A plataforma agrupa mais de 800 projetos com foco em segurança, disponibilizando ferramentas e frameworks para análise de ameaças e malwares, testes de intrusão, investigação forense, resposta a incidentes, monitoramento de rede e muito mais.

A seguir, destacamos algumas iniciativas em open source disponibilizadas na ferramenta que julgamos bastante eficazes para praticamente todos profissionais encarregados de proteger sistemas e redes.

Teste de invasão
Quando se trata de soluções para testes de invasão, pode ir direto ao Metasploit Framework da Rapid7. É possível usar a extensa biblioteca para desenvolver sistemas que ampliem recursos de proteção contra ataques a aplicações e redes antes que cibercriminosos o façam.

A versatilidade da plataforma vem de sua estrutura modular: basta encaixa-la no módulo apropriado e começar os testes em computadores, dispositivos móveis, roteadores, switches, sistemas industriais. A tecnologia pode ser executada em uma variedade de plataformas, incluindo Windows, Linux, Mac, Android e iOS.

O Metasploit é abrangente, mas vale a pena ter outras opções em seu kit de ferramentas de teste de intrusão. Por isso, confira o navegador Exploitation Framework (BeEF), uma tecnologia com foco em navegadores web. A solução usa vetores de ataque do lado do cliente para avaliar vulnerabilidades de uma organização contra ataques via internet, bem como, quão longo o invasor conseguiria chegar.

Já o Mimikatz é uma grande ferramenta para o pós-ataque. A tecnologia dá aos administradores de segurança posições mais firmes em máquinas com Windows ou em redes corporativas. A solução é poderosa, pois permite extrair senhas de texto simples, hashes, PIN, fingir tokens de usuário, e exportar certificados e chaves privadas correspondentes armazenadas no sistema comprometido. A tecnologia pode ser usada como uma ferramenta independente, mas também está incluído no Metasploit, como um script Meterpreter.

Ferramentas de defesa profunda
O CFSSL, da CloudFlare, é um “canivete suíço” para rotinas de assinatura, verificação e agregação de certificados TLS. Trata-se de uma ferramenta múltipla que atende tanto linhas de comando quanto um servidor HTTP API, que dá aos administradores ferramentas de compilação personalizada TLS/PKI e executa certificação de autoridade que pode usar várias chaves de assinatura. A tecnologia também tem um scanner cheio de recursos para testar configurações do servidor contra as mais recentes vulnerabilidades e seus pacotes de transporte que ajudam a empresa a lidar com configuração de certificado e revogação.

Expor dados sensíveis, tais como chaves de segurança e senhas, é um problema comum no desenvolvimento de software. Para ajudá-lo a não cometer esse erro, use o Gitrob que ajuda na verificação de repositórios GitHub para arquivos sensíveis. Enquanto GitHub tem uma função de busca interna para descobrir a informação, Gitrob simplifica o processo de compilar uma lista de repositórios públicos, privados e restritos. O sistema checa informações e padrões e as salva em um banco de dados PostgreSQL.

Já o Lynis é uma ferramenta de proteção e auditoria de segurança para sistemas baseados em Unix, como Linux, Mac OS X, BSD e Solaris. Junto com uma verificação de segurança em profundidade para detectar problemas no sistema, pacotes de software vulneráveis e definições de configuração, a solução faz recomendações sobre como fortalecer um sistema. A tecnologia pode ser útil em processos de avaliação de segurança, testes de conformidade, detecção de vulnerabilidade, gerenciamento de configuração e gerenciamento de patches.

O Systems Integrity Management Platform, da NSA (National Security Agency) permite aos times de segurança definir e aplicar políticas e normas de proteção para sistemas em rede. Organizações usam a estrutura para atender a requisitos de conformidade e automatizar tarefas operacionais. O SIMP, habilitado mediante compra de licenças Red Hat Enterprise Linux, mostra às equipes de operações e segurança desvios no comportamento na rede.

Monitoramento de rede
O monitor de segurança de rede Bro oferece aos defensores visibilidade em todas as máquinas distribuídas em uma rede, bem como a capacidade de toca de tráfego e analisa de pacotes e verificação das camadas de aplicação. É possível usar linguagem específica para criar políticas de monitoramento de acordo com a demanda. A tecnologia é bastante usada em ambientes científicos e acadêmicos.

O OSSEC combina um sistema de detecção de intrusão baseado em host com recursos de monitoramento de log e SIEM para uma variedade de plataformas, incluindo Linux, Mac OS, Solaris, AIX e Windows. As equipes de segurança usam a tecnologia para análise de log, arquivo de verificação de integridade, monitoramento de políticas, detecção de rootkit, alertas em tempo real e resposta ativa. Além disso, podem aplicar o sistema para atender requisitos de conformidade, configurando o OSSEC para enviar alertas sobre as modificações do sistema de arquivos não autorizados e comportamentos maliciosos embutidos nos logs de software.

Já o Moloch é um sistema de bancos de dados em grande escala, cheio de pacotes para captura e indexação que ajuda equipes de segurança no tratamento de incidentes, monitoramento de rede e práticas de forense digital. A solução complementa sistemas de detecção de intrusão existentes, fornecendo aos administradores uma maneira de navegar, pesquisar e exportar todo o tráfego de rede capturado. O sistema consiste em um aplicativo single-threaded C para capturar dados de tráfego, uma aplicação Node.js para lidar com a interface do usuário e um banco de dados ElasticSearch.

Resposta a incidentes e análise forense
A Mozilla Defense Platform (MozDef) automatiza rotinas de tratamento de incidentes, dando aos defensores uma plataforma onde podem monitorar, reagir e atuar conjuntamente em incidentes de segurança em tempo real. O MozDef usa ElasticSearch, Meteoro e MongoDB para expandir as capacidades tradicionais de SIEM com resposta a incidentes e visualizações.

O OS X Auditor analisa extensões de kernel, agentes de sistema, arquivos baixados e aplicativos instalados em um sistema em execução (ou sua cópia). A ferramenta forense extrai informações do usuário, como arquivos em quarentena, histórico do navegador e cookies, downloads de arquivos, páginas recentes, bancos de dados HTML5 e localstore, dados de login, contas sociais e e-mail e conexões sem fio salvas em um aparelho. Além disso, o OS X Auditor verifica a reputação de cada arquivo com várias fontes, como parte de uma investigação forense.

Feito sob medida para os sistemas da Microsoft e Unix, o Sleuth Kit permite aos investigadores identificarem e recuperar evidências de sistemas em tempo real, bem como imagens criadas como parte da resposta a incidentes. Os técnicos podem usar a tecnologia para analisar o conteúdo do arquivo, automatizar procedimentos específicos, e realizar MD5 verifica a integridade da imagem. O kit é mais do que uma biblioteca e coleção de ferramentas de linha de comando, e os investigadores devem usar o Autopsy – interface gráfica para Sleuth Kit – para acessar as ferramentas.

O GRR é uma estrutura de resposta a incidentes focada em forense remoto em tempo real para Linux, OS X e Windows. Os investigadores instalam o agente Python nos sistemas de destino para a análise de memória remota ao vivo e, assim, recolhem artefatos digitais e realizam monitoramento detalhado em sistemas de CPU, memória e uso de I/O. A ferramenta também o SleuthKit para dar aos técnicos o acesso ao sistema de arquivo RAW.

Ferramentas de pesquisa e scanners de vulnerabilidade
O Radare é uma ferramenta do tipo Unix que usa engenharia reversa e de linha de comando para Android, Linux, BSD, iOS, OS X, Solaris, Haiku, Firefox OS e QNX, bem como Windows de 32 e 64 bits. O projeto começou como uma ferramenta forense e um editor hexadecimal de linha de comando programável, mas, desde então, ganhou bibliotecas e ferramentas para analisar dados binários, desmontagem de código, depuração de programas, e anexo a servidores GDB remotos. O Radare suporta uma ampla gama de arquiteturas – baseado em Intel, ARM, Sparc e PowerPC, para citar alguns.

O Brakeman é um scanner de vulnerabilidade para apps Ruby on Rails que permitem que profissionais de segurança analisem o fluxo de dados a partir de uma parte do aplicativo para outro. A solução ajuda os administradores a descobrirem problemas em aplicativos Web, tais como injeção SQL, desvio de verificação SSL e vulnerabilidades de divulgação de informações. A tecnologia deve ser utilizado com um scanner de segurança site.

O Quick Android Review Kit (Qark) procura vulnerabilidades em aplicações Android, seja no código fonte ou em pacotes APKs. A ferramenta procura por problemas, como componentes inadvertidamente exportados, validação de certificado X.509 indevido, vazamento de dados, chaves privadas incorporados no código fonte, criptografia fraca ou usadas de forma inadequada, etc. O Qark fornece informações sobre a natureza das vulnerabilidades de segurança encontradas, bem como a capacidade de criar APKs de prova de conceito que poderiam explorar essas brechas.

Para a análise de malware, há o Cuckoo Sandbox, um sistema de análise dinâmica automatizada que surgiu no Google Summer of Code de 2010. A ferramenta permite que equipes de segurança detonem arquivos suspeitos e os monitorem em um ambiente virtual isolado.

O Jupyter não é um projeto de segurança específico, mas cadernos compartilháveis são quase indispensáveis a qualquer kit de ferramentas de proteção. Os profissionais podem compartilhar código ao vivo, visualizações, e um texto explicativo com os “cadernos” individuais. Existem ferramentas adicionais para melhorar o projeto, incluindo o servidor multiusuário Jupyterhub, o diff, além de pacotes Docker e OAuth.

Fonte: CIO

Texto original:
http://cio.com.br/tecnologia/2016/05/04/a-seguranca-e-precaria-conheca-alguns-projetos-open-source-disponiveis-no-github/