Durante el último cuarto de siglo, el movimiento de código abierto ha ido viento en popa. Pero ese éxito y la apertura inherente a la comunidad han llevado a un gran desafío: la seguridad. Cuanto más software se desarrolle, mayor será la probabilidad de vulnerabilidades.
Para empeorar las cosas, el mundo del código abierto se enorgullece de su apertura y transparencia. Por lo tanto, cualquier vulnerabilidad de seguridad se divulga públicamente. En esta era de bandas organizadas de ciberdelincuentes, eso es como colocar un anuncio pidiendo un ataque.
Esto ha dado lugar a una gran cantidad de herramientas de seguridad de código abierto. Se encargan de todos los aspectos de la gestión de la seguridad en los componentes de código abierto, examinan las dependencias, corrigen errores en el código y reducen el riesgo.
Sin embargo, las herramientas en sí varían considerablemente en alcance, sofisticación y función. Los editores de eSecurity Planet consideran que las siguientes 20 herramientas de seguridad de código abierto son particularmente útiles. Algunos son de código abierto, otros son comerciales, pero todas son buenas opciones de seguridad para entornos de código abierto.
Las mejores herramientas de seguridad de código abierto
WhiteSource
WhiteSource detecta todos los componentes de código abierto vulnerables, incluidas las dependencias transitivas, en más de 200 lenguajes de programación. Hace coincidir las vulnerabilidades informadas con las bibliotecas de código abierto en el código, lo que reduce el número de alertas. Con más de 270 millones de componentes de código abierto y 13 mil millones de archivos, su base de datos de vulnerabilidades monitorea continuamente múltiples recursos y una amplia gama de avisos de seguridad y rastreadores de problemas. WhiteSource también es una autoridad de numeración CVE, lo que le permite revelar de manera responsable nuevas vulnerabilidades de seguridad encontradas a través de su propia investigación. Identifica y prioriza las vulnerabilidades de seguridad de código abierto más críticas para que los usuarios puedan solucionar lo que más importa primero.
Metasploit
Metasploit cubre el escaneo y prueba de vulnerabilidades. Respaldado por una enorme base de datos de código abierto de exploits conocidos, también proporciona a TI un análisis de los resultados de las pruebas de penetración para que los pasos de corrección se puedan realizar de manera eficiente. Sin embargo, no se amplía al nivel empresarial y algunos usuarios nuevos dicen que es difícil de usar al principio.
Leer más: Metasploit: análisis y descripción general del producto de pruebas de penetración
Revenera
FlexNet Code Aware de Revenera puede encontrar amenazas de seguridad y problemas de cumplimiento de propiedad intelectual (IP) en código fuente abierto. Analiza paquetes Java, NuGet y NPM. Además, la compañía ofrece una plataforma empresarial completa para seguridad de código abierto y cumplimiento de licencias, con soporte para los principales idiomas de software. Tiene más de 70 extensiones y una base de conocimientos con más de 14 millones de componentes de código abierto.
Sinopsis
El análisis de composición de software (SCA) de Black Duck de Synopsys ayuda a los equipos a gestionar los riesgos de seguridad, calidad y cumplimiento de licencias que se derivan del uso de código abierto y de terceros en aplicaciones y contenedores. Se integra con herramientas de compilación como Maven y Gradle para realizar un seguimiento de las dependencias de código abierto declaradas y transitivas en los lenguajes integrados de las aplicaciones, como Java y C #. Asigna información de cadenas, archivos y directorios a Black Duck KnowledgeBase para identificar componentes de código abierto y de terceros en aplicaciones creadas con lenguajes como C y C ++. La herramienta SCA también identifica el código abierto dentro de las bibliotecas de aplicaciones compiladas y los ejecutables (no se requiere acceso al sistema de compilación o código fuente) y encuentra partes del código fuente abierto que se han copiado dentro del código propietario, lo que potencialmente puede exponerlo a violaciones y conflictos de licencias.
Eructo Portswigger
Burp Suite Community Edition de Portswigger es una versión manual de código abierto de un popular escáner de vulnerabilidades web utilizado en muchas organizaciones. Puede ser utilizado por profesionales de seguridad capacitados para encontrar vulnerabilidades rápidamente.
OSSEC
OSSEC es de código abierto y gratuito. Se puede adaptar a las necesidades de seguridad a través de sus opciones de configuración, agregando reglas de alerta personalizadas y scripts para tomar medidas cuando ocurren las alertas. Ofrece detección integral de intrusiones basada en host en múltiples plataformas, incluidas Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac y VMware ESX. Además, ayuda a las organizaciones a cumplir con requisitos de cumplimiento específicos, como PCI-DSS. Detecta y alerta sobre la modificación no autorizada del sistema de archivos y el comportamiento malicioso que podría conducir al incumplimiento.
Acunetix
Acunetix es principalmente un escáner de seguridad de aplicaciones web, con capacidades adicionales de escaneo de infraestructura de red. Utiliza el popular proyecto de escaneo de vulnerabilidades de código abierto OpenVAS como motor de escaneo. Su escáner de subprocesos múltiples puede rastrear cientos de miles de páginas rápidamente y también identifica problemas comunes de configuración del servidor web. Es particularmente bueno para escanear WordPress.
Sonatype
Sonatype ofrece una herramienta que escala el monitoreo de seguridad de código abierto en toda la cadena de suministro de software. Una base de datos en evolución de vulnerabilidades conocidas está disponible para ayudar a los usuarios a detectar amenazas e inconsistencias antes de sufrir un ataque. Las características incluyen: Detección automática y reparación de vulnerabilidades de dependencia de código abierto; integración de herramientas de vulnerabilidad de seguridad en repositorios git ya en uso; y evitar ataques a través de prácticas de desarrollo seguras escaladas en los equipos de desarrollo y operaciones.
Violinista
Fiddler de Telerik es una colección útil de herramientas manuales para hacer frente a la depuración web, la manipulación de sesiones web y las pruebas de seguridad / rendimiento. Sin embargo, probablemente sea más útil para aquellos que implementan la versión paga en el marco .NET, ya que viene con muchas características de automatización.
OWASP ZAP
Se dice que OWASP Zed Attack Proxy (ZAP) es el escáner de aplicaciones web más utilizado. Surgió de la Fundación OWASP que trabaja para mejorar la seguridad del software a través de sus proyectos de software de código abierto liderados por la comunidad, capítulos mundiales, base de miembros y organizando conferencias locales y globales.
Nmap
Nmap es un escáner de puertos que también ayuda a las pruebas de lápiz al marcar las mejores áreas para apuntar en un ataque. Eso es útil para los piratas informáticos éticos para determinar las debilidades de la red. Como es de código abierto, es gratis. Eso lo hace útil para quienes están familiarizados con el mundo del código abierto, pero puede ser un desafío para alguien nuevo en este tipo de aplicaciones. Aunque se ejecuta en todos los sistemas operativos principales, los usuarios de Linux lo encontrarán más familiar.
Security Onion
Security Onion Solutions crea y mantiene Security Onion, una plataforma abierta y gratuita para la búsqueda de amenazas, la supervisión de la seguridad de la red y la gestión de registros. Incluye las mejores herramientas abiertas y gratuitas, como Suricata, Zeek, Wazuh, Elastic Stack y muchas otras.
Wireshark
Wireshark se usa a menudo para señalar lo que está sucediendo con la red y evaluar el tráfico en busca de vulnerabilidades en tiempo real. Al revisar también la información a nivel de conexión y los componentes de los paquetes de datos, destaca sus características, origen, destino y más. Si bien señala posibles debilidades, aún se requiere una herramienta de prueba de lápiz para explotarlas.
Aircrack-Ng
Aircrack-ng es la herramienta de referencia para el análisis y el descifrado de redes inalámbricas. Todas las diversas herramientas que contiene utilizan una interfaz de línea de comandos y están configuradas para secuencias de comandos. Se enfoca en diferentes áreas de seguridad Wi-Fi, que incluyen: captura de paquetes y exportación de datos a archivos de texto para su posterior procesamiento por herramientas de terceros; reproducir ataques, desautenticación, puntos de acceso falsos y otros mediante inyección de paquetes; Comprobación de las tarjetas Wi-Fi y las capacidades del controlador (captura e inyección); y craqueo de WEP y WPA PSK (WPA 1 y 2).
VeraCrypt
VeraCrypt es un software de cifrado de disco de código abierto y gratuito para Windows, Mac OSX y Linux. Fue creado por Idrix y está basado en TrueCrypt 7.1a. Crea un disco virtual encriptado dentro de un archivo y lo monta como un disco real. Puede cifrar una partición completa o un dispositivo de almacenamiento, como una unidad flash USB o un disco duro, o cualquier partición o unidad donde esté instalado Windows. El cifrado es automático y se realiza en tiempo real.
Juan el destripador
John the Ripper es la herramienta más utilizada para comprobar la vulnerabilidad de las contraseñas. Combina varios enfoques para descifrar contraseñas en un solo paquete. Admite cientos de tipos de cifrado y hash, que incluyen: contraseñas de usuario de versiones Unix (Linux, * BSD, Solaris, AIX, QNX, etc.), macOS, Windows, «aplicaciones web» (por ejemplo, WordPress), software colaborativo (por ejemplo, Notes / Domino) y servidores de bases de datos (SQL, LDAP, etc.); capturas de tráfico de red (autenticación de red de Windows, WiFi WPA-PSK, etc.); claves privadas cifradas (SSH, GnuPG, carteras de criptomonedas, etc.), sistemas de archivos y discos (archivos macOS .dmg y «paquetes dispersos», Windows BitLocker, etc.), archivos (ZIP, RAR, 7z) y archivos de documentos (PDF , Microsoft Office, etc.).
Nikto
Nikto es un escáner de servidor web que realiza pruebas contra servidores web para varios elementos, incluidos más de 6.400 archivos / CGI potencialmente peligrosos, verifica versiones desactualizadas de más de 1.200 servidores y problemas específicos de la versión en más de 270 servidores. También comprueba los elementos de configuración del servidor, como la presencia de varios archivos de índice y opciones de servidor HTTP, e intentará identificar los servidores web y el software instalados. Los elementos de escaneo y los complementos se actualizan con frecuencia y se pueden actualizar automáticamente.
Snort
Snort es un sistema de prevención de intrusiones (IPS) de código abierto. Utiliza reglas para definir la actividad de red maliciosa y encontrar paquetes que coincidan con ellos, generando alertas para los usuarios. Snort también se puede implementar en línea para detener estos paquetes. Se utiliza principalmente como rastreador de paquetes, registrador de paquetes o como un sistema completo de prevención de intrusiones en la red.
Open SSH
OpenSSH es una herramienta de conectividad para el inicio de sesión remoto con el protocolo SSH. Cifra todo el tráfico para eliminar las escuchas, el secuestro de conexiones y otros ataques. Además, proporciona un conjunto de capacidades de tunelización segura, varios métodos de autenticación y opciones de configuración.
Tcpdump
Tcpdump es un potente analizador de paquetes de línea de comandos, desarrollado por las mismas personas que libpcap, una biblioteca portátil C / C ++ para la captura de tráfico de red. Imprime una descripción del contenido de los paquetes en una interfaz de red, precedida por una marca de tiempo. Puede guardar datos de paquetes en un archivo para su posterior análisis y leerlos desde un archivo guardado.