De populaire hackertool Metasploit, waarmee security-professionals en systeembeheerders de veiligheid van systemen en netwerken kunnen testen, is geen wapen voor cybercriminelen. Dat stellen de makers van het 'framework'. Metasploit is een programma dat allerlei exploits en andere aanvalsmethodes bevat. De software krijgt vaak de kritiek dat het cybercriminelen helpt bij het inbreken op computers.

Exploits voor al dan niet gepatchte beveiligingslekken verschijnen, nadat ze in het wild zijn ontdekt, ook in Metasploit. Toch zorgt dit niet voor meer cybercrime. "Metasploit wordt vaak bekritiseerd dat het een wapen voor kwaadwillende aanvallers is. Hier is een klein geheimpje: hoe snel we ook als industrie gaan, we lopen meestal een maand tot een jaar achter op de criminelen", aldus ontwikkelaar Christian Kirsch.

Idee
"Ze stelen niet onze ideeën, we stelen ideeën van hen en ze haten ons hierom", merkt Kirsch op in een vergelijking tussen open source exploit-kits zoals Metasploit en betaalde exploit-kits.

Volgens Kirsch verdienen cybercriminelen meer geld dan het gemiddelde budget van een security-professional. "Denk dus niet dat ze geen betaalde exploit-kits kunnen veroorloven." Daarnaast helpt Metasploit om cybercrime tegen te gaan door allerlei exploits gratis ter beschikking te stellen.

Exploits
"Het verkopen van een goede zero-day is een lucratieve bezigheid op de zwarte markt en kan tussen de 15.000 en 190.000 euro per transactie opleveren", gaat Kirsch verder. Zero-days zijn exploits voor beveiligingslekken waarvoor nog geen beveiligingsupdate beschikbaar is. Hierdoor wordt het overnemen van een computer of binnendringen van een netwerk veel eenvoudiger.

"Door exploits gratis te publiceren, vernietigt Metasploit duizenden dollars die anders naar cybercriminelen zou gaan. En ja, daarom haten ze ons ook." De Metasploit-ontwikkelaar haalt ook uit naar bedrijven die voor exploits betalen. Deze partijen zouden namelijk de prijs voor zero-days hoog houden en zo cybercriminelen in de kaart spelen.