Google сканер Tsunami теперь в открытом доступе для поиска уязвимости в корпоративных сетях.

Google говорит, что сканер Tsunami — это расширенный сетевой механизм для обнаружения уязвимостей с высокой степени опасности с минимальным количеством ложных срабатываний.

Google выложил в открытый доступ сканер для поиска уязвимостей в крупных корпоративных сетях, состоящих из тысяч или даже миллионов пользователей имеющих доступ к Интернету.

Сканер под названием Tsunami использовался внутри компании Google и был доступен на GitHub в прошлом месяце.

Tsunami не будет официальным продуктом Google и скорее всего не будет обновляться и поддерживаться, но будет поддерживаться сообществом открытого исходного кода, подобно тому, как Google впервые сделал Kubernetes (еще один внутренний инструмент Google) доступный для общего использования.

КАК РАБОТАЕТ СКАНЕР TSUNAMI

На рынке уже есть сотни других коммерческих сканеров или сканеров с открытыми исходными кодами, но сканер Tsunami отличается тем что Google создал приложение заточенное под гигантские компании.

Сюда входят компании, которые управляют сетями в которые входят сотни тысяч серверов, рабочих станций, сетевого оборудования и IoT устройств подключенных к Интернету.

Google заявил, что разработал сканер Tsunami который адаптирован для чрезвычайно крупных сетей, без необходимости запуска различных сканеров для каждого типа устройств, серверов, рабочих станций, роутеров и тд.

Google сказал что в вначале разделили сканер Tsunami на две основные части, а затем добавили функции с плагинами для расширения функционала основной программы, видимо для того чтобы не перегружать базовую программу. 

Базовым компонентом Tsunami является сам сканер и модуль сканирования. Этот компонент сканирует сеть компании на наличие открытых портов. Затем он проверяет каждый порт и пытается определить точные протоколы и службы работающие на каждом из портов, после этого сканер определяет возможность и варианты уязвимостей.

Google заявил, что модуль «снятия отпечатков» портов основан на проверенном механизме сетевых карт nmap, но также использует некоторый пользовательский код.

Второй алгоритм более сложный. Он работает на основе результатов первого. Он берет каждое устройство и его открытые порты, выбирает список уязвимостей для тестирования и запускает безопасные эксплойты, тем самым проверяет на уязвимость устройство для атаки.

Модуль проверки уязвимости также позволяет расширить возможности сканера Tsunami с помощью плагинов — средств, с помощью которых группы безопасности можно добавлять новые векторы атак и уязвимости для проверки внутри своих сетей.

Текущая версия Tsunami поставляется с плагинами для проверки:

Exposed sensitive UIs: Такие приложения, как Jenkins, Jupyter и Hadoop Yarn поставляются с UIs, которые позволяют пользователю планировать рабочие нагрузки или выполнять системные команды. Если эти система подключена к Интернету без аутентификации, злоумышленники могут использовать функциональные возможности приложения для выполнения вредоносных команд.

Weak credentials: сканер Tsunami использует инструменты с открытым исходным кодом, такие как ncrack, для обнаружения слабых паролей используя протоколы и инструменты, включая SSH, FTP, RDP и MySQL.

Google заявил, что планирует усовершенствовать Tsunami с помощью новых плагинов для обнаружения более широкого спектра эксплойтов в ближайшие месяцы. Все плагины будут выпущены через второй специализированный репозиторий GitHub.

Проект будет сфокусирован на ложно-положительном результате

Поисковый гигант сказал, что в будущем Tsunami сосредоточится на корпоративных клиентах высокого уровня таких как он сам, с существованием крупных сетей с множеством различных сетевых устройств различного уровня.

Точность сканирования будет основной целью, так как проект нацелен на получение результатов с минимально возможным количеством ложных срабатываний (неправильных обнаружений).

Это будет важно, так как сканер будет работать внутри гигантских сетей, где даже малейшие ложно-положительный результаты может привести к неправильным исправлениям на сотни или тысячи устройств в системах безопасности, что может привести к сбоям устройства, сбоям в сети, а также бесчисленное количество потраченного рабочего времени и даже убытки по итогам работы компании.

Следите за новостями от компании Google, а также используйте ссылки указанные в статье что бы быть в курсе что изменилось в репозиториях GitHub.