Cada día son más los fallos que salen a la luz en los dispositivos de red. Ya sea en routers, puntos de acceso, cámaras IP etc… Todo estos fallos generalmente no suelen ser parcheados por el usuario final, a pesar que el fabricante sirva la actualización con correcciones. Y además, si a eso le sumamos que cada vez hay más dispositivos conectados a internet, tenemos muchas más posibilidades que alguno de nuestros dispositivos sea susceptible de ataque.
Para acabar o prevenir, en cierto modo, Google ha lanzado Tsunami, un escáner de red para identificar dispositivos con fallos conocidos o por corregir.
¿Qué es Tsunami?
Tsunami es un conjunto de herramientas de seguridad de red que ya era utilizado por Google de forma interna en sus infraestructuras, ya que es capaz de identificar hasta varios millones de dispositivos conectados a la red. Aunque Tsunami ha sido desarrollado por Google, ahora se distribuye libremente en código abierto en la plataforma GITHub, y es la propia comunidad Open-Source quien se encarga de mantener el proyecto.
Tsunami se caracteriza por ser compatible con plugins, incluso puedes crear tus propios plugins para añadir funcionalidades y acciones automatizadas.
¿Cómo funciona Tsunami?
El proceso de escaneo, detección e identificación de Tsunami está basado en 2 procesos básicos:
- Reconocimiento: en el primer paso, Tsunami identifica puertos abiertos y, posteriormente, protocolos de huellas digitales, servicios y otro software que se ejecuta en el equipo de destino a través de un conjunto de complementos de huellas digitales. Para no reinventar la rueda, Tsunami aprovecha las herramientas existentes como Nmap para algunas de estas tareas.
- Verificación de vulnerabilidades: según la información recopilada en la fase de reconocimiento, Tsunami selecciona todos los complementos de verificación de vulnerabilidad que coinciden con los servicios identificados y los ejecuta para verificar vulnerabilidades sin falsos positivos.
Objetivos y prioridades de Tsunami
El principal objetivo de Google con el desarrollo de Tsunami, es la fiabilidad sobre las detecciones y control de falsos positivos. Además Tsunami se centra en detecciones de vulnerabilidades de alta peligrosidad, con el fin de evitar ser victimas de complejos ataques de ransomware, robo de información, instalación de backdoors etc..
Otra de las ventajas que ofrece Tsunami es que sus detectores y plugins son fáciles de instalar, así como tambíen es sencillo escalar los escaneos a una mayor infraestructura y complejidad.