Google udostępnił swój własny wewnętrzny skaner podatności, przeznaczony do użytku w dużych sieciach korporacyjnych składających się z tysięcy, jeśli nie milionów systemów podłączonych do Internetu. Skaner o nazwie Tsunami został udostępniony na GitHubie przez giganta wyszukiwarek w zeszłym miesiącu, choć od jakiegoś czasu jest używany wewnętrznie w firmie. Teraz, gdy jest to oprogramowanie typu open source, skaner podatności nie będzie już produktem Google, ale będzie obsługiwany przez społeczność open source w taki sam sposób jak Kubernetes. Chociaż obecnie dostępne są setki innych komercyjnych skanerów podatności na oprogramowanie typu open source, Tsunami jest nieco inne ze względu na fakt, że Google stworzyło je z myślą o innych dużych firmach. Firma zaprojektowała swój skaner podatności na duże możliwości adaptacji, a Tsunami jest w stanie skanować szeroką gamę typów urządzeń bez konieczności uruchamiania innego skanera dla każdego urządzenia.
Skaner podatności na tsunami
W poście na blogu Google wyjaśniło, że Tsunami podczas skanowania systemu wykonuje dwuetapowy proces. Pierwszym krokiem jest rekonesans, podczas którego Tsunami skanuje sieć firmową w poszukiwaniu otwartych portów. Następnie testuje każdy port i próbuje zidentyfikować działające na nim protokoły i usługi, aby uniknąć błędnego oznaczania portów i testowania urządzeń pod kątem fałszywych luk w zabezpieczeniach. Drugim krokiem jest weryfikacja podatności i tutaj tsunami wykorzystuje informacje zebrane podczas rozpoznania, aby potwierdzić, że podatność istnieje. W tym celu skaner podatności przeprowadza w pełni funkcjonalny i łagodny exploit. Moduł sprawdzania podatności umożliwia także rozbudowę Tsunami poprzez wtyczki. Po wydaniu Tsunami jest wyposażone w detektory wrażliwych interfejsów użytkownika, które można znaleźć w aplikacjach takich jak Jenkins, Jypyter i Hadoop Yarn, a także słabych poświadczeń przy użyciu narzędzi open source, takich jak ncrack, do wykrywania słabych haseł używanych przez protokoły i narzędzia, w tym SSH, FTP, RDP i MySQL. W nadchodzących miesiącach Google planuje dalsze zwiększanie możliwości Tsunami, dodając o wiele więcej skanerów podatności na ataki przypominających zdalne wykonanie kodu (RCE). Firma pracuje także nad kilkoma innymi nowymi funkcjami, które sprawią, że silnik skanera podatności będzie potężniejszy oraz łatwiejszy w użyciu i rozszerzaniu. Przez ZDNet