Несколько дней назад сотрудники Google приняли решение выпустить код из su Сканер безопасности цунами, Который был предназначен для проверки известных уязвимостей хостов в сети или выявить проблемы с конфигурацией, которые влияют на безопасность инфраструктуры. Код проекта написан на Java и распространяется под лицензией Apache 2.0.
Как мы можем прочитать в репозитории, Google описывает свой сканер следующим образом: Tsunami - это сканер сетевой безопасности общего назначения с расширяемой системой подключаемых модулей, позволяющий с высокой степенью уверенности обнаруживать уязвимости высокой степени опасности.».
Цунами сильно зависит от вашей системы плагинов для обеспечения основных возможностей сканирования. Все общедоступные плагины Tsunami размещены в отдельном репозитории google / tsunami-security-scanner-plugins ".
О сканере безопасности цунами
В таком виде «Цунами» предоставляет общую и универсальную платформу чья функциональность определяется через плагины. А именно, существует плагин для сканирования портов на основе nmap и плагин для проверки ненадежных параметров аутентификации на основе Ncrack, а также плагины с детекторами уязвимостей в Hadoop Yarn, Jenkins, Jupyter и WordPress.
Цель проекта предоставить инструмент для быстрого обнаружения уязвимостей в крупных компаниях с разветвленной сетевой инфраструктурой. Публикация информации о новых критических проблемах приводит к гонке злоумышленников, стремящихся атаковать бизнес-инфраструктуру, прежде чем проблема будет решена.
Компоненты проблемы должны быть идентифицированы сотрудниками компании как можно скорее, поскольку система может быть атакована в течение нескольких часов после раскрытия данных об уязвимости.
В компаниях с тысячами систем с доступом в Интернет невозможно обойтись без автоматизации проверки, и цунами считается решением аналогичной проблемы.
Цунами будет позволяет быстро самостоятельно создавать необходимые детекторы уязвимостей или используйте готовые коллекции для выявления наиболее опасных проблем, для которых зафиксированы атаки.
После сканирования сети Цунами предоставляет отчет о проверке, который направлен на уменьшение количества ложных срабатываний, чтобы не занимать слишком много времени для анализа. Tsunami также разрабатывается с учетом автоматизации масштабирования и тестирования, что позволяет использовать его, например, для регулярного мониторинга надежности используемых параметров аутентификации.
Процесс проверки в Цунами делится на два этапа:
- Сбор информации об услугах в сети. На этом этапе определяются открытые порты, а также связанные с ними службы, протоколы и приложения. На этом этапе используются хорошо зарекомендовавшие себя инструменты, такие как nmap.
- Проверка уязвимости. На основании информации, полученной на первом этапе, выбираются и запускаются соответствующие плагины для идентифицированных услуг. Для окончательного подтверждения наличия проблемы используются полностью исправные обезвреженные эксплойты. Кроме того, проверка надежности типичных учетных данных для определения слабых паролей может выполняться с помощью программы ncrack, которая поддерживает различные протоколы, включая SSH, FTP, RDP и MySQL.
Проект находится на начальной стадии альфа-тестирования, но Google уже использует Tsunami для непрерывного сканирования и защиты всех своих сервисов, доступ к которому открыт для внешних запросов.
Среди ближайших планов по увеличению функциональности - внедрение новых подключаемых модулей для выявления критических проблем, которые приводят к удаленному выполнению кода, а также добавление более продвинутого компонента для определения того, какие приложения использовать (отпечаток веб-приложения). что улучшит логику выбора того или иного тестового плагина.
Из дальних планов упоминается предоставление инструментов для написания плагинов на любом языке программирования и возможность динамического добавления плагинов.
В конце концов если вам интересно узнать об этом больше проекта или увидеть исходный код, вы можете это сделать по ссылке ниже.