Conoce Metasploitable, un entorno para aprender hacking ético

Existen muchos recursos de hacking éticos y herramientas para realizar pruebas de seguridad informática. El objetivo es poder detectar vulnerabilidades, encontrar errores que puedan ser un peligro para un dispositivo. Pero también sirven para aprender, para ponerse en el lugar de un atacante y llevar a cabo experimentos. Una de estas opciones es Metasploitable. Es una máquina virtual que podemos usar para realizar todo tipo de pruebas sin comprometer la seguridad de nuestro equipo.

Cómo funciona Metasploitable

Se trata de un proyecto de código abierto orientado en la seguridad informática. Sirve para detectar vulnerabilidades y obtener información sobre cómo solucionar problemas que puedan aparecer. Sirve para ejecutar exploits contra un dispositivo de forma remota y probar así su seguridad.

Este proyecto tiene ya bastantes años y con el paso del tiempo ha ido mejorando e incorporando nuevas características. Esta máquina virtual preconfigurada permite depurar fallos y usar diferentes herramientas, como por ejemplo Metasploit. Existen en total tres versiones: Metasploitable 1, 2 y 3, que es la versión más reciente y la que seguramente termines usando.

La opción más aconsejable es utilizar Metasploitable 3, que es la más nueva y la que va a funcionar mejor. En ella podrás probar tus habilidades en ciberseguridad y detectar vulnerabilidades. En este caso, para poder compilar fácilmente la imagen en el sistema depende de Vagrant y Packer. Las versiones anteriores eran snapshots de las máquinas virtuales.

En GitHub puedes ver todas las vulnerabilidades que detecta Metasploitable 3. Por ejemplo podrás encontrar puertos abiertos, contraseñas inseguras o aplicaciones más comunes que podemos encontrar por la red. Todo esto estará listo para que podamos realizar ataques y explotar las vulnerabilidades.

Pasos para usarlo

Para poder usar Metasploitable tienes que contar con un equipo que sea compatible con las dependencias necesarias y posteriormente descargarlo. No puede funcionar en todos los equipos, por lo que conviene que sepas cuáles son las especificaciones mínimas que va a requerir para comenzar a usarlo:

• Procesador compatible con las funciones de virtualización (VT-x o AMD-V)
• Al menos 4,5 GB de memoria RAM
• 65 GB de espacio en disco duro libres

Además, es necesario instalar en el ordenador herramientas como Packer, Vagrant o Vagrant Reload Plugin. También un sistema de virtualización, como puede ser VMWare o VirtualBox. Posteriormente, podrás descargar las versiones de Metasploitable ya compiladas o hacerlo tú mismo.

No obstante, no son especificaciones que un equipo normal de hoy en día tenga problemas para asumir. Si tu equipo es más antiguo o tiene características más limitadas, debes tener en cuenta qué solicita como mínimo para poder funcionar correctamente y no encontrarte con problemas.

Puedes encontrar la información necesaria para Metasploitable 3 basada en Windows Server y también para la versión de Ubuntu. No son las versiones más recientes de estos sistemas operativos, como podrás ver. Es probable que en un futuro lancen una nueva actualización con SO más actuales.

En el caso de que vayas a montar Metasploitable 3 en Ubuntu, tendrías que ejecutar el siguiente box en Vagrant:

Vagrant.configure("2") do |config|
config.vm.box = "rapid7/metasploitable3-ub1404"
config.vm.box_version = "0.1.12-weekly"
end

Por qué son importantes las herramientas de hacking ético

Existen muchas amenazas de seguridad en la red. Siempre que abrimos una página, iniciamos sesión en algún servicio o instalamos cualquier programa, podemos ser víctimas del malware y diferentes ataques. Pero en muchas ocasiones esto se debe a vulnerabilidades que hay. Por ejemplo fallos que pueden permitir que un ciberdelincuente entre en un servidor, algún error que provoque que las contraseñas queden expuestas o que un sistema pueda ser explotado.

Para contrarrestar todo esto, es esencial tener una revisión constante para detectar lo antes posible errores y corregirlos. Ahí es donde entran en juego las herramientas de hacking ético, que podemos encontrar una gran cantidad de alternativas. Una de ellas es la que hemos visto de Metasploitable 3.

No obstante, hay incluso sistemas operativos que podemos instalar, como Kali Linux, que es una de las más populares. Este tipo de distribuciones de Linux cuentan con un amplio abanico de opciones para ejecutar herramientas con las que poner a prueba redes Wi-Fi que puedan ser vulnerables, detectar contraseñas inseguras, etc. El objetivo es realizar pruebas de todo tipo para ver qué posibles vulnerabilidades existen y pueden ser un problema para un sistema informático en el caso de que un hipotético pirata informático llegue a explotar el fallo y tomar el control de ese dispositivo.

Son muy útiles para proteger sistemas, servidores y redes empresariales y de grandes organizaciones. En este tipo de casos puede haber vulnerabilidades de todo tipo. Se hace necesario el estudio de expertos en seguridad informática o hackers que lleven a cabo pruebas para detectar esos errores y ofrecer una solución. Ahí, una vez más, aparecen en escena las herramientas de hacking ético.

Para hacer un uso correcto de aplicaciones y herramientas como es el caso de Metasploitable, es necesario tener unos conocimientos mínimos en seguridad informática y en cómo funcionan estos programas. De esta forma podremos aprovechar al máximo el funcionamiento y detectar vulnerabilidades o poner a prueba las diferentes funciones que tienen a nuestra disposición.

Conclusiones sobre Metasploitable

Podemos decir que Metasploitable es uno de los entornos más completos que podemos encontrar para realizar este tipo de prácticas de hacking ético. No obstante, no todo es perfecto. Un punto negativo que podemos ver es que no recibe actualizaciones de forma frecuente. De hecho, la última versión tiene ya varios años. Sería importante que pudiera ofrecer actualizaciones de programas y vulnerabilidades más recientes que se pudieran explotar.

Igualmente, los sistemas operativos también deberían de estar más actualizados. Aunque sean funcionales, estaría bien poder usar versiones más actuales para poner a prueba la seguridad y detectar así vulnerabilidades. También, debido a que es posible usarlo con Vagrant, debería ser posible incluir diferentes niveles de dificultad. De esta forma podríamos crear diferentes instancias virtuales con distintas características según si queremos algo más complejo o nos interesa algo más básico.

Otro punto que quizás sea importante para muchos usuarios, es que requiere de ciertos conocimientos. No basta con encontrar una máquina virtual compilada, descargar y montar en plataformas como VirtualBox o VMWare. Con Vagrant, si no tienes práctica con esta herramienta va a ser algo complicado y vas a necesitar gastar más tiempo.

No obstante, pese a los puntos negativos que hemos visto, que básicamente son el hecho de estar algo desactualizado y la dificultad para poder utilizarlo, por lo demás es una herramienta bastante completa e interesante. Una opción más dentro del amplio abanico de herramientas de hacking ético que podemos instalar en nuestros sistemas y realizar todo tipo de pruebas. Si buscas algo para detectar vulnerables y explotarlas, es una buena solución que podrás probar.

El artículo Conoce Metasploitable, un entorno para aprender hacking ético se publicó en RedesZone.