Pred niekoľkými dňami ľudia v spoločnosti Google sa rozhodli uvoľniť kód z su Bezpečnostný skener cunami, Ktorý bol určené na kontrolu známych zraniteľností hostiteľov v sieti alebo identifikovať problémy s konfiguráciou, ktoré ovplyvňujú bezpečnosť infraštruktúry. Kód projektu je napísaný v prostredí Java a distribuovaný pod licenciou Apache 2.0.
Ako môžeme čítať vo vnútri úložiska, Google popisuje svoj skener takto:" Tsunami je sieťový bezpečnostný skener na všeobecné účely s rozšíriteľným systémom doplnkov na detekciu zraniteľností vysokej závažnosti s vysokou spoľahlivosťou. »
Tsunami vysoko závislé od vášho systému doplnkov poskytnúť základné možnosti skenovania. Všetky verejne dostupné doplnky Tsunami sú hostené v samostatnom úložisku google / tsunami-security-scanner-plugins. “
O bezpečnostnom skeneri Tsunami
Ako taká „Tsunami“ poskytuje spoločnú a univerzálnu platformu ktorých funkčnosť je definovaná prostredníctvom doplnkov. Konkrétne existuje doplnok na skenovanie portov na báze nmap a doplnok na kontrolu nedôveryhodných parametrov autentifikácie založený na Ncrack, ako aj doplnky s detektormi zraniteľnosti v Hadoop Yarn, Jenkins, Jupyter a WordPress.
Cieľ projektu je poskytnúť nástroj na rýchle odhalenie zraniteľnosti vo veľkých spoločnostiach s rozsiahlou sieťovou infraštruktúrou. Uvoľnením informácií o nových kritických problémoch nasleduje závod s útočníkmi, ktorí chcú napadnúť podnikovú infraštruktúru skôr, ako bude problém vyriešený.
Komponenty problému by mali byť identifikovaní zamestnancami spoločnosti čo najskôr, pretože na systém je možné zaútočiť do niekoľkých hodín po zverejnení údajov o zraniteľnosti.
V spoločnostiach s tisíckami systémov s prístupom na internet sa automatizácia overovania nezaobíde bez toho, a Tsunami sa považuje za riešenie podobného problému.
Tsunami bude vám umožňuje rýchlo a nezávisle vytvoriť potrebné detektory zraniteľnosti alebo použite pripravené zbierky na identifikáciu najnebezpečnejších problémov, pre ktoré boli útoky zaznamenané.
Po prehľadaní siete Tsunami poskytuje správu o overení, ktorá sa zameriava na zníženie počtu falošne pozitívnych výsledkov, aby ich analýza netrvala príliš dlho. Tsunami je tiež vyvíjané s ohľadom na automatizáciu škálovania a overovania, čo vám umožní používať ho napríklad na pravidelné sledovanie spoľahlivosti použitých autentifikačných parametrov.
Proces overovania v Tsunami je rozdelené do dvoch etáp:
- Zhromažďovanie informácií o službách v sieti. V tejto fáze sú definované otvorené porty, ako aj súvisiace služby, protokoly a aplikácie. V tejto fáze sa používajú dobre zavedené nástroje, ako je nmap.
- Overenie zraniteľnosti. Na základe informácií získaných v prvej fáze sa vyberú a spustia príslušné doplnky pre identifikované služby. Na konečné potvrdenie existencie problému sa používajú plne funkčné neutralizované exploity. Kontrolu spoľahlivosti typických údajov na určenie slabých hesiel je možné vykonať aj pomocou programu ncrack, ktorý podporuje rôzne protokoly vrátane SSH, FTP, RDP a MySQL.
Projekt je v počiatočných fázach alfa testovania, ale Google už používa Tsunami na neustále skenovanie a ochranu všetkých svojich služieb, ktorého prístup je otvorený pre externé požiadavky.
Medzi najbližšie plány na zvýšenie funkčnosti patrí implementácia nových doplnkov na identifikáciu kritických problémov, ktoré vedú k vzdialenému spusteniu kódu, ako aj pridanie pokročilejšej súčasti na určenie aplikácií, ktoré sa majú použiť (odtlačok webovej aplikácie), čo vylepší logika výberu jedného alebo druhého testovacieho pluginu.
Zo vzdialených plánov je spomenuté poskytovanie nástrojov na zápis doplnkov v ľubovoľnom programovacom jazyku a možnosť dynamického pridávania doplnkov.
Konečne ak máte záujem dozvedieť sa o tom viac projektu alebo vidieť zdrojový kód, môžete to urobiť z odkazu nižšie.