Google udostępniło skaner do wykrywania luk w zabezpieczeniach dla dużych sieci korporacyjnych, składających się z tysięcy lub nawet milionów systemów podłączonych do Internetu.
Nazywany Tsunami, skaner był używany wewnętrznie w Google i został udostępniony na GitHub w zeszłym miesiącu.
Tsunami nie będzie oficjalnie markowym produktem Google, ale zamiast tego będzie utrzymywany przez społeczność open-source, podobnie jak Google po raz pierwszy udostępnił Kubernetes (inne wewnętrzne narzędzie Google) dla mas.
Jak działa Tsunami
Na rynku istnieją już setki innych komercyjnych lub opartych na otwartych źródłach skanerów podatności, ale to, co różni Tsunami od innych, to fakt, że Google zbudował skaner z myślą o ogromnych firmach, takich jak on sam.
Oto firmy, które zarządzają sieciami obejmującymi setki tysięcy serwerów, stacji roboczych, sprzętu sieciowego i urządzeń IoT, które są podłączone do Internetu.
Google twierdzi, że zaprojektowało Tsunami tak, aby już na starcie dostosować je do tych niezwykle zróżnicowanych i bardzo dużych sieci, bez konieczności uruchamiania różnych skanerów dla każdego typu urządzenia.
Google twierdzi, że dokonało tego, dzieląc Tsunami na dwie główne części, a następnie dodając na wierzchu mechanizm rozszerzalnych wtyczek.
Pierwszym komponentem Tsunami jest sam skaner – lub moduł rozpoznawczy. Komponent ten skanuje firmową sieć w poszukiwaniu otwartych portów. Następnie testuje każdy port i próbuje zidentyfikować dokładne protokoły i usługi działające na każdym z nich, próbując zapobiec błędnemu oznaczeniu portów i testowaniu urządzeń pod kątem niewłaściwych luk w zabezpieczeniach.
Google powiedział, że moduł fingerprinting portów jest oparty na sprawdzonym w branży silniku mapowania sieci nmap, ale wykorzystuje również pewien niestandardowy kod.
Drugi komponent jest tym, który jest bardziej złożony. Ten działa w oparciu o wyniki pierwszego. Bierze pod uwagę każde urządzenie i jego odsłonięte porty, wybiera listę podatności do przetestowania i uruchamia łagodne exploity, aby sprawdzić, czy urządzenie jest podatne na ataki.
Moduł weryfikacji podatności jest również sposobem, w jaki Tsunami może być rozszerzane poprzez wtyczki – środki, dzięki którym zespoły bezpieczeństwa mogą dodawać nowe wektory ataków i podatności do sprawdzenia w swoich sieciach.
Na chwilę obecną Tsunami posiada wtyczki do sprawdzania:
- Odsłoniętych wrażliwych interfejsów użytkownika: Aplikacje takie jak Jenkins, Jupyter i Hadoop Yarn posiadają interfejsy użytkownika, które pozwalają użytkownikowi na planowanie pracy lub wykonywanie poleceń systemowych. Jeśli te systemy są wystawione na działanie internetu bez uwierzytelnienia, atakujący mogą wykorzystać funkcjonalność aplikacji do wykonania złośliwych poleceń.
- Słabe dane uwierzytelniające: Tsunami wykorzystuje inne narzędzia open source, takie jak ncrack, do wykrywania słabych haseł używanych w protokołach i narzędziach, w tym SSH, FTP, RDP i MySQL.
Google powiedział, że planuje ulepszyć Tsunami poprzez nowe wtyczki do wykrywania szerszej gamy exploitów w nadchodzących miesiącach. Wszystkie wtyczki będą udostępniane w drugim, dedykowanym repozytorium GitHub.
Projekt będzie skupiał się na braku fałszywych alarmów
Szukający gigant powiedział, że idąc dalej Tsunami będzie skupiał się na spełnianiu celów klientów korporacyjnych, takich jak on sam, oraz na warunkach spotykanych w tego typu dużych i wielourządzeniowych sieciach.
Dokładność skanowania będzie głównym celem, z projektem skupiającym się na dostarczaniu wyników z jak najmniejszą liczbą fałszywych alarmów (nieprawidłowych wykryć).
Będzie to ważne, ponieważ skaner będzie działał w gigantycznych sieciach, w których nawet najmniejszy fałszywy wynik może spowodować wysłanie nieprawidłowych poprawek do setek lub tysięcy urządzeń, co może skutkować awarią urządzenia, awarią sieci. Niezliczona ilość zmarnowanych godzin pracy, a nawet straty w wynikach finansowych firmy.
Co więcej, Tsunami zostanie rozszerzone o wsparcie tylko dla podatności o wysokim stopniu zagrożenia, które mogą być wykorzystane jako broń, zamiast skupiać się na skanowaniu wszystkiego pod słońcem, jak to ma miejsce w przypadku większości skanerów wykrywających podatności. Ma to na celu zredukowanie zmęczenia zespołów odpowiedzialnych za bezpieczeństwo.