Cada vez tenemos más dispositivos conectados en nuestra red. El Internet de las cosas está llevando conectividad a dispositivos que hace unos años nos habría parecido una locura que la tuvieran, como bombillas, calentadores y hasta microondas. Por ello, Google ha lanzado un nuevo escáner llamado Tsunami para encontrar dispositivos vulnerables en una red.
Este escáner está disponible ahora en forma de código abierto para analizar incluso hasta millones de dispositivos conectados a Internet. Google lleva un tiempo utilizándolo de manera interna, y ahora ya lo tenemos disponible en su página de GitHub. Este producto no será oficialmente de Google, y en su legar será mantenido por la comunidad open-source, tal y como ya hizo Google con Kubernetes, donado a la Cloud Native Computing Foundation.
Actualmente hay cientos de herramientas tanto de código cerrado como de código abierto para buscar vulnerabilidades en redes. Lo que diferencia a Tsunami de otras es que está diseñado para funcionar incluso con grandes empresas que puedan tener miles o millones de dispositivos conectados, como la propia Google, con servidores, estaciones de trabajo, equipamiento de red, dispositivos del IoT, etc.
Primero escanea, y luego comprueba las vulnerabilidades de cada dispositivo
Tsunami se adapta automáticamente a cada red sin importar su tamaño o tipo de dispositivos. Esto se logra gracias al primer componente: el escáner, que analiza la red en busca de puertos abiertos. Posteriormente, comprueba cada puerto e intenta identificar los protocolos y servicios que se ejecutan en cada uno de ellos con el fin de identificar correctamente el tipo de dispositivo y evitar buscar las vulnerabilidades incorrectas.
El segundo componente es el más complejo, ya que se ejecuta en función de los resultados obtenidos del primero. Así, selecciona cada dispositivo y sus puertos, y selecciona las vulnerabilidades que va a comprobar mediante exploits benignos para ver si el dispositivo es vulnerable.
El sistema es compatible con plugins, gracias a lo cual se puede extender su funcionalidad, donde los equipos de seguridad que lo utilicen pueden añadir nuevos ataques y comprobaciones de vulnerabilidades dentro de sus redes. Entre los plugins incluidos se encuentra uno para comprobar si hay dispositivos expuestos al acceso desde Internet sin ningún tipo de verificación, además de otro que comprueba si se están utilizando contraseñas demasiado débiles.
Evitar los falsos positivos, la prioridad de Tsunami
Google ha querido hacer esta herramienta lo más fiable posible, centrándose en evitar los falsos positivos a toda costa. Esto es muy importante, ya que, si por ejemplo se detecta una falsa vulnerabilidad en una bombilla inteligente, de la cual hay miles en una empresa, puede que se apliquen los parches incorrectos, pudiendo romperlos, dejarlos sin conexión, o directamente dejar a la compañía sin luz.
Además, la funcionalidad de Tsunami sólo se extenderá con vulnerabilidades de alta peligrosidad que permitan, por ejemplo, que un hacker tome el control de una empresa, robe credenciales, instale ransomware, etc. Gracias a ello, se reducirán las alertas de fallos simples y que no suponen un problema para la integridad de la red de la empresa.