HD Moore: о Metasploit и его создателе

Tweet

На сегодня Эйч Ди Мур (HD Moore) — один из наиболее известных специалистов в области информационной безопасности на планете. Уже в начале 2000-х на сайте известнейшей хак-конференции HITB можно было увидеть анонс, гласивший: "У нас будет еще один спикер — Эйч Ди Мур. Если ты не знаешь, кто это, значит ты вообще не хакер, и тебе нужно как можно быстрее прочитать его биографию!". А ведь самому Муру на тот момент было всего 22 года.

Начало карьеры

Родился наш герой в 1981 году в Соединенных Штатах звездно-полосатой Америки. Кстати, интересный факт — HD Moore, это не псевдоним. Дело в том, что первое имя Мура — Эйч (одна буква "H", серьезно), а второе начинается на "D", вот и получаются инициалы. В юности Мур успел не раз сменить школу, так как из учебных заведений его попросту выгоняли за неуспеваемость. Если посмотреть на биографии других видных IT-деятелей, становится ясно, что подобная ситуация в этой среде едва ли не норма. Таким людям зачастую бывает скучно учиться — множество дисциплин они считают для себя ненужными и даже не пытаются вникать в них. У Мура была схожая проблема. Шанс раскрыться представился ему лишь в не совсем обычном учебном заведении города Остин (штат Техас). Частная школа Гонзало Гарза работала (и по сей день работает) с подростками, которые по тем или иным причинам не могут найти себя и состояться в рамках привычной нам системы. Именно там Эйч Ди отыскал свое место, а учителя гордо называли его компьютерным гением.

Доподлинно неизвестно, в каком именно возрасте Мур заинтересовался поиском багов и уязвимостей, везде, где их только можно найти. Зато известно, что во время учебы в Гарза, будучи подростком 17 лет от роду, он уже сумел обнаружить серьезную проблему в армейской программе SHADOW (Secondary Heuristic Analysis for Defensive Online Warfare). Мур не только предложил решение найденной проблемы, но даже проконсультировал по данному вопросу Агентство Национальной Безопасности. Поправки Мура приняли, в софт внесли соответствующие изменения.

В тот же период времени он обнаружил серьезную дыру в почтовом сервисе Yahoo. Как истинный white hat Эйч Ди сообщил о дырке в Yahoo и продемонстрировал одному из сотрудников компании, как при помощи этой уязвимости можно пробраться в систему и прочитать чужую почту. Все было принято к сведению и исправлено.

Неудивительно, что после такого Мура заметили, и уже в столь юном возрасте он начал сотрудничать с Computer Sciences Corporation и Армией США на контрактной основе. Сам Эйч Ди признается, что ему всегда нравилось ломать и разбирать все подряд, и, по сути, он до сих пор занимается именно этим, просто используя для этого более продвинутые и автоматизированные методы.

В последующие годы Мур продолжал совершенствоваться в нелегком деле тестов на проникновение, поиска уязвимостей и создания эксплоитов. Именно так, в процессе контрактной, фрилансерской работы, и родилось его самое известное (но не единственное) детище — Metasploit. Если ты не знаешь, что это такое, то этот журнал, наверное, попал к тебе в руки по ошибке, и ты, как писали парни с HITB, "не хакер" :). Впрочем, восполнять пробелы в знаниях никогда не поздно, так что позволь все же привести короткую справку.

Проект Metasploit появился на свет в 2003 году, и создателем его первой версии выступал лично Мур. Исходно он затевал это исключительно для себя и ради собственного удобства, но впоследствии идея развилась в серьезный бизнес, а Metasploit Framework стал одним из наиболее известных продуктов в своей области. Это законченная среда для создания, тестирования и использования кода эксплоитов. Она обеспечивает надежную платформу для испытаний на проникновение, разработки шеллкодов и исследования уязвимостей. Помимо прочего проект включает в себя базу опкодов, архив шеллкодов и информацию по исследованиям компьютерной безопасности. Официальная страница Мура советует относительно Metasploit Framework буквально следующее: "Профессионалы в области сетевой безопасности могут использовать Metasploit для проведения пен-тестов, системные администраторы — для проверки установленных патчей, производители — для регрессивного тестирования, исследователи в сфере ИБ со всего мира тоже наверняка сумеют найти Metasploit применение". Metasploit способен функционировать практически на любой платформе, привязки к чему-либо конкретному у него нет. По признанию Мура, самой экзотичной системой, на которой когда-либо запускали его продукт, были наручные часы с какой-то хитрой модификацией Linux на борту. Такими извращениями занимался один участник конференции SOURCE в Бостоне.

Первая версия "Метасплоита" была написана на Perl и содержала псевдографический интерфейс на базе curses. Впоследствии, в 2006 году, когда к Эйч Ди присоединились другие разработчики, была основана компания Metasploit LLC, и творение Мура почти полностью переписали на Ruby (с некоторыми частями на ассемблере, Python и C). Словом, это своеобразное LEGO для хакеров, скрипткидисов, тестеров и примкнувших к ним сограждан.

Metasploit и не только

Однако неизвестно, как могла бы сложиться карьера Мура и судьба проекта Metasploit, если бы Эйч Ди в 2005 году не повезло найти себе понимающего работодателя. Таковым для него стала компания BreakingPoint, по сей день занимающаяся вопросами безопасности в киберпространстве. Умные руководители BreakingPoint решили, что побочные проекты Мура не только не вредны, но и полезны компании, так как помогают улучшить качество их собственной продукции и заслужить больший кредит доверия у клиентов. В целом, все так и вышло. Эйч Ди на протяжении 4 лет занимал в компании должность директора подразделения по исследованиям в сфере безопасности, "Метасплоит" развивался, продукция BreakingPoint тоже.

В те годы на рынке информационной безопасности, по словам Мура, царила "великая депрессия". Многие из тех, кто раньше открыто публиковали информацию и с радостью делились ею, находили себе работу, или напротив — бросали это занятие. Частные компании, в свою очередь, все чаще стали занимать позицию: "А зачем мы будем делиться со всеми этой инфой, если мы может продать ее в iDefense?". Идея же Metasploit, напротив, состояла в разработке инструментария и фреймворка для быстрого создания эксплоитов, так сказать, для всех и каждого. В этом вопросе Муру и его коллегам, в известной степени, повезло — в то же самое время понемногу начала возрастать информированность людей о необходимости такой простой вещи, как пен-тестинг, а в данной области инструменты подобные Metasploit просто необходимы. Весьма интересно и то, что Мур всегда смеялся и продолжает смеяться над теми, кто полагает, что после обнародования уязвимости (и тем более эксплоита), обязательно случится "что-то плохое". Он искренне считает, что эксплоиты, а также информация о багах и дырках должны быть общедоступны, ведь это, напротив, помогает безопасникам в их работе. Разумеется, здесь нужно заметить, что публиковать такие данные Мур считает возможным лишь после того, как о них оповещен производитель софта и CERT.

Лишний раз востребованность проекта подтвердилась в 2009 году, когда Metasploit был приобретен фирмой Rapid7, занимающейся управлением уязвимостями. Подробности этой сделки неизвестны, но Эйч Ди Мур покинул BreakingPoint, занял в Rapid7 кресло руководителя службы безопасности, одновременно оставаясь и главным архитектором "Метасплоита".

После покупки компании многие ожидали изменений к худшему и как минимум тотальной коммерциализации, но этого не произошло. Metasploit Framework по-прежнему бесплатен, хотя и появилась платная версия Metasploit Express, лицензия на которую стоит $3000 в год, а также Metasploit Pro, который распространяется среди партнеров компании. Кстати, незадолго до слияния, а именно в 2008 году, лицензия Metasploit Framework была сменена с проприетарной на BSD. Мур по сей день подчеркивает во всех интервью, что проект был, есть и останется open-source. Для Мура и его детища это слияние стало переходом на новый, уже совсем серьезный уровень. Metasploit укрепил свои позиции, отчасти монетизировался и на сегодня является одним из наиболее известных и востребованных инструментариев в своем роде. В Rapid7, которая теперь управляет проектом, за последние годы было вложено 9 миллионов долларов инвестиций со стороны известных в Кремниевой долине венчурных фондов. Это явно свидетельствует о том, что аналитики и бизнесмены с оптимизмом смотрят на будущее Metasploit.

С финансами, кстати, связан еще один забавный факт. Мур не раз признавал в интервью, что "Метасплоит" нашел отклик и у андеграунда компьютерного мира, где он многим полюбился. Раньше, в начале и середине 2000-х, для команды проекта было вполне нормально получить $5 000 с неизвестного российского PayPal-аккаунта в виде пожертвования. На контакт такие анонимные благодетели идти не желали, на все вопросы отвечали, что им ничего не нужно, а деньги были "просто так, наслаждайтесь".

В 2010 году Rapid7 и компания SANS договорились о сотрудничестве и открыли курсы по обучению работе с инфраструктурой Metasploit Framework. Обучение доступно в любых форматах: путем личного общения с инструктором, общения в реальном времени через интернет или даже в виде самостоятельного онлайн-обучения. Но выше уже упоминалось, что "Метасплоит" — не единственное, что вышло из-под клавиатуры Эйч Ди. Это действительно так, хотя остальные его продукты тоже направлены на приносящее пользу разрушение :).

К примеру, в 2006 году Мур сначала объявил и провел "Месяц браузерных багов", в ходе которого публиковал по эксплоиту к популярным браузерам каждый день, а затем, подытоживая, выпустил утилиту AxMan. Программа проводит аудит установленных в системе ActiveX и формирует список найденных уязвимостей. На момент релиза с ее помощью можно было обнаружить практически все уязвимости, связанные с этой технологией.

Еще один хороший образчик творчества Мура — WarVOX, это не что иное, как инструмент для старого доброго war-dialing. Она ориентирована на аудит телефонных линий, способна обнаруживать мини-АТС, тональные сигналы готовности, голосовую почту, факсимильные аппараты и другие виды телефонных соединений. С ее помощью можно за 8 часов просканировать до 10 000 телефонных номеров. WarVOX умеет и записывать и архивировать аудиопоток. Если на другом конце провода кто-то возьмет трубку, WarVOX это обнаружит и начнет запись любого типа аудиосигнала. Прога, разумеется, предназначена для исследовательских целей, инвентаризации и проверки безопасности телефонных линий, а не для того, о чем ты сейчас подумал.

• Фабрика сплоитов: учимся писать эксплоиты для Metasploit Framework

• Состоялся дебют версии Metasploit для корпоративных пользователей
  • Платформа Metasploit Framework 3.3 доступна для скачивания

• Metasploit Express: легкое в использовании средство для проведения тестов на проникновение

• Разработчики Metasploit открывают курсы по работе со своей программой