Działająca w branży bezpieczeństwa IT amerykańska firma Rapid7 kupiła kilka miesięcy temu otwarty (Open Source) projekt Metasploit. Kierujący projektem HD Moore objął w Rapid7 stanowisko szefa ds. bezpieczeństwa (CSO) oraz zajął się koordynowaniem rozwoju Metasploita. W związku z pojawiającymi się przy tego typu transakcjach obawami, amerykańska firma zapewniała, że podporządkuje się w stu procentach otwartemu charakterowi projektu oraz w pełni zachowa społecznościowy modelu jego rozwoju. Tymczasem dowiadujemy się, że mający się wkrótce ukazać Metasploit Express 3.4 został wyceniony na 3000 USD…
Metasploit to najbardziej znany i najobszerniejszy framework programistyczny służący do tworzenia oraz praktycznego testowania exploitów dla luk bezpieczeństwa. Cieszy się on ciągle rosnącą popularnością zarówno wśród ekspertów od bezpieczeństwa, jak i crackerów. HD Moore, szef całego projektu, zapowiedział wczoraj nadchodzące wydanie Metasploita w wersji 3.4.0. Jak zwykle nowa wersja przyniesie szereg usprawnień oraz wiele nowych modułów. Bardzo ciekawie brzmi również zapowiedź znacznego rozszerzenie możliwości środowiska w zakresie przeprowadzania ataków typu brute force.
Największe zaskoczenie stanowi jednak zapowiedź wprowadzenia na rynek programu Metasploit 3.4 w wersji Express, który to ma być rozwiązaniem komercyjnym, kosztującym okrągłe 3000 USD (cena rocznej subskrypcji wraz z dostępem do pełnego wsparcia technicznego). Na wersję Express ma zaś składać się standardowy Metasploit Framework, Workflow Manager (odpowiedzialny za automatyzowanie testów penetracyjnych) oraz przyjazny, graficzny interfejs użytkownika.
Metasploit Framework Express ma więc być rozwiązaniem oferującym każdemu zainteresowanemu możliwość przeprowadzania zaawansowanych testów penetracyjnych bez potrzeby zaznajamiania się z zawiłościami samego środowiska Metasploit Framework. Prawdopodobnie więc będzie to narzędzi, po uruchomieniu którego wszystkie testy penetracyjne wykonają się w sposób wysoce zautomatyzowany, przy praktycznie niewielkim udziale użytkownika. Warto zauważyć, że tego typu komercyjne narzędzia umożliwiające w pełni zautomatyzowane testy penetracyjne są już obecne na rynku (np. CORE IMPACT, Immunity CANVAS).