谷歌已宣布將其內部使用的 Tsunami 漏洞掃描程序進行開源,以幫助其他組織保護用戶數據。Tsunami 將不會成為谷歌的正式品牌產品,而是由開源社區以類似於管理 Kubernetes(另一種穀歌內部工具)的方式來維護。
「我們已經向開源社區發布了 Tsunami 安全掃描引擎。我們希望該引擎可以幫助其他組織保護其用戶數據。我們還希望促進協作,並鼓勵安全界在 Tsunami 之上創建和共享新的探測器。」
與其他漏洞掃描程序不同的是,Tsunami 本就是秉承著以大型企業為使用對象的初衷而進行構建的,旨在查找包含數十萬個設備的大型網絡中的漏洞。谷歌方面表示,其設計的漏洞掃描程序具有極強的適應性,Tsunami 能夠掃描多種設備類型,而無需為每種設備運行不同的掃描儀。
Tsunami 在掃描系統時執行兩步過程:
第一步是偵查,在此期間,Tsunami 會掃描公司網絡中的開放埠。此後,它會測試每個埠並嘗試識別在它們上運行的協議和服務,以防止因錯誤標記埠和測試設備的漏洞所造成的假漏洞。
第二步是漏洞驗證,在這裡 Tsunami 使用通過偵察收集的信息來確認是否存在漏洞。為此,漏洞掃描程序會嘗試完整地良性執行這個漏洞。漏洞驗證模塊還允許通過插件來擴展Tsunami。
在初始版本中,Tsunami 隨附了用於以下安全問題的檢測器:
Exposed sensitive UIs:Jenkins,Jupyter和Hadoop Yarn之類的應用程式附帶了UI,這些UI允許用戶調度工作負載或執行系統命令。如果這些系統未經身份驗證就暴露在Internet上,則攻擊者可以利用應用程式的功能來執行惡意命令。Weak credentials: Tsunami 使用其他開放原始碼工具(例如 ncrack)來檢測協議和工具(包括SSH、FTP、RDP 和 MySQL)使用的弱密碼。谷歌方面還表示,在未來的幾個月中,其計劃發布更多的漏洞檢測器,用於檢測類似於遠程代碼執行(RCE)之類的漏洞。此外,開發團隊還在研究其他幾個新功能,以使得該工具更強大、更易於使用和擴展。
更多詳細信息可查看官方博客。