Das englischsprachige Buch „Metasploit Toolkit“ von David Maynor, K. K. Mookhey, Jacopo Cervini, Fairuzan Roslan und Kevin Beaver beschreibt den Einsatz des Metasploit Frameworks (MSF), Version 3.0, im Rahmen von Penetrationtests, der Exploit-Entwicklung und der Untersuchung von Schwachstellen. Sagt die Titelseite. Begonnen wird mit einer Einführung in das Metasploit Framework. Einen großen Teil nimmt die Beschreibung der Architektur ein. Listen der beim Schreiben des Buchs vorhandenen Payloads, Exploits usw. sind eine nette Zugabe, veralten aber natürlich schnell. Den Abschluss des ersten Kapitels bilden Beschreibungen der Benutzerinterfaces: mfsconsole, das traditionelle Interface für die Kommandozeile, msfweb, eine über eine Weboberfläche realisierte grafische Oberfläche, und mfscli, ein Kommandozeilen-Tool, das die Ausführung von Exploits ohne vorherigen Start der mfsconsole erlaubt. Außerdem werden noch einige Tools erwähnt.
Im zweiten Kapitel geht es dann auf acht Seiten (plus eineinhalb für eine Zusammenfassung und FAQ!) zuerst um die Vorbereitungen des Systems für die danach beschriebene Installation. Metasploit kann mit einigen bekannten Tools wie z.B. Wireshark (ehemals Ethereal) und Nmap/Nessus ergänzt werden. Das wird zwar erwähnt, Hinweise zur Installation und Konfiguration gibt es aber nicht. Schade. Dafür gibt es ein paar Hilfestellungen zum Härten des verwendeten Linux-Systems, bevor die Installation für Linux und Windows beschrieben wird. Etwas unausgegoren das Ganze. Da hätte ich mehr erwartet. Kapitel drei, „Metasploit Framework and Advanced Environment Configurations“, listet nur Konfigurationsmöglichkeiten auf - auf dreieinhalb Seiten, dazu wieder eineinhalb Seiten Zusammenfassung und FAQ (einzige Frage: Was ist der Unterschied zwischen Version 3.0 und 2.0). Bei dem kurzen Kapitel ist eine Zusammenfassung überflüssig, stattdessen wären ein paar zusätzliche Informationen zu den Konfigurationsmöglichkeiten nicht schlecht gewesen.
Kapitel vier behandelt „Advanced Payloads and Add-on Modules“ und ist etwas ergiebiger als die beiden vorhergehenden Kapitel. Beschrieben wird u.a. der Meterpreter (Kurz für Meta-Interpreter), ein Exploit, der selbst weitere Exploits starten kann. Außerdem geht es um weitere Erweiterungen und die Automatisierung von Pentests. Im letzten normalen Kapitel, fünf, geht es um das Hinzufügen neuer Payloads. Das ist (nach dem ersten) das zweite ausführliche Kapitel. Und sogar ganz brauchbar, was man nach denen davor nicht mehr unbedingt erwartet hätte.
Danach folgen „Case Studies“, leider auf Basis vorhergehender Versionen von Metasploit und nicht der ansonsten beschriebenen Version 3.0. Beschrieben wird die Entwicklung von Exploits für fünf Schwachstellen. Dabei wird jeweils auch der Quelltext des Exploits abgedruckt und danach kommentiert. Man kann nun streiten, ob es sinnvoller ist, den Originalquelltext zu haben oder einen ausführlich kommentierten. Mir wäre es lieber gewesen, die Quelltexte wären für das Buch ausführlich kommentiert worden, anstatt dahinter einen Absatz nach dem Muster „Zeile 1 macht... Zeile 2-6 machen… usw.“ einzufügen.
Auf die Fallstudien folgen die Anhänge. A: Vorteile des Schwachstellenscans mit Metasploit 3.0, im Grunde 2 Seiten Werbung. B: Aufbau eines Testlabors fürs Penetration Testing. Das ist zwar eine recht ausführliche Beschreibung, vom Umfang her mit Kapitel 1 oder 5 zu vergleichen, aber hier etwas fehlplatziert: Metasploit kann man natürlich in einem speziellen Pentest-Labor nutzen, aber viele, die das Buch gekauft haben, werden kein Interesse daran haben. Und wer Interesse daran hat, kauft sich andere Bücher. C: Glossar - warum denken eigentlich so viele Autoren, in ihren Büchern müsste unbedingt ein Ausschnitt aus einem IT-Lexikon enthalten sein? Dieses Glossar ist, wie die meisten seiner Art, überflüssig wie ein Kropf. Wer einen Teil der darin beschriebenen Wörter nicht kennt, sollte sich vor dem Lesen dieses Buches erst einmal ein Buch „Einführung in die EDV“ besorgen. Ein paar Einträge mögen gerechtfertigt sein, aber die paar Erklärungen hätte man problemlos auch im Text unterbringen können.
Fazit: Das ist schwierig zu ziehen. Kapitel 1 und 5 sind gut. 2 und 3 gefallen mir gar nicht, 4 hinterlässt gemischte Gefühle. Die Fallstudien - welche zum aktuellen Framework wären mir lieber, und der Ansatz „Erst Quelltext, dann Kommentare“ gefällt mir nicht. Ständig hin und her zu blättern macht keinen Spaß. Die Vorschläge für ein Pentest-Labor im Anhang sind nicht schlecht, aber eben fehlplatziert. Wer sich für Exploit/Payload-Entwicklung für Metasploit interessiert, sollte sich das Buch selbst ansehen und gucken, ob es seinen Vorstellungen entspricht. Wer eine Einführung in die Nutzung von Metasploit sucht, bekommt zu viel Überflüssiges und zu große Lücken geliefert, dafür sind die herunterladbaren Anleitungen und Blogeinträge auf metasploit.com eine bessere Hilfe.
Eine nette Zugabe: Das Buch kann zusätzlich zur gedruckten Version beim Verlag im PDF-Format heruntergeladen werden. Das ist ganz praktisch, da man so das Buch zusammen mit dem Metasploit-Framework aufs Notebook packen kann und es nicht zusätzlich mitschleppen muss. Die Frage ist nur: Warum sollte man das tun?
