Esta é uma sugestão de leitura para os leitores que se interessam com a segurança de Sistemas Informáticos, assim como as formas de penetrar neles de forma eficaz. Metasploit - The Penetration Tester's Guide da No Starch Press é o livro que nos ensina a fazê-lo!

O Metasploit Framework possibilita identificar, explorar e partilhar as vulnerabilidades de sistemas, sendo utilizado pelos profissionais de segurança informática em todo o mundo. Este projeto nasce pela mão de HD Moore em 2003 e possibilita a investigadores e analistas de segurança aferir o estado de uma rede ou sistema, identificando as falhas que os mesmos podem ter e que podem ser aproveitados por pessoas menos bem-intencionadas. Trata-se de um framework totalmente open source (código fonte aberto), para onde contribuem milhares de profissionais, desenvolvido na linguagem de programação Ruby, e é composta por vários módulos específicos que conseguem determinada função de penetração num sistema, quer seja pela execução de código malicioso, quer por outras técnicas.

Contudo e por se tratar de uma plataforma muito complexa e vasta, não é fácil para os que se iniciam nestas andanças começar a trabalhar com ela, pelo que este livro é sem dúvida a obra que faltava, permitindo tirar partido do Metasploit, “espremendo” todo o seu potencial e funcionalidades. Este guia permite-nos avançar para técnicas de penetração e teste mais avançadas, de onde se incluem ataques do tipo cliente side, atques via wireless, com auxilio de engenharia social, entre outros abordados na obra.

O livro Metasploit - The Penetration Tester's Guide da No Starch Press é mais uma aposta desta excelente Editora, no campo dos livros sobre hacking. A No Starch Press é uma Editora americana, sedeada na Califórnia, mais concretamente em São Francisco, e que tem vindo a especializar-se na publicação de livros na área das Tecnologias da Informação e Comunicação, de elevada qualidade, sendo uma referência em todo o mundo e os seus livros são autênticas bíblias de conhecimento técnico.

Esta obra, entre outros conhecimentos que nos transmite, ensina-nos a encontrar e explorar sistemas mal configurados e nos quais ainda não foram aplicados patches de segurança, assim como ultrapassar sistemas de antivírus ou outras tecnologias de segurança. Nela é-nos explicado como tirar partido de ferramentas como Nmap, NeXpose, ou o Nessus com o Metasploit, de forma a automatizar as pesquisas por vulnerabilidades.

Contudo o livro Metasploit: The Penetration Tester's Guide confere-nos uma responsabilidade acrescida, pois este é um tipo de conhecimento que apenas deve ser utilizado para o “bem”, ou seja, para identificar e resolver problemas nas nossas redes e sistemas, e não para procurar atacar outros sistemas de forma maliciosa. É uma obra vocacionada também para o segmento académico, para estudantes ou formandos de cursos tecnológicos que abordem o tema da segurança informática.

Sobre os autores:

David Kennedy é Chief Information Security Officer da Diebold Incorporated e é o criador do Social-Engineer Toolkit (SET), Fast-Track, e outras ferramentas open source. Ele é orador de enumeras conferências sobre o tema, como a Black Hat, DEF CON, ShmooCon, Security B-Sides, entre outras.

Jim O'Gorman (Elwood) é um profissional no ramo dos testes de penetração em sistemas e é também instrutor e consultor no Offensive Security,

Devon Kearns é também instructor no Offensive-Security, Back|Track Linux developer, e administrador da “ The Exploit Database”. Tem contribuido com vários módulos do Metasploit project, assim como é responsável pela manutenção da “Metasploit Unleashed wiki”.

Mati Aharoni é o criador da distribuição Back|Track Linux e fundador da Offensive-Security, uma empresa especialista em sistemas de segurança.

Capítulos do Livro Metasploit: The Penetration Tester's Guide:

• Capítulo 1: The Absolute Basics of Penetration Testing
• Capítulo 2: Metasploit Basics
• Capítulo 3: Intelligence Gathering
• Capítulo 4: Vulnerability Scanning
• Capítulo 5: The Joy of Exploitation
• Capítulo 6: Meterpreter
• Capítulo 7: Avoiding Detection
• Capítulo 8: Exploitation Using Client-side Attacks
• Capítulo 9: Metasploit Auxiliary Modules
• Capítulo 10: The Social-Engineer Toolkit
• Capítulo 11: Fast-Track
• Capítulo 13: Building Your Own Module
• Capítulo 14: Creating Your Own Exploits
• Capítulo 15: Porting Exploits to the Metasploit Framework
• Capítulo 16: Meterpreter Scripting
• Capítulo 17: Simulated Penetration Test

The Penetration Tester's Guide

Autores: David Kennedy, Jim O’Gorman, Devon Kearns, and Mati Aharoni

Data: Julho 2011,

328 págs.

ISBN: 978-1-59327-288-3