Google ha abierto un escáner de vulnerabilidad para redes empresariales a gran escala que consisten en miles o incluso millones de sistemas conectados a Internet.
Bautizado como Tsunami, el escáner se ha utilizado internamente en Google y se ha puesto a disposición en GitHub el mes pasado.
Tsunami no será un producto de marca oficial de Google, sino que será mantenido por la comunidad de código abierto, de forma similar a como Google puso por primera vez Kubernetes (otra herramienta interna de Google) a disposición de las masas.
Cómo funciona Tsunami
Ya hay cientos de otros escáneres de vulnerabilidad comerciales o de código abierto en el mercado, pero lo que es diferente de Tsunami es que Google construyó el escáner pensando en empresas de tamaño gigantesco como ella.
Esto incluye empresas que gestionan redes que incluyen cientos de miles de servidores, estaciones de trabajo, equipos de red y dispositivos IoT que están conectados a Internet.
Google dijo que diseñó Tsunami para adaptarse a estas redes extremadamente diversas y extremadamente grandes desde el principio, sin la necesidad de ejecutar diferentes escáneres para cada tipo de dispositivo.
Google dijo que lo hizo primero dividiendo Tsunami en dos partes principales, y luego añadiendo un mecanismo de plugin extensible en la parte superior.
El primer componente de Tsunami es el escáner en sí mismo – o el módulo de reconocimiento. Este componente escanea la red de una empresa en busca de puertos abiertos. A continuación, comprueba cada puerto e intenta identificar los protocolos y servicios exactos que se ejecutan en cada uno de ellos, en un intento de evitar el etiquetado erróneo de los puertos y de probar los dispositivos en busca de las vulnerabilidades equivocadas.
Google dijo que el módulo de huella digital de puertos se basa en el motor de mapeo de red nmap, probado por la industria, pero también utiliza algo de código personalizado.
El segundo componente es el que es más complejo. Este se ejecuta en base a los resultados del primero. Toma cada dispositivo y sus puertos expuestos, selecciona una lista de vulnerabilidades para probar, y ejecuta exploits benignos para comprobar si el dispositivo es vulnerable a los ataques.
El módulo de verificación de vulnerabilidades es también la forma en que Tsunami se puede ampliar a través de plugins – los medios a través de los cuales los equipos de seguridad pueden añadir nuevos vectores de ataque y vulnerabilidades para comprobar dentro de sus redes.
La versión actual de Tsunami viene con plugins para comprobar:
- UIs sensibles expuestas: Las aplicaciones como Jenkins, Jupyter y Hadoop Yarn vienen con interfaces de usuario que permiten al usuario programar cargas de trabajo o ejecutar comandos del sistema. Si estos sistemas están expuestos a Internet sin autenticación, los atacantes pueden aprovechar la funcionalidad de la aplicación para ejecutar comandos maliciosos.
- Credenciales débiles: Tsunami utiliza otras herramientas de código abierto como ncrack para detectar contraseñas débiles utilizadas por protocolos y herramientas como SSH, FTP, RDP y MySQL.
Google dijo que planea mejorar Tsunami a través de nuevos plugins para detectar una mayor variedad de exploits en los próximos meses. Todos los plugins se liberarán a través de un segundo repositorio dedicado de GitHub.
El proyecto se centrará en que no haya falsos positivos
El gigante de las búsquedas dijo que en adelante Tsunami se centrará en cumplir con los objetivos de los clientes empresariales de alta gama como él, y las condiciones que se encuentran en este tipo de redes grandes y multidispositivo.
La precisión del escaneo será el objetivo principal, con el proyecto centrado en proporcionar resultados con el menor número posible de falsos positivos (detecciones incorrectas).
Esto será importante ya que el escáner se ejecutará dentro de redes gigantescas donde incluso los más mínimos falsos positivos pueden resultar en el envío de parches incorrectos a cientos o miles de dispositivos, lo que posiblemente resulte en caídas de dispositivos, caídas de la red. Un sinnúmero de horas de trabajo desperdiciadas, e incluso pérdidas en los resultados de una empresa.
Además, Tsunami también se ampliará con el apoyo sólo para las vulnerabilidades de alta gravedad que son susceptibles de ser armadas, en lugar de centrarse en la exploración de todo bajo el sol, como la mayoría de los escáneres de vulnerabilidad tienden a hacer hoy en día. Esto se hará para reducir la fatiga de las alertas para los equipos de seguridad.