Suchen

Security-Tools – Das Metasploit-Framework (Teil 2) Exploits für Client- und Server-Applikationen entwickeln und anwenden

| Autor / Redakteur: Marcell Dietl / Stephan Augsten

Betriebssysteme werden immer umfangreicher, ihre Quellcodes komplexer und das Angebot an Software zusehends größer. Für einen Kriminellen sind all dies mögliche Angriffspunkte, um einzelne Computer oder ganze Netzwerke erfolgreich zu kompromittieren. In diesem Beitrag widmet sich Security-Insider.de den Funktionen Metasploits zum Aufdecken und Ausnutzen von Schwachstellen.

Metasploit ermöglicht es, Server und Clients mittels eigens entwickelter Exploits zu kompromittieren.
Metasploit ermöglicht es, Server und Clients mittels eigens entwickelter Exploits zu kompromittieren.
( Archiv: Vogel Business Media )

Laut einer Studie von NCSP aus dem Jahre 2005 tauchten Fehler im Code kommerzieller Applikationen mindestens alle 1000 Zeilen auf; oftmals auch häufiger. Das US Unternehmen Coverity veröffentlichte etwa zeitgleich eine Analyse des Linux-Kernels. In mehr als fünf Millionen Zeilen Code (Lines of Code, LoC) konnte hier nur etwa alle 5000 Zeilen ein Fehler nachgewiesen werden.

Für die Verfechter quelloffener Systeme war dies ein Beweis für deren Sicherheit. Ein Hacker verfügt damit dennoch über mehrere hundert Stellen, die ein System verwundbar machten. Ob nun kommerziell oder quelloffen: Der Sicherheit fremder Software – besonders in kritischen Umgebungen – sollte niemals blind vertraut werden.

Um diesem Defizit beizukommen, bietet Metasploit eine Reihe von Ruby-Modulen, die besonders gut für den Einsatz in Fuzzern geeignet sind. Fuzzer sind simple Programme und Tools, mit deren Hilfe man die Robustheit einer Applikation durch das Senden vieler verschiedener Daten testen kann.

Kommt es dabei zum Absturz des Dienstes, gilt es die genaue Ursache zu untersuchen. Mit Hilfe von fertigen Skripten lässt sich anschließend ein individueller Exploit realisieren, der gut portierbar ist und als Beweis gegenüber anderen Verantwortlichen verwendet werden kann.

Seite 2: Mithilfe von Fuzzing schnell konkrete Ergebnisse erzielen

(ID:2042713)