Contribuir? Por quê? Para Aprender

Uma ferramenta que na minha opinião deveria estar no kit de ferramentas de quem trabalha na área de testes de vulnerabilidades é o Metasploit Framework (MSF).

O Metasploit Framework é um projeto open source atualmente gerido pela Rapid7. O projeto foi criado para fornecer informações sobre técnicas de exploração e criar uma base de conhecimento funcional para desenvolvedores de exploits e profissionais de segurança. Ele fornece informações e ferramentas úteis para pentesters, pesquisadores de segurança e desenvolvedores de assinaturas para sistemas de detecção de intrusão. Para pentesters ele dispões de módulos que vão desde a fase do information gathering até exploração de alguma falha como a do Windows SMB Relay Code Execution (MS08-068). Enfim, no meu ponto de vista, ele é um framework bem completo.

Por ser um projeto open souce qualquer um pode contribuir com o MSF, seja com a submissão de algum módulo ou, caso você não tenha familiaridade com desenvolvimento em ruby, basta usar o framework e reportar algum bug (isso também é contribuição). Para submeter um módulo basta mandá-lo em anexo para [email protected], ou trocar uma ideia com os desenvolvedores no canal #metasploit da Freenode.

Recentemente eu e outros dois colegas aqui da Tempest (Tiago Ferreira e Leandro Oliveira) contribuímos com o projeto submetendo alguns módulos:

Há algum tempo atrás a Rapid7, mantenedora do Metasploit lançou uma versão paga do framework Express com alguns recursos a mais. Será que os colaboradores do MSF se sentiram usados? Até onde eu sei, não há nada que os impeça de fazer isso, até por que quando submetemos algum módulo para o projeto ele passa a estar sob uma licença especifica (MSF_LICENSE).

Aqui, eu preciso confessar uma omissão: apesar de ter submetido alguns módulos, confesso que eu mesmo não li os termos da licença, porque minha motivação era, antes de tudo, o aprendizado; pra mim, se meu módulo for usado ou "abusado" em uma possível versão paga da ferramenta, tanto melhor.

E recentemente o projeto open source W3AF (Web Application Attack and Audit Framework) passou a ser patrocinado pela Rapid7, acredito que é questão de tempo até a empresa lançar uma versão paga do W3AF ou até mesmo um produto novo na linha Web Application.

Esse debate sobre uso da mão de obra da comunidade e utilização de ferramentas open souce como base para ferramentas pagas é bem antigo. Mas, aí, vai uma questão: para nós, amantes do Software Livre, isso deve ser inspirador ou desmotivador?

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Renato Malta | 2010-08-06 11:15:20 | permalink | topo

E agora a Rapid7 assumiu o projeto w3af que é no mesmo estilo do msf so que para apps web..

Epitácio Gueiros Neto | 2010-08-05 01:27:00 | permalink | topo

É isso aí, Heyder. Quem ensina aprende duas vezes! ;)