גוגל סורק אבטחה , שנועד לבדוק במארחים ברשת פגיעויות ידועות או לזהות בעיות בהגדרות המשפיעות על אבטחת התשתית. צונאמי מספק פלטפורמה משותפת, אוניברסלית שהפונקציונליות שלה מוגדרת באמצעות . לדוגמה, תוסף לסריקת יציאות על בסיס ותוסף לבדיקת פרמטרי אימות לא אמינים על סמך
,
כמו גם תוספים עם גלאי פגיעות ב-Hadoop Yarn, Jenkins, Jupyter ו-WordPress. קוד הפרויקט כתוב ב-Java ו מורשה תחת Apache 2.0.
מטרת הפרויקט היא לספק כלי לזיהוי מהיר של נקודות תורפה בחברות גדולות בעלות תשתיות רשת נרחבות. כשמתגלים בעיות קריטיות חדשות, יש מירוץ נגד תוקפים שמשוועים למקד תשתיות ארגוניות לפני שהבעיה מתוקנת. רכיבים בעייתיים חייבים להיות מזוהים על ידי עובדי החברה מוקדם ככל האפשר, שכן ניתן לתקוף את המערכת תוך שעות לאחר חשיפת הפגיעות. חברות עם אלפי מערכות המחוברות לאינטרנט אינן יכולות להסתדר בלי בדיקות אוטומטיות, וצונאמי מוכרת בפתרון בעיה כזו.
צונאמי מאפשר לך ליצור במהירות את גלאי הפגיעות הדרושים בעצמך או להשתמש באוספים מוכנים כדי לזהות את הבעיות המסוכנות ביותר שעבורן נרשמו התקפות. לאחר סריקת הרשת, Tsunami מספקת דוח על הסריקה שבוצעה, המתמקד בהפחתת מספר התוצאות השוואיות על מנת להימנע מלקחת זמן מיותר לניתוח. צונאמי מפותח גם מתוך עין לשינוי קנה מידה ואוטומציה של בדיקות, מה שמאפשר להשתמש בו, למשל, לניטור שוטף של מהימנות פרמטרי האימות שבהם נעשה שימוש.
תהליך האימות בצונאמי מחולק לשני שלבים:
- איסוף מידע על שירותים ברשת. בשלב זה נקבעים פורטים פתוחים וכן השירותים, הפרוטוקולים והיישומים הקשורים אליהם. בשלב זה נעשה שימוש בכלים שכבר מוכחים היטב כגון nmap.
- אימות פגיעות. בהתבסס על המידע שהתקבל בשלב הראשון, נבחרים ומופעלים תוספים המתאימים לשירותים שזוהו. לאישור סופי של הבעיה, נעשה שימוש בניצולים מנוטרלים הפועלים במלואם. בנוסף, ניתן לבדוק את החוזק של אישורים טיפוסיים כדי לזהות סיסמאות חלשות באמצעות תוכנית ncrack, התומכת בפרוטוקולים שונים, כולל SSH, FTP, RDP ו-MySQL.
הפרויקט נמצא בבדיקות אלפא, אך גוגל כבר משתמשת בצונאמי כדי לסרוק ולהגן באופן רציף על כל השירותים שלה הפתוחים לבקשות חיצוניות. מהתוכניות הקרובות להגדלת הפונקציונליות הטמעת תוספים חדשים לזיהוי בעיות קריטיות המובילות לביצוע קוד מרחוק, וכן הוספת רכיב מתקדם יותר לקביעת היישומים בהם נעשה שימוש (טביעת אצבע של אפליקציה אינטרנטית), אשר ישפר את ההיגיון בבחירת תוסף בדיקה מסוים. תוכניות רחוקות כוללות מתן כלים לכתיבת תוספים בכל שפת תכנות ויכולת להוסיף פלאגינים באופן דינמי.
מקור: OpenNet.ru
