19 projetos open source de segurança disponíveis no GitHub

A plataforma agrupa muitas iniciativas de código aberto para projetos de segurança. Veja algumas ferramentas que podem ser úteis à sua empresa.

Quando se trata de rodar rotinas de manutenção, controlar crises ou executar novos projetos, a maioria dos profissionais de tecnologia busca formas eficientes de automatizar suas tarefas. Em um contexto dinâmico, encontrar maneiras inteligentes de elevar barreiras de proteção de forma constante ganha contornos extras. Pois saiba: o GitHub pode ajudá-lo nessa tarefa.

A seguir, destacamos algumas iniciativas em open source disponibilizadas na ferramenta que julgamos bastante eficazes para praticamente todos profissionais encarregados de proteger sistemas e redes. 

 

Teste de invasão

Quando se trata de soluções para testes de invasão, pode ir direto ao Metasploit Framework da Rapid7. É possível usar a extensa biblioteca para desenvolver sistemas que ampliem recursos de proteção contra ataques a aplicações e redes antes que cibercriminosos o façam.

A versatilidade da plataforma vem de sua estrutura modular: basta encaixa-la no módulo apropriado e começar os testes em computadores, dispositivos móveis, roteadores, switches, sistemas industriais. A tecnologia pode ser executada em uma variedade de plataformas, incluindo Windows, Linux, Mac, Android e iOS.

O Metasploit é abrangente, mas vale a pena ter outras opções em seu kit de ferramentas de teste de intrusão. Por isso, confira o navegador Exploitation Framework (BeEF), uma tecnologia com foco em navegadores web. A solução usa vetores de ataque do lado do cliente para avaliar vulnerabilidades de uma organização contra ataques via internet, bem como, quão longo o invasor conseguiria chegar.

Já o Mimikatz é uma grande ferramenta para o pós-ataque. A tecnologia dá aos administradores de segurança posições mais firmes em máquinas com Windows ou em redes corporativas. A solução é poderosa, pois permite extrair senhas de texto simples, hashes, PIN, fingir tokens de usuário, e exportar certificados e chaves privadas correspondentes armazenadas no sistema comprometido. A tecnologia pode ser usada como uma ferramenta independente, mas também está incluído no Metasploit, como um script Meterpreter.

Ferramentas de defesa profunda

O CFSSL, da CloudFlare, é um "canivete suíço" para rotinas de assinatura, verificação e agregação de certificados TLS. Trata-se de uma ferramenta múltipla que atende tanto linhas de comando quanto um servidor HTTP API, que dá aos administradores ferramentas de compilação personalizada TLS/PKI e executa certificação de autoridade que pode usar várias chaves de assinatura. A tecnologia também tem um scanner cheio de recursos para testar configurações do servidor contra as mais recentes vulnerabilidades e seus pacotes de transporte que ajudam a empresa a lidar com configuração de certificado e revogação.

Expor dados sensíveis, tais como chaves de segurança e senhas, é um problema comum no desenvolvimento de software. Para ajudá-lo a não cometer esse erro, use o Gitrob que ajuda na verificação de repositórios GitHub para arquivos sensíveis. Enquanto GitHub tem uma função de busca interna para descobrir a informação, Gitrob simplifica o processo de compilar uma lista de repositórios públicos, privados e restritos. O sistema checa informações e padrões e as salva em um banco de dados PostgreSQL.

Já o Lynis é uma ferramenta de proteção e auditoria de segurança para sistemas baseados em Unix, como Linux, Mac OS X, BSD e Solaris. Junto com uma verificação de segurança em profundidade para detectar problemas no sistema, pacotes de software vulneráveis e definições de configuração, a solução faz recomendações sobre como fortalecer um sistema. A tecnologia pode ser útil em processos de avaliação de segurança, testes de conformidade, detecção de vulnerabilidade, gerenciamento de configuração e gerenciamento de patches.

O Systems Integrity Management Platform, da NSA (National Security Agency) permite aos times de segurança definir e aplicar políticas e normas de proteção para sistemas em rede. Organizações usam a estrutura para atender a requisitos de conformidade e automatizar tarefas operacionais. O SIMP, habilitado mediante compra de licenças Red Hat Enterprise Linux, mostra às equipes de operações e segurança desvios no comportamento na rede.

Monitoramento de rede

O monitor de segurança de rede Bro oferece aos defensores visibilidade em todas as máquinas distribuídas em uma rede, bem como a capacidade de toca de tráfego e analisa de pacotes e verificação das camadas de aplicação. É possível usar linguagem específica para criar políticas de monitoramento de acordo com a demanda. A tecnologia é bastante usada em ambientes científicos e acadêmicos.

O OSSEC combina um sistema de detecção de intrusão baseado em host com recursos de monitoramento de log e SIEM para uma variedade de plataformas, incluindo Linux, Mac OS, Solaris, AIX e Windows. As equipes de segurança usam a tecnologia para análise de log, arquivo de verificação de integridade, monitoramento de políticas, detecção de rootkit, alertas em tempo real e resposta ativa. Além disso, podem aplicar o sistema para atender requisitos de conformidade, configurando o OSSEC para enviar alertas sobre as modificações do sistema de arquivos não autorizados e comportamentos maliciosos embutidos nos logs de software.

Já o Moloch é um sistema de bancos de dados em grande escala, cheio de pacotes para captura e indexação que ajuda equipes de segurança no tratamento de incidentes, monitoramento de rede e práticas de forense digital. A solução complementa sistemas de detecção de intrusão existentes, fornecendo aos administradores uma maneira de navegar, pesquisar e exportar todo o tráfego de rede capturado. O sistema consiste em um aplicativo single-threaded C para capturar dados de tráfego, uma aplicação Node.js para lidar com a interface do usuário e um banco de dados ElasticSearch.

Resposta a incidentes e análise forense

A Mozilla Defense Platform (MozDef) automatiza rotinas de tratamento de incidentes, dando aos defensores uma plataforma onde podem monitorar, reagir e atuar conjuntamente em incidentes de segurança em tempo real. O MozDef usa ElasticSearch, Meteoro e MongoDB para expandir as capacidades tradicionais de SIEM com resposta a incidentes e visualizações.

O OS X Auditor analisa extensões de kernel, agentes de sistema, arquivos baixados e aplicativos instalados em um sistema em execução (ou sua cópia). A ferramenta forense extrai informações do usuário, como arquivos em quarentena, histórico do navegador e cookies, downloads de arquivos, páginas recentes, bancos de dados HTML5 e localstore, dados de login, contas sociais e e-mail e conexões sem fio salvas em um aparelho. Além disso, o OS X Auditor verifica a reputação de cada arquivo com várias fontes, como parte de uma investigação forense.

Feito sob medida para os sistemas da Microsoft e Unix, o Sleuth Kit permite aos investigadores identificarem e recuperar evidências de sistemas em tempo real, bem como imagens criadas como parte da resposta a incidentes. Os técnicos podem usar a tecnologia para analisar o conteúdo do arquivo, automatizar procedimentos específicos, e realizar MD5 verifica a integridade da imagem. O kit é mais do que uma biblioteca e coleção de ferramentas de linha de comando, e os investigadores devem usar o Autopsy - interface gráfica para Sleuth Kit - para acessar as ferramentas.

O GRR é uma estrutura de resposta a incidentes focada em forense remoto em tempo real para Linux, OS X e Windows. Os investigadores instalam o agente Python nos sistemas de destino para a análise de memória remota ao vivo e, assim, recolhem artefatos digitais e realizam monitoramento detalhado em sistemas de CPU, memória e uso de I/O. A ferramenta também o SleuthKit para dar aos técnicos o acesso ao sistema de arquivo RAW.

Ferramentas de pesquisa e scanners de vulnerabilidade

O Radare é uma ferramenta do tipo Unix que usa engenharia reversa e de linha de comando para Android, Linux, BSD, iOS, OS X, Solaris, Haiku, Firefox OS e QNX, bem como Windows de 32 e 64 bits. O projeto começou como uma ferramenta forense e um editor hexadecimal de linha de comando programável, mas, desde então, ganhou bibliotecas e ferramentas para analisar dados binários, desmontagem de código, depuração de programas, e anexo a servidores GDB remotos. O Radare suporta uma ampla gama de arquiteturas - baseado em Intel, ARM, Sparc e PowerPC, para citar alguns.

O Brakeman é um scanner de vulnerabilidade para apps Ruby on Rails que permitem que profissionais de segurança analisem o fluxo de dados a partir de uma parte do aplicativo para outro. A solução ajuda os administradores a descobrirem problemas em aplicativos Web, tais como injeção SQL, desvio de verificação SSL e vulnerabilidades de divulgação de informações. A tecnologia deve ser utilizado com um scanner de segurança site.

O Quick Android Review Kit (Qark) procura vulnerabilidades em aplicações Android, seja no código fonte ou em pacotes APKs. A ferramenta procura por problemas, como componentes inadvertidamente exportados, validação de certificado X.509 indevido, vazamento de dados, chaves privadas incorporados no código fonte, criptografia fraca ou usadas de forma inadequada, etc. O Qark fornece informações sobre a natureza das vulnerabilidades de segurança encontradas, bem como a capacidade de criar APKs de prova de conceito que poderiam explorar essas brechas.

Para a análise de malware, há o Cuckoo Sandbox, um sistema de análise dinâmica automatizada que surgiu no Google Summer of Code de 2010. A ferramenta permite que equipes de segurança detonem arquivos suspeitos e os monitorem em um ambiente virtual isolado.

O Jupyter não é um projeto de segurança específico, mas cadernos compartilháveis são quase indispensáveis a qualquer kit de ferramentas de proteção. Os profissionais podem compartilhar código ao vivo, visualizações, e um texto explicativo com os "cadernos" individuais. Existem ferramentas adicionais para melhorar o projeto, incluindo o servidor multiusuário Jupyterhub, o diff, além de pacotes Docker e OAuth.

Fonte: computerworld

No Comments Yet.

Leave a comment