Identyfikacja podatności
Praca „informatyka” nie składa się wyłącznie z klikania i pisania na klawiaturze. Czasami trzeba wyjrzeć zza monitora i zmierzyć się ze światem. A na świecie (przynajmniej tym mnie otaczającym) żyją ludzie zwani audytorami. W szczególności często spotykaną przeze mnie odmianą tych ostatnich są audytorzy z zakresu szeroko rozumianego IT. Są i mnie męczą. Czemu właściwie nie ma się co specjalnie dziwić – w końcu ktoś im za to męczenie mojej skromnej osoby płaci. A dlaczego mnie męczą? Ano dlatego, że chcą informacji. Niekoniecznie zależy im na tym, żeby te informacje były w 100% zgodne z rzeczywistością, ale muszą coś do swoich sprawozdań wpisać. I tu zaczyna się lekki kłopot. O ile o strukturze swojej sieci, procedurach dostępu do danych, mechanizmach tworzenia kopii zapasowych mogę powiedzieć dużo, to z raportami testów identyfikacji podatności (ang. vulnerability scan) do tej pory było u mnie dość kiepsko. No bo niby audyty są bardzo ważne i wszyscy o tym doskonale wiedzą, ale jakoś nikt nie chciał wydać worka pieniędzy na oprogramowanie do przeprowadzania odpowiednich skanów. Tak było do tej pory…
Ponieważ kilka dni temu zostałem po raz kolejny wymęczony (tym razem za pomocą ankiety) przez audyt, postanowiłem przyjrzeć się sytuacji na rynku skanerów bezpieczeństwa i spróbować coś u siebie w firmie wdrożyć. Do tej pory najlepiej pracowało mi się z Nessusem i od niego zacząłem. Program wygląda naprawdę fajnie (z ciekawości przetestowałem sobie nawet bezpłatną wersję „dla domu”) i jest jednym z najbardziej popularnych skanerów. Ma tylko jedną wadę – cena usługi ProfessionalFeed wynosi 1.200 USD rocznie. I nawet pomimo tego, że według mnie Nessus wart jest tych pieniędzy, to jestem dziwnie spokojny, że nie byłoby łatwo przeforsować takiego wydatku. Kolejnym strzałem była Retina. Produkt równie dojrzały i uznany, co Nessus, to i cena dość podobna. Co dalej? Kiedyś był SATAN, ale znalazłem tylko coś, co nazywało się SARA i nie jest już rozwijane. Kolejną witryną, jaką odwiedziłem była strona domowa projektu SAINT. Niestety, w tym przypadku nie znalazłem nawet konkretnej ceny interesującego mnie produktu. Na tym etapie działania wiedziałem, że mam do wybory trzy produkty, z czego jeden znam, lubię i jest prawdopodobnie najtańszy. Ale to jeszcze nie koniec…
Nie wiem skąd się tam wziąłem, ale w pewnym momencie moim oczom ukazała się strona domowa projektu OpenVAS. O ile udało mi się zorientować, jest to fork Nessusa, który rozpowszechniany jest na licencji GNU. Składa się z kilku współpracujących ze sobą modułów i zestawu testów, które stanowią o sile tego rozwiązania. Co ciekawe, same testy (Network Vulnerability Tests) napisane są w języku NASL opracowanym dla Nessua – kolejna rzecz, która mi się spodobała. Postanowiłem zainstalować OpenVASa na jakiejś maszynie i zobaczyć, ile to cudo jest warte. W CentOSie 5.6 instalacja przebiegła bez problemu i po niedługim czasie miałem gotowe rozwiązanie do skanowania swoich zasobów…
Na razie jestem z odkrycia bardzo zadowolony i w wolnych chwilach staram się tego w jakiś sensowny sposób użyć. Pomimo pewnej „toporności” interfejsu (używam Greenbone Security Assistant), wydaje mi się, że zaprzyjaźnię się z OpenVASem na dłużej. Ciekawe tylko, co powiedzą audytorzy, jak zobaczą raporty utworzone w jakimś abstrakcyjnym systemie, który nie jest „ogólnie uznany przez środowisko” :-)