هناك العديد من موارد القرصنة الأخلاقية والأدوات لاختبار أمان الكمبيوتر. الهدف هو أن تكون قادرًا على اكتشاف نقاط الضعف ، والعثور على الأخطاء التي قد تشكل خطرًا على الجهاز. لكنها تعمل أيضًا على التعلم ، ووضع نفسك في مكان المهاجم وإجراء التجارب. أحد هذه الخيارات هو Metasploitable . إنها آلة افتراضية يمكننا استخدامها لإجراء جميع أنواع الاختبارات دون المساس بأمن معداتنا.
كيف يعمل Metasploitable
إنه مشروع مفتوح المصدر يركز على أمان الكمبيوتر. يتم استخدامه لاكتشاف نقاط الضعف والحصول على معلومات حول كيفية حل المشكلات التي قد تظهر. يتم استخدامه لتنفيذ عمليات الاستغلال ضد جهاز عن بعد وبالتالي اختبار أمانه.
لقد مضى على هذا المشروع عدة سنوات ، ومع مرور الوقت تم تحسينه ودمج ميزات جديدة فيه. يتيح لك هذا الجهاز الظاهري المكون مسبقًا تصحيح الأخطاء واستخدام أدوات مختلفة ، مثل Metasploit. هناك ما مجموعه ثلاثة إصدارات: Metasploitable 1 و 2 و 3 ، وهو أحدث إصدار والإصدار الذي من المحتمل أن ينتهي بك الأمر باستخدامه.
الخيار الأفضل هو استخدام Metasploitable 3 ، وهو الأحدث والذي سيعمل بشكل أفضل. يمكنك من خلاله اختبار مهاراتك في الأمن السيبراني واكتشاف نقاط الضعف. في هذه الحالة ، تعتمد القدرة على بناء الصورة بسهولة على النظام على Vagrant و Packer. كانت الإصدارات السابقة عبارة عن لقطات للأجهزة الافتراضية.
على GitHub ، يمكنك رؤية جميع نقاط الضعف التي يكتشفها Metasploitable 3. على سبيل المثال ، يمكنك العثور على منافذ مفتوحة أو كلمات مرور غير آمنة أو أكثر التطبيقات شيوعًا التي يمكننا العثور عليها على الشبكة. سيكون كل هذا جاهزًا لنا للقيام بهجمات واستغلال نقاط الضعف.
خطوات استخدامه
من أجل استخدام Metasploitable ، يجب أن يكون لديك جهاز كمبيوتر متوافق مع التبعيات الضرورية ثم تنزيله. قد لا يعمل على جميع أجهزة الكمبيوتر ، لذلك يجب أن تعرف الحد الأدنى من المواصفات التي ستحتاجها لبدء استخدامه:
- معالج يدعم ميزات المحاكاة الافتراضية (VT-X أو AMD-V)
- 4.5 جيجا بايت على الأقل من ذاكرة الوصول العشوائي
- مساحة خالية على القرص الصلب تبلغ 65 جيجابايت
بالإضافة إلى ذلك ، يجب تثبيت أدوات مثل Packer أو Vagrant أو Vagrant Reload Plugin على الكمبيوتر . أيضًا نظام افتراضي ، مثل VMWare أو VirtualBox. في وقت لاحق ، يمكنك تنزيل الإصدارات المترجمة بالفعل من Metasploitable أو القيام بذلك بنفسك.
ومع ذلك ، فهي ليست مواصفات يواجه الفريق العادي اليوم مشاكل في افتراضها. إذا كانت أجهزتك قديمة أو بها ميزات محدودة ، فيجب أن تأخذ في الاعتبار ما تطلبه كحد أدنى حتى تعمل بشكل صحيح ولا تتعرض لمشاكل.
يمكنك العثور على المعلومات الضرورية لـ Metasploitable 3 استنادًا إلى Windows Server وأيضًا لإصدار Ubuntu . إنها ليست أحدث إصدارات أنظمة التشغيل هذه ، كما ترى. من المحتمل أنهم سيصدرون في المستقبل تحديثًا جديدًا مع نظام تشغيل أكثر حداثة.
إذا كنت ستقوم بتثبيت Metasploitable 3 في Ubuntu ، فسيتعين عليك تشغيل المربع التالي في Vagrant:
Vagrant.configure("2") do |config|
config.vm.box = "rapid7/metasploitable3-ub1404"
config.vm.box_version = "0.1.12-weekly"
end
لماذا تعتبر أدوات القرصنة الأخلاقية مهمة
هناك العديد من التهديدات الأمنية على الشبكة. عندما نقوم بفتح صفحة أو تسجيل الدخول إلى خدمة أو تثبيت أي برنامج ، يمكن أن نكون ضحايا للبرامج الضارة وهجمات مختلفة. لكن في كثير من الأحيان يرجع ذلك إلى نقاط الضعف الموجودة. على سبيل المثال ، حالات الفشل التي يمكن أن تسمح لمجرم الإنترنت بالدخول إلى الخادم ، أو الخطأ الذي يتسبب في كشف كلمات المرور أو إمكانية استغلال النظام.
لمواجهة كل هذا ، من الضروري إجراء مراجعة مستمرة لاكتشاف الأخطاء في أسرع وقت ممكن وتصحيحها. هذا هو المكان الذي تدخل فيه أدوات القرصنة الأخلاقية ، حيث يمكننا إيجاد عدد كبير من البدائل. واحد منهم هو الذي رأيناه من Metasploitable 3.
ومع ذلك ، هناك أيضًا أنظمة تشغيل يمكننا تثبيتها ، مثل Kali Linux ، وهو أحد أكثر أنظمة التشغيل شيوعًا. يحتوي هذا النوع من توزيع Linux على مجموعة واسعة من الخيارات لتشغيل الأدوات التي يمكن من خلالها اختبار شبكات Wi-Fi التي قد تكون ضعيفة ، واكتشاف كلمات المرور غير الآمنة ، وما إلى ذلك. الهدف هو إجراء اختبارات من جميع الأنواع لمعرفة ما هي نقاط الضعف المحتملة الموجودة ويمكن أن تكون مشكلة لنظام الكمبيوتر في حالة تمكن مخترق افتراضي من استغلال الخلل والسيطرة على هذا الجهاز.
إنها مفيدة جدًا لحماية الأنظمة والخوادم وشبكات الأعمال والمؤسسات الكبيرة. في هذا النوع من الحالات ، قد تكون هناك نقاط ضعف من جميع الأنواع. من الضروري دراسة خبراء أمن الكمبيوتر أو المتسللين لإجراء اختبارات للكشف عن هذه الأخطاء وتقديم حل لها. هناك ، مرة أخرى ، تظهر أدوات القرصنة الأخلاقية على الساحة.
لتحقيق الاستخدام الصحيح للتطبيقات والأدوات مثل Metasploitable ، من الضروري أن يكون لديك حد أدنى من المعرفة بأمان الكمبيوتر وكيفية عمل هذه البرامج. بهذه الطريقة يمكننا تحقيق أقصى استفادة من العملية واكتشاف نقاط الضعف أو اختبار الوظائف المختلفة المتاحة لنا.
استنتاجات حول Metasploitable
يمكننا القول أن Metasploitable هي واحدة من أكثر البيئات اكتمالًا التي يمكننا العثور عليها لتنفيذ هذا النوع من ممارسات القرصنة الأخلاقية. ومع ذلك ، ليس كل شيء على ما يرام. النقطة السلبية التي يمكننا رؤيتها هي أنه لا يتلقى تحديثات بشكل متكرر. في الواقع ، أحدث إصدار هو بالفعل منذ عدة سنوات. سيكون من المهم إذا كان بإمكانك تقديم تحديثات لأحدث البرامج ونقاط الضعف التي يمكن استغلالها.
وبالمثل ، يجب أن تكون أنظمة التشغيل أكثر حداثة . على الرغم من أنها تعمل ، إلا أنه سيكون من الجيد أن تكون قادرًا على استخدام المزيد من الإصدارات الحالية لاختبار الأمان وبالتالي اكتشاف الثغرات الأمنية. أيضًا ، نظرًا لأنه من الممكن استخدامه مع Vagrant ، فمن الممكن تضمين مستويات صعوبة مختلفة. بهذه الطريقة يمكننا إنشاء حالات افتراضية مختلفة بخصائص مختلفة اعتمادًا على ما إذا كنا نريد شيئًا أكثر تعقيدًا أو أننا مهتمون بشيء أكثر أساسية.
نقطة أخرى قد تكون مهمة للعديد من المستخدمين هي أنها تتطلب معرفة معينة . لا يكفي العثور على آلة افتراضية مجمعة ، وتنزيلها وتثبيتها على منصات مثل VirtualBox أو VMWare. مع Vagrant ، إذا لم يكن لديك تدريب على هذه الأداة ، فسيكون الأمر معقدًا بعض الشيء وستحتاج إلى قضاء المزيد من الوقت.
ومع ذلك ، على الرغم من النقاط السلبية التي رأيناها ، والتي تتمثل أساسًا في حقيقة أنها قديمة نوعًا ما وصعوبة استخدامها ، وإلا فهي أداة كاملة وممتعة إلى حد ما. خيار آخر ضمن مجموعة واسعة من أدوات القرصنة الأخلاقية التي يمكننا تثبيتها على أنظمتنا وإجراء جميع أنواع الاختبارات. إذا كنت تبحث عن شيء ما لاكتشاف الثغرات واستغلالها ، فهذا حل جيد يمكنك تجربته.