tsunami

Google rende disponibile lo scanner di vulnerabilità open source Tsunami
Secondo Google, Tsunami è in grado di rilevare vulnerabilità critiche con un bassissimo numero possibile di falsi positivi

2 min


Google ha sviluppato uno scanner di vulnerabilità per reti aziendali composto da migliaia, se non milioni, di sistemi connessi a Internet. Chiamato Tsunami, lo scanner è utilizzato internamente su Google ed è stato reso disponibile su GitHub il mese scorso.

Tsunami non sarà un prodotto ufficiale di Google, ma sarà invece gestito dalla comunità open source, allo stesso modo in cui Google ha reso Kubernetes (un altro strumento interno di Google) per la prima volta disponibile al pubblico.

Tsunami al servizio delle grandi aziende

Tsunami a differenza degli altri scanner di vulnerabilità commerciali o open source già presenti sul mercato, è stato creato pensando alle aziende di grandi dimensioni. In pratica quelle che si trovano a gestire reti che comprendono centinaia di migliaia di server, workstation, apparecchiature di rete e dispositivi IoT connessi a Internet.

TsunamiGoogle ha dichiarato di aver progettato Tsunami per adattarsi a queste reti estremamente diverse ed estese. Le aziende potranno quindi fare scansioni diverse per ogni tipo di dispositivo. Tsunami è diviso in due parti principali e è incluso anche un meccanismo di plugin.

Due componenti

Il primo componente di Tsunami è lo scanner stesso. Questo componente esegue la scansione della rete di un’azienda alla ricerca di porte aperte. Quindi verifica ciascuna porta e tenta di identificare i protocolli e i servizi in esecuzione su di essa, per evitare errori di etichettatura  e testare i dispositivi per le vulnerabilità. Google afferma che il modulo di analisi delle porte si basa sul motore di mappatura della rete nmap già conosciuto nel settore, ma al tempo stesso utilizza anche un codice personalizzato.

Il secondo elemento è il più complesso. Funziona sulla base dei risultati del primo. Prende ogni dispositivo e le sue porte esposte, seleziona un elenco di vulnerabilità da testare ed esegue exploit benigni per verificare se il dispositivo è vulnerabile agli attacchi. Il modulo di controllo delle vulnerabilità consente inoltre a Tsunami di essere esteso tramite plugin. Questo consente ai team di sicurezza di aggiungere nuovi vettori di attacco e nuove vulnerabilità.

L’attuale versione di Tsunami viene fornita con questi plugin:

  • Interfaccia utente: applicazioni come Jenkins , Jupyter e Hadoop Yarn dispongono di interfacce utente che consentono di programmare carichi di lavoro o eseguire comandi di sistema. Se questi sistemi sono esposti a Internet senza autenticazione, gli aggressori possono sfruttare la funzionalità dell’applicazione per eseguire comandi dannosi.
  • Crediti deboli: Tsunami utilizza altri strumenti open source come ncrack per rilevare password deboli utilizzate da protocolli e strumenti come SSH, FTP, RDP e MySQL.

Google ha dichiarato di voler migliorare  Tsunami con nuovi plugin per rilevare una più ampia varietà di exploit nei prossimi mesi. Tutti i plugin saranno disponibili tramite un secondo repository GitHub


Danilo Loda

author-publish-post-icon









 




 

Sì, iscrivimi alla newsletter!
close-link