Como mencionado em seu Website, Metasploit Framework é uma avançada plataforma Open Source, concebida especificamente com o objetivo de reforçar e acelerar o desenvolvimento, ensaio e utilização de exploits.

O projeto relacionado a este Framework, de acordo com seus criadores, que nasceu como um jogo, tem mostrado um crescimento espetacular em especial nos últimos tempos (na minha modesta opinião... especificamente a partir da versão 2.2), aspecto que lhe ajudou a conquistar um lugar privilegiado no âmbito do kit de ferramentas de todo profissional relacionado de alguma forma ou de outra com as tecnologias de segurança da informação.

Escrito na maioria das vezes em "Perl" (seu único defeito, de acordo com o parecer do número cada vez maior de amantes de "Python"...) e com vários componentes desenvolvidos em "C " e "Assembler", sua portabilidade está assegurada, o que contribui em larga medida para a sua aceitação maciça, porque qualquer que seja a sua escolha de plataforma de uso (Like-Unix, BSD, Mac X, Windows etc), pode instalá-lo e desfrutar todos os seus poderes em poucos minutos e sem grandes dificuldades.

Um aspecto interessante no que se refere à concessão de licenças para as novas versões do Metasploit Framework, é o fato de que ela é baseada tanto em GPL v2 como um "Perl Artistic License", permitindo a sua utilização em projetos Open Source assim como em projetos comerciais.

O principal objetivo do MSF é criar um ambiente de pesquisa, desenvolvimento e exploração de vulnerabilidades de software, fornecendo as ferramentas necessárias para o ciclo completo da pesquisa que pode ser divido basicamente em:

• Descoberta da vulnerabilidade: Onde o pesquisador descobre um erro de programação que pode levar ou não a uma brecha de segurança;
• Análise: Onde o pesquisador analisa a vulnerabilidade para determinar quais as maneiras pela qual a mesma pode ser explorada. Perguntas-chave são feitas nessa fase do desenvolvimento, como por exemplo: De qual maneira a vulnerabilidade pode ser explorada? Localmente ou remotamente? Entre outras dezenas mais;
• Desenvolvimento do exploit: Depois de respondidas as perguntas da fase de analise, começa o desenvolvimento da exploração em si, como prova da existência real da vulnerabilidade. Técnicas de engenharia reversa, programação, debugger etc são usadas nessa fase;
• Teste do exploit: Nessa fase o exploit é testado em diferentes ambientes e variáveis, service packs, patchs etc. O exploit em si é a prova definitiva que a vulnerabilidade pode ser explorada.

Uma excelente alternativa

Desde a consolidação do Metasploit Framework, a comparação com produtos comerciais com características semelhantes é inevitável. Projetos CANVAS da Immunity Sec ou CORE IMPACT da Core Security Technology tem uma grande clientela, que vão desde grandes clientes corporativos que fazem uso destes produtos na hora de fazerem suas próprias tentativas de invasão, até centenas de consultores de segurança independente que utilizam-no como uma ferramenta para vender este serviço a terceiros.

Sem dúvida, a principal diferença entre Metasploit Framework e este tipo de produto é o "foco". Embora os produtos comerciais precisem fornecer constantemente aos seus clientes os mais recentes exploits acompanhados de interfaces gráficas bonitas e intuitivas, o Metasploit Framework é projetado para facilitar a investigação e experimentação de novas tecnologias.

Este ponto, entre outros, faz com que exista mercado para todos. Os pesquisadores, estudantes, curiosos e independentes, podem obter, sem qualquer custo, o Metasploit, modificar, personalizar, utilizá-lo para seu trabalho e ver como ele funciona internamente para aprender mais, enquanto que, por outro lado, grandes empresas que exigem uma excelente solução corporativa e pode arcar com o custo possui certamente o privilégio da qualidade dos produtos anteriormente mencionados.