O Metasploit Project é ostensivamente um grupo formado para "fornecer informações úteis para pessoas que realizam testes de penetração, desenvolvimento de assinaturas de IDS e pesquisas de exploração".
Seu último lançamento, o Metasploit Framework versão 2.0, afirma ser "uma plataforma avançada de código aberto para desenvolvimento, teste e uso de código de exploração".
Embora seja verdade que as ferramentas e funcionalidades incorporadas ao Metasploit Framework possam ser valiosas para um auditor de segurança ou um testador de penetração usarem na verificação da segurança de um sistema ou rede, é provavelmente tão verdadeiro ou mais que script-kiddies e Outros aspirantes a hackers ou desenvolvedores de códigos maliciosos podem usar essa ferramenta como via expressa ou rápida para ajudá-los a criar exploits e malwares.
Eu realmente não sei o suficiente sobre o Metasploit Project ou os desenvolvedores que trabalharam neste utilitário para dizer se seus motivos eram puros. Parece que muitas vezes a linha entre fornecer segurança de rede e quebrar a segurança de rede é pequena e não é preciso muito para que algumas pessoas racionais acusem pesquisadores de segurança ou administradores de intenções menores do que honradas. Alguns presumem que qualquer pessoa na segurança da rede também é um hacker e muitos questionam a verdadeira intenção das ferramentas que funcionam como armas poderosas para os script-kiddies.
Mesmo se assumirmos que o objetivo deles é realmente fornecer informações úteis e ferramentas para ajudar a promover a causa do desenvolvimento e da pesquisa de segurança, isso não muda o fato de que a ferramenta está disponível para todos baixarem e não há como prever ou controlar o que o usuário final fará com ele.
O Metasploit Project diz que o seu Metasploit Framework pode ser comparado com produtos comerciais caros, como o CANVAS da Immunity ou o Core Impact da Core Security Technology. Essas ferramentas também fornecem a mesma funcionalidade ou similar. Uma das principais razões pelas quais eles não estão sob o escrutínio que o Metasploit Framework tem é o preço. Como poucos podem pagar por esses pacotes, eles representam um pequeno risco, mas se você usar esse mesmo poder e distribuí-lo livremente, há uma preocupação maior com o fato de que as pessoas erradas o usarão pelos motivos errados.
O Metasploit Framework parece ser uma ferramenta poderosa. Eu mesmo baixei uma cópia para jogar na minha própria rede contra os meus computadores do laboratório. Eu acho que para os administradores de segurança pode ser valioso na batalha para garantir o seu computador e segurança de rede e verifique se você está protegido. Mas, acho que também podemos começar a ver novas explorações e malwares atingindo as ruas uma vez que os script-kiddies começam a brincar com essa ferramenta e aprender o quão poderosa ela pode ser como arma.
