Tsunami "máy quét" lỗ hổng, mã nguồn mở từ Google

Google cho biết Tsunami là một máy quét mạng có thể mở rộng để phát hiện các lỗ hổng nghiêm trọng cao với càng ít sai sót càng tốt.

Được đặt tên là Tsunami, máy quét đã được sử dụng nội bộ tại Google và đã được cung cấp trên GitHub vào tháng trước.

Tsunami sẽ không phải là một sản phẩm chính thức của Google mà thay vào đó sẽ được duy trì bởi cộng đồng nguồn mở, tương tự như cách Google lần đầu tiên tạo ra Kubernetes (một công cụ nội bộ khác của Google) cho đại chúng.

Google cho biết họ đã thiết kế Tsunami để thích ứng với các mạng cực kỳ đa dạng và cực lớn này khi đang di chuyển mà không cần phải chạy các máy quét khác nhau cho từng loại thiết bị.

Phiên bản Tsunami hiện tại đi kèm với các plugin để kiểm tra:

  • Các UIs: Các ứng dụng như Jenkins , JupyterHadoop Yarn có các UIs cho phép người dùng lên lịch khối lượng công việc hoặc thực hiện các lệnh hệ thống. Nếu các hệ thống này được tiếp xúc với internet mà không cần xác thực, kẻ tấn công có thể tận dụng chức năng của ứng dụng để thực thi các lệnh độc hại.

  • Thông tin bảo mật yếu: Tsunami sử dụng các công cụ nguồn mở khác như ncrack để phát hiện mật khẩu yếu được sử dụng bởi các giao thức và công cụ bao gồm SSH, FTP, RDP và MySQL.

Việc này Google sẽ mở rộng để phát hiện tốt hơn với sai số hay “báo giả” thấp nhất. Điều này rất quan trọng vì máy quét sẽ chạy trong các mạng khổng lồ, ngay cả những phát hiện hay báo giả nhỏ nhất cũng có thể dẫn đến việc gửi các bản vá không chính xác đến hàng trăm hoặc hàng ngàn thiết bị, có thể dẫn đến sự cố thiết bị, sự cố mạng. Dẫn đến thời gian làm việc bị lãng phí và thậm chí là tổn thất cho lợi nhuận của công ty.

Hơn nữa, Tsunami cũng sẽ được mở rộng chỉ hỗ trợ cho các lỗ hổng nghiêm trọng có khả năng bị lợi dụng biến các client hay thiết bị thành “vũ khí mạng”, thay vì tập trung vào quét mọi thứ. Điều này sẽ được thực hiện để giảm mệt mỏi vì những cảnh báo nhỏ không đáng lo cho các đội an ninh mạng.