Mới đây, Google đã quyết định tung mã nguồn của công cụ quét lỗ hổng mạng doanh nghiệp Tsunami lên GitHub. Theo Google Tsunami có thể được mở rộng để phát hiện các lỗ hổng nghiêm trọng với tỷ lệ sai sót thấp nhất.
Tsunami trước đây được sử dụng nội bộ bên trong Google. Tuy nhiên, từ nay trở đi mọi người đều có thể truy cập công cụ này qua mã nguồn miễn phí trên GitHub. Tsunami có thể quét các mạng doanh nghiệp quy mô lớn, bao gồm hàng triệu hoặc hàng ngàn hệ thống kết nối internet.
Sau khi đưa lên GitHub, Tsunami sẽ không còn là một sản phẩm chính thức của Google. Thay vào đó, nó được duy trì, phát triển bởi cộng đồng mã nguồn mở. Google từng làm điều tương tự với Kubernetes, một công cụ giúp tự động hóa việc triển khai, nhân rộng và quản lý các ứng dụng container.
Tsunami hoạt động như thế nào?
Hiện tại trên thế giới có hàng trăm công cụ quét hệ thống được cung cấp theo dạng mã nguồn mở hoặc thương mại hóa. Nhưng Tsunami khác biệt với tất cả khi có thể dùng cho các doanh nghiệp quy mô khổng lồ.
Theo Google, Tsunami có thể được dùng cho các công ty có hệ thống mạng bao gồm hàng trăm ngàn máy chủ, máy trạm, thiết bị mạng và thiết bị IoT kết nối với internet. Tsunami cũng có thể thích ứng với các mạng lưới đa dạng, cực lớn này, không cần sử dụng công cụ quét khác nhau cho từng loại thiết bị.
Google đạt được điều này bằng cách chia Tsunami thành hai thành phần chính sau đó thêm vào các cơ chế plugin có thể mở rộng ở phía trên.
Thành phần đầu tiên là máy quét hay còn gọi là mô-đun trinh sát. Nó đảm nhiệm việc quét hệ thống để phát hiện các cổng kết nối chưa được đóng. Sau đó, nó kiểm tra từng cổng và xác định các giao thức, dịch vụ đang chạy trên mỗi cổng để tránh đánh dấu nhầm cổng và thiết bị chứa lỗ hổng.
Thành phần thứ hai phức tạp hơn. Nó hoạt động dựa trên kết quả của thành phần thứ nhất. Nó sẽ truy cập từng thiết bị và các cổng tiếp xúc với thiết bị sau đó chọn một danh sách các lỗ hổng để kiểm tra. Tiếp theo, các phương thức tấn công, khai thác lành tính sẽ được triển khai để xem thiết bị có dễ bị tấn công hay không.
Cuối cùng, với các plugin, Tsunami có thể mở rộng thêm chức năng trong tương lai. Các nhóm nghiên cứu bảo mật có thể thêm vào Tsunami các phương thức quét mới dành cho những lỗ hổng vừa được phát hiện…
Phiên bản Tsunami hiện tại có các plugin với khả năng kiểm tra:
- Các UI quan trọng đã bị khai thác: Các ứng dụng như Jenkins, Jupyter và Hadoop Yarn có các UI cho phép người dùng lên lịch làm việc hoặc thực hiện các lệnh trên hệ thống. Chính vì thế, nếu bị khai thác, hacker có thể tận dụng chính các chức năng của ứng dụng để thực thi các câu lệnh tấn công hệ thống.
- Các xác thực bảo mật kém: Tsunami sử dụng các công cụ mã nguồn mở khác như ncrack để phát hiện ra những mật khẩu yếu được sử dụng bởi các giao thức và công cụ như SSH, FTP, RPD và MySQL.
Google cho biết trong những tháng tới họ sẽ trang bị cho Tsunami các plugin mới để phát hiện nhiều phương thức khai thác lỗ hổng khác nhau. Tất cả các plugin sẽ được phát hành qua một respository riêng trên GitHub.
Giảm thiểu sai sót
Google cho biết trong tương lai Tsunami sẽ tập trung vào đáp ứng các mục tiêu của khách hàng doanh nghiệp cao cấp có quy mô giống như chính bản thân họ hoặc các doanh nghiệp có mạng lưới quy mô lớn, đa dạng thiết bị.
Độ chính xác của Tsunami là mục tiêu chính mà Google theo đuổi. Gã khổng lồ tìm kiếm hy vọng với sự đóng góp của cộng đồng mã nguồn mở mức độ sai sót của công cụ này sẽ giảm tới mức thấp nhất có thể.