25 oktober 2006

Moore lijkt op de andere onderzoekers naar beveiliging die 'kicken' op de publiciteit die ze genereren als ze weer softwarefouten en -lekken ontdekken. Voor Moore geldt dat vooral voor zijn 'bug-a-day' stunt in juli, toen hij elke dag een bug publiceerde die de zwakheid van browsers blootlegde. Maar hij gaat nog veel verder: hij is een van de belangrijkste krachten achter het Metasploit Project, die een vrij te gebruiken open source platform heeft ontwikkeld dat het makkelijker maakt om programmacode te ontwikkelen en te testen die kwetsbaarheden in software kan uitbuiten. De gebruiker krijgt in ieder geval al 150 voorbeelden van dergelijke code aangeboden, klaar om te gebruiken. De volgende maand zal Moore (zoals hij zegt) 'raise the already-high stakes' als Metasploit een nieuw stuk code zal publiceren. Die code wordt eVade-o-Matic genoemd en maakt het voor anti-virus- en anti-malware-software moeilijker om exploit-code te ontdekken die op webbrowsers is gericht. Het is de vraag of dit niet te ver gaat: het is namelijk een kant van de medaille om mensen te laten zien hoe softwarekwetsbaarheden uit te buiten. Het is iets anders om aanvallers te helpen onontdekt te blijven.

De Metasploit website dient als een soort gymnasium voor beveiligingsprofessionals en hun tegenstanders (want het doet geen poging om de een van de ander te onderscheiden) gericht op manieren om in informatiesystemen in te breken. eVade-o-Matic is ontwikkeld om kwaadwillende Javascript, bedoeld om browsers aan te vallen, te verbergen. 'It takes normal JavaScript that programmers write into a Web page and makes it look different each time the page is launched. That can foil software defenses that rely on lists of known malware', zo zegt Moore. Metasploit's doel is om IT specialisten te helpen de beveiliging van de softwareproducten die ze kopen of schrijven te verifiëren. 'Without exploit code, penetration testers can't do their jobs, [intrusion-detection system] developers can't create reliable signatures, and network administrators have to blindly trust that a patch installation actually worked', zo zegt Moore, zelf ontwikkelaar en onderzoeker voor de site die hij in 2003 mede de wereld in hielp. Moore kan gezien worden als een soort wapenhandelaar: zijn spullen kunnen gebruikt worden ter bescherming van anderen, maar ook om anderen in gevaar te brengen. Hij is niet geïnteresseerd in de controle op het gebruik van zijn producten. Hij creëerde vorige maand een exploit voor de Vector Markup Language (VML)-kwetsbaarheid in Internet Explorer. Die exploit was niet te detecteren door 26 anti-viruspakketen, waaronder Kaspersky, McAfee, Microsoft en Symantec. Eerder dit jaar ontwikkelde hij een exploit van een kwetsbaarheid in Microsoft's Windows Metafile, nog voordat er een bekende oplossing was. Het dwong Microsoft tot het uitbrengen van een patch, vijf dagen voordat er een normale software-patch zou worden uitgebracht. Hij liet tegelijkertijd Internet Explorer ook een tijdlang kwetsbaarder dan wanneer hij met het bedrijf had samengewerkt. Moore is een beroemdheid in de beveiligingswereld. Hij wordt beschouwd als 'straight-laced, probably as white [hat] as you can get', zo zegt Mati Aharoni, senior tester bij het Israelische See Security Technologies. Een van zijn slachtoffers echter, een manager van een product dat succesvol door Moore werd gehackt, noemde hem een 'spawn of the devil' en 'Hitler's driver'. Er wordt veelal gelachen als een boer met kiespijn als Metasploit weer eens aan de deur staat. Als open source gemenschap wordt Metasploit bestuurd door Moore en Matt Miller, ook wel 'Skape' genoemd; de exploitcode wordt aangedragen door programmeurs verspreid over de gehele wereld. 'The Metasploit staff doesn't enforce anyone's idea of 'responsible disclosure', and each of us have our own policies for when to release an exploit based on the patch time line', zo zegt Moore. In juli, in de 'month of browser bugs' ontdekte hij 80 tot 120 kwetsbaarheden in de verschillende belangrijke browsers. 'Mozilla responded quickly and tested certain areas of its code, using tools Metasploit developed. They even sent me a T-shirt', zo gniffelt Moore. Opera reageerde ook wekelijks. Apple reageerde niet op de gepubliceerd bugs voor Safari. Het is moeilijk om te zeggen hoeveel mensen Metasploit gebruiken. Moore heeft een ruwe schatting door de unieke IP-adressen te tellen van waaruit de laatste versie wordt gedoenload: 90.000 dit jaar. Op het eind van het jaar wil hij Metasploit versie 3 uitbrengen, niet geschreven in Perl maar in Ruby. Het wordt een veel robuustere versie met een veel gemakkelijker te gebruiken interface. Makkelijker in gebruik betekent toegankelijker voor meer gebruikers. Moore heeft daarmee geen enkel probleem: 'Admins cry, 'You can break into my systems now'. Well, you should patch your systems'.