O Google revelou o código-fonte do scanner Tsunami, uma solução escalável para detectar vulnerabilidades perigosas com um mínimo de falsos positivos. O scanner destina-se a grandes redes corporativas compostas por milhares ou até milhões de sistemas conectados à Internet. O código já está disponível no GitHub.
Tsunami não será registrado como produto do Google, mas será apoiado pela comunidade de código aberto. Mais cedo, a empresa agiu de forma semelhante com sua outra ferramenta interna, Kubernetes, que também se tornou disponível para as massas.
Deixe-me também lembrá-lo que O Google Maps ajuda os usuários a se protegerem do COVID-19.
Como acima mencionado, Tsunami difere de outras ferramentas semelhantes em termos de escala, porque o Google criou seu próprio scanner para empresas verdadeiramente gigantes (como ele mesmo). A lista deles também consiste em empresas que gerenciam redes, incluindo centenas de milhares de servidores, estações de trabalho, equipamentos de rede e dispositivos IoT.
“O Tsunami se adapta bem a redes grandes e heterogêneas desse tipo e resolve o problema de lançar vários scanners para cada tipo de dispositivo. Para fazer isso, o scanner é dividido em duas partes principais, e também está equipado com um mecanismo extensível de suporte a plug-ins”, – dizem os engenheiros do Google.
O primeiro e principal componente do Tsunami é o próprio scanner ou módulo de inteligência. Ele verifica a rede da empresa em busca de portas abertas, e então verifica todas as portas e determina os protocolos e serviços exatos em execução nelas (para evitar marcação incorreta de portas e não verificar dispositivos em busca de vulnerabilidades erradas). Este módulo de impressão digital é baseado em nmap, mas também usa código personalizado.
O segundo componente Tsunami funciona com base nos resultados do primeiro. Ele interage com cada dispositivo e suas portas abertas: ele seleciona uma lista de vulnerabilidades para teste e executa explorações seguras para verificar se o dispositivo é realmente vulnerável a ataques.
Os recursos deste módulo para verificação de vulnerabilidades podem ser expandidos usando plug-ins.
“A versão atual do scanner vem com plug-ins para verificar UIs estratégicas abertas (Jenkins, Júpiter, Fio Hadoop e assim por diante), bem como credenciais fracas. Para implementar este último, Tsunami usa ferramentas de código aberto como ncrack, que ajudam a detectar senhas fracas usadas por vários protocolos e ferramentas, incluindo SSH, FTP, RDP e MySQL”, – dizem os desenvolvedores do scanner.
Desenvolvedores do Google prometem ampliar a lista de plugins para Tsunami nos próximos meses.
Eles serão publicados em um repositório GitHub separado.
