikel ist Teil unseres kostenlosen Workshops “Eigene IT-Systeme hacken” – Geeignet für fortgeschrittene & professionelle PC-Anwender. Machen auch Sie mit und lernen Sie in 5 Artikeln, wie Sie Ihre eigenen IT-Systeme auf Sicherheitslücken prüfen!
Artikelbild: Tomasz Zajda / Fotolia
