Hace ya varios días, la gente de Google tomo la decisión de liberar el código de su escáner de seguridad Tsunami, el cual fue diseñado para verificar las vulnerabilidades conocidas de los hosts en la red o identificar problemas con la configuración que afectan la seguridad de la infraestructura. El código del proyecto está escrito en Java y distribuido bajo la licencia Apache 2.0.
Tal y como podremos leer dentro del repositorio, Google describe a su escaner de la siguiente forma:” Tsunami es un escáner de seguridad de red de uso general con un sistema de complemento extensible para detectar vulnerabilidades de alta gravedad con alta confianza.»
Tsunami depende en gran medida de su sistema de complementos para proporcionar capacidades básicas de escaneo. Todos los complementos de Tsunami disponibles públicamente están alojados en un repositorio de google / tsunami-security-scanner-plugins separado.”
Sobre Tsunami Security Scanner
Como tal “Tsunami” proporciona una plataforma común y universal cuya funcionalidad se define a través de complementos. Es decir, hay un complemento para escaneo de puertos basado en nmap y un complemento para verificar parámetros de autenticación poco confiables basados en Ncrack, así como complementos con detectores de vulnerabilidad en Hadoop Yarn, Jenkins, Jupyter y Wordpress.
El objetivo del proyecto es proporcionar una herramienta para la detección rápida de vulnerabilidades en grandes empresas con amplias infraestructuras de red. Al divulgar información sobre nuevos problemas críticos, surge una carrera con atacantes que buscan atacar la infraestructura de las empresas antes de que se resuelva el problema.
Los componentes del problema deben ser identificados por los empleados de la compañía lo antes posible, ya que el sistema puede ser atacado en cuestión de horas después de la divulgación de los datos de vulnerabilidad.
En las empresas con miles de sistemas con acceso a Internet, no se puede prescindir de la automatización de la verificación, y se reconoce que Tsunami resuelve un problema similar.
Tsunami le permite crear rápidamente de forma independiente los detectores de vulnerabilidades necesarios o utilizar colecciones listas para identificar los problemas más peligrosos para los que se han registrado ataques.
Después de escanear la red, Tsunami proporciona un informe sobre la verificación, que se centra en reducir el número de falsos positivos para no tomar demasiado tiempo para analizar. Tsunami también se desarrolla teniendo en cuenta el escalado y la automatización de las comprobaciones, lo que le permite utilizarlo, por ejemplo, para controlar regularmente la fiabilidad de los parámetros de autenticación utilizados.
El proceso de verificación en Tsunami se divide en dos etapas:
- Recopilación de información sobre servicios en la red. En esta etapa, se definen los puertos abiertos, así como los servicios, protocolos y aplicaciones relacionados. Herramientas bien establecidas como nmap se utilizan en esta etapa.
- Verificación de vulnerabilidad. Según la información recibida en la primera etapa, se seleccionan y se inician los complementos adecuados para los servicios identificados. Para la confirmación final de la existencia de un problema, se utilizan exploits neutralizados que funcionan completamente. Además, la verificación de la confiabilidad de las credenciales típicas para determinar contraseñas débiles se puede llevar a cabo utilizando el programa ncrack que admite varios protocolos, incluidos SSH, FTP, RDP y MySQL.
El proyecto se encuentra en la etapa inicial de las pruebas alfa, pero Google ya usa Tsunami para escanear y proteger continuamente todos sus servicios, cuyo acceso está abierto a solicitudes externas.
Entre los planes más cercanos para aumentar la funcionalidad, se destaca la implementación de nuevos complementos para identificar problemas críticos que conducen a la ejecución remota de código, así como agregar un componente más avanzado para determinar qué aplicaciones usar (huella digital de aplicaciones web), lo que mejorará la lógica de elegir uno u otro complemento de prueba.
De los planes distantes, se menciona la provisión de herramientas para escribir complementos en cualquier lenguaje de programación y la capacidad de agregar complementos dinámicamente.
Finalmente si estas interesado en conocer mas al respecto del proyecto o poder ver el código fuente, podrás hacerlo desde el siguiente enlace.
Fuente: desdelinux
