Metasploit的創始人、漏洞專家H.D.Moore指出，雖然安全軟件編程人員做得越來越好，所開發的應用程序bug越來越少，但是應用程序數量的持續增加卻導致新型軟件漏洞的數量有增無減。在2010年RSA會議的采訪中，Moore解釋了Metasploit怎樣幫助人們測試系統、檢測新的軟件安全漏洞問題，以便在攻擊者有機會利用這些漏洞之前搞清楚新漏洞所帶來的風險。

您能解釋一下Metasploit是如何對軟件安全做出貢獻的嗎？

H.D. Moore：Metasploit是一個尋找漏洞的軟件框架，使你可以在滲透測試中利用這些漏洞。它是一個真正由社區主導的開源工具套件。一切始于七年前。每當一個新的漏洞被發現后，我們就會創建一個安全版本來利用它，并把它添加到Metasploit中去，讓網絡管理員、學生、研究人員以及政府部門都能夠對他們的系統進行測試，從而確保他們的產品和系統得到妥善的修補。所以對于我們來說，這相當于一種供應商“相互檢測和約束系統”（check and balance system）。如果供應商說，“我已經發布了補丁”，那么你可以用Metasploit來驗證你的系統是否安裝了這個補丁、補丁是否正常工作等，而不必再去做那些過去必須做的，用來確保補丁正常工作的額外工作。

有人曾擔心Metasploit在公開漏洞的整體問題方面不夠可靠。您是怎么看的呢？

Moore：可靠的漏洞公開實際上取決于軟件供應商。這只涉及到兩類人：發現漏洞的人和負責修補漏洞的供應商，而他們雙方之間并沒有正式的合同。一般的流程是：研究人員發現一個漏洞并指出問題的所在，以及怎樣去利用這些漏洞，然后他們會把這個問題告訴供應商和外界，最后供應商修補這個漏洞。Meatsploit其實并沒有卷入到這個過程中，我們實際上所做的只是在漏洞披露或者公開之后，讓人們能夠輕松驗證他們的系統是否對這個漏洞免疫，或者讓人們知道這個漏洞能夠給他們帶來的真正影響是什么。

在補丁出現之前，發布漏洞利用程序對軟件安全有利嗎？

Moore：在真正的漏洞proof-of-concept程序出現之前，人們對“某個漏洞能對系統帶來多大影響”的看法只能是猜測而已。有時候你的漏洞表面上看起來非常嚴重，任何人都好像能在你的電腦上運行代碼，但是當你真正坐下來研究這個問題并試圖利用它的時候，你會發現這其實有很多的限制。如果你開啟了數據執行保護（DEP），那么不管你運行哪種平臺、或者使用哪種配置，漏洞都不會帶來多大的破壞。所以，如果有一個平臺能夠測試這些漏洞、并驗證這些軟件缺點所能造成的影響，那么人們不僅對他們在網絡上能做什么更有信心，而且對自己的程序能否正常工作也更有信心。

現在，Metasploit中有多少漏洞利用程序和攻擊代碼（payload）呢？

Moore：數量每天都會增加幾個。我估計我們現在已經有大約530個漏洞利用程序，并且每個漏洞測試都有一個攻擊代碼。除了這530個利用程序之外，我們還有220個輔助模型（auxiliary module），可以允許你測試配置的錯誤、進行暴力攻擊，并且利用那些不允許代碼執行但允許數據訪問的漏洞，比如，能夠獲取某服務器上C盤的內容。我們的Metasploit中除了擁有接近500個不同的CVE（Common Vulnerabilities and Exposures，通用漏洞披露），還有更多的漏洞沒有CVE標識。其中，并不是每一個漏洞都進行了分類、或者被標明它是什么以及它意味著什么。

在過去的一年中，很多事情都發生了變化。實際上，你過去常常自己掏錢來支撐Metasploit的開發。在被Rapid7收購之后，這個項目能得到多大的幫助呢？　

Moore：Metasploit可以讓我們把更多的資源投入到真正需要的地方，比如QA質量評估、后端自動化，以及數據庫模式等?？墒?，沒人愿意碰那些沒意思的框架部分，這在過去通常是我的差事，發布一個新的版本常常都指望我一個人。我會花費整個周末來進行測試、安裝配置、更新網站等?，F在我有了一個團隊，這樣我可以把工作交給他們，并且能夠更快的完成。所以，我希望此次收購對于這個項目來說意味著我們能夠更快的更新內容、添加更多的功能，從長遠來看，我們還會更頻繁的發布更多的版本。

社區對于此次收購是怎么看的呢?有人反對嗎？

Moore：隨著我們繼續推出更多的代碼、更多的版本以及更多的功能，我認為懷疑的聲音會慢慢減少。我們看到許多新的社區貢獻者加入了我們，因為Rapid7能夠給這個項目帶來穩定。以前，人們可能會在內部使用Metasploit，但并沒有人真正認為可以在一年或者兩年以后繼續指望這個項目。現在，我們有了預算，投入了大量的人力物力來確保Metasploit的成功，更多的人愿意對這個項目作出貢獻，因為他們相信Metasploit的前景非常光明。

軟件安全性現在有所改觀了嗎？比如說，微軟在安全方面已經做了很多努力，但是每個月還是會發布大量的安全公告。

Moore：實際上，軟件安全在細節方面已經改善了很多。對于微軟這樣的供應商而言，他們在安全問題處理方面有大量的預算，其軟件開發周期中也包含了安全周期，這個跟5年前或者10年前的情況相比要好得多了。但問題是現在軟件供應商太多，而人們每天的日常生活又過于依賴軟件的使用，比如說旅游、上網、預定出租車等等，甚至有時候幾乎所有的事情都會用到電腦和軟件。而在過去十年中，每家曾指望微軟為其解決安全漏洞問題的公司，現在都不得不自己重新再開始做一遍相同的工作。我們之所以有這么多的缺點和漏洞，并不是因為某些供應商做得很差，只是因為軟件應用程序的數量每天都在持續增加。  

【編輯推薦】

1. RSA2010:內部開發軟件九成存漏洞
2. 近九成的web應用程序都存在嚴重漏洞