Wo Licht ist, ist Schatten

Mit der aktuellen Version des Metasploit-Frameworks kann auch Hardware getestet – und gehackt – werden

Datum
23. Februar 2017
Autor

Das Metasploit-Framework hat eine neue Funktionalität. Mit der Metasploit Hardware Bridge kann das Framework auch Hardware auf Schwachstellen testen, die nicht über Ethernet kommuniziert. Der Benutzer kann sich darauf konzentrieren, Exploits zu entwickeln und Schwachpunkte in der Hardware zu verifizieren. Mit dieser Ergänzung wird Metasploit laut Metasploit-Anbieter Rapid 7 zu einem universellen Penetrationstool, das Hardware und Software direkt testen kann.

Metasploit ist bei Pentestern, aber auch bei Hackern ein beliebtes Werkzeug, um Schwächen im System zu testen und auszunutzen. Im Baukastenprinzip lässt sich mit  wenigen Klicks ein Exploit basteln. Der Nutzer benötigt nur geringe Kenntnisse in Programmierung und Datenübertragungstechnik. Dies ermöglicht auch so genannten Scriptkiddies, Cyberattacken auf Systeme zu starten.

Die aktuelle Version enthält den CAN-Bus (Controller Area Network). Dieser wird unter anderem in der Automobiltechnik eingesetzt. Rapid7 will die Palette um andere Bussysteme wie K-Line erweitern und so den Anwender mehr Möglichkeiten zu geben. Die Pentester können mit der aktuellen Version über das Internet der Dinge (Internet of Things, IoT) vernetzte Hard- und Software, industrielle Steuerungssysteme (Industrial Control Systems, ICS) und  Software Defined Radio (SDR) testen.

Einschätzung

Immer mehr Systeme werden mit dem Internet verbunden. Zum einen ist das komfortabel, zum anderen öffnet es aber auch die Tür für Kriminelle. Hundertprozentige Sicherheit wird es nie geben. Wenn man sich der Gefahren aber bewusst und darauf vorbereitet ist, kann die Bedrohung auf ein Minimum reduziert werden. Metasploit ist ein wichtiges Werkzeug für Sicherheitsfachleute, um Schwachstellen zu erkennen und, wenn erforderlich, zu schließen. Aber es kann auch nicht legal eingesetzt werden. Durch die neue Funktionalität rückt ein breiteres Spektrum an Systemen in den Fokus der Sicherheitsexperten.

Zielgruppen

  • IT- und IS-Verantwortliche
  • Spezialisten
  • Interessierte Kreise