19 công cụ bảo mật nguồn mở trên Github

GitHub có hơn 800 dự án chuyên về bảo mật cung cấp cho các nhà quản trị CNTT và các chuyên gia an toàn thông tin đủ loại công cụ để phân tích phần mềm độc hại, kiểm tra tấn công xâm nhập, tầm soát máy tính và mạng, ứng phó sự cố, giám sát mạng, và nhiều việc khác.

Dưới đây là những dự án bảo mật nguồn mở tốt nhất mà bất kỳ ai có trọng trách bảo vệ hệ thống CNTT và mạng đều nên để mắt đến, chúng được nhóm theo chức năng để dễ tham khảo.

GitHub có hơn 800 dự án chuyên về bảo mật cung cấp cho các nhà quản trị CNTT và các chuyên gia an toàn thông tin đủ loại công cụ.

Kiểm tra tấn công xâm nhập
Khi nói đến kiểm tra tấn công xâm nhập, không có lựa chọn nào tốt hơn Metasploit Framework của Rapid7. Thư viện các kiểu tấn công phong phú của nó có thể sử dụng để đánh giá mức độ an toàn của ứng dụng hoặc hệ thống mạng trước khi bị tin tặc kẻ tấn công.

Metasploit có cấu trúc mô-đun linh hoạt cho từng loại thiết bị, dùng để kiểm tra máy tính, điện thoại di động, thiết bị định tuyến , chuyển mạch (switch), hệ thống điều khiển công nghiệp và các thiết bị nhúng. Metasploit có thể chạy trên nhiều nền tảng, bao gồm Windows, Linux, Mac, Android và iOS.

Metasploit đa năng, nhưng phải trả tiền để có các tính năng khác trong bộ công cụ của nó. Một lựa chọn khác: Browser Exploitation Framework (BeEF), một công cụ kiểm tra tấn công xâm nhập chuyên cho trình duyệt Web. BeEF sử dụng các kỹ thuật tấn công phía người dùng để đánh giá khả năng chống đỡ của tổ chức hay doanh nghiệp đối với các cuộc tấn công trên Web và mức độ xâm nhập có thể của tin tặc.

Một công cụ tuyệt vời khác cho việc kiểm tra tấn công xâm nhập có chỗ đứng vững chắc trên các máy tính và hệ thống mạng Windows là Mimikatz. Mimikatz rất mạnh, cho phép kiểm tra dò tìm mật khẩu bằng văn bản, mã băm, mã PIN, và thẻ Kerberos trong bộ nhớ, mạo nhận thẻ của người dùng và trích xuất chứng thực cùng với khóa tương ứng lưu trữ trên hệ thống bị xâm nhập. Mimikatz có thể dùng như một công cụ độc lập, nhưng cũng có thể dùng như kịch bản Meterpreter trong Metasploit.

Phòng thủ toàn diện
CFSSL của CloudFlare là "con dao Thụy Sĩ" đa năng cho phép tạo chữ ký số, xác minh và đóng gói chứng chỉ TLS. Vừa là công cụ dòng lệnh vừa là máy chủ HTTP API, CFSSL cho phép nhà quản trị CNTT tạo công cụ TLS/PKI tùy chỉnh và cấp chứng chỉ số (CA) có thể sử dụng nhiều khóa chữ ký. CFSSL còn có tính năng quét TLS kiểm tra cấu hình máy chủ dò tìm lỗ hổng và chuyển gói tin để thiết lập cấu hình hay thu hồi chứng chỉ.

Việc vô tình lộ dữ liệu nhạy cảm như các khóa và mật khẩu là vấn đề phổ biến trong phát triển phần mềm. Gitrob giúp các chuyên gia bảo mật quét kho mã nguồn của mình trên GitHub tìm các tập tin nhạy cảm. Tuy GitHub có sẵn chức năng dò tìm những thông tin này, nhưng Gitrob giúp cho công việc đơn giản hơn bằng cách lập danh sách tất cả kho chung và riêng trên GitHub, và dựa trên đó dò tìm các tên tập tin có thể chứa thông tin nhạy cảm. Gitrob lưu kết quả tìm kiếm vào một cơ sở dữ liệu PostgreSQL và hiển thị với một ứng dụng web đơn giản.

Lynis là công cụ gia cố và tầm soát bảo mật cho các hệ thống dựa trên Unix như Linux, Mac OS X, BSD và Solaris. Ngoài khả năng kiểm tra toàn diện để phát hiện các vấn đề về hệ thống, các gói phần mềm dễ tổn thương, và các thiết lập cấu hình, Lynis còn có thể đưa ra các khuyến nghị gia cố hệ thống. Lynis tiện lợi cho việc đánh giá bảo mật, kiểm tra việc tuân thủ chính sách bảo mật, phát hiện lỗ hổng, quản lý cấu hình và quản lý bản vá.

Tương tự, nền tảng quản lý tính toàn vẹn hệ thống (SIMP) của Cơ quan An ninh Quốc gia Mỹ (NSA), có khả năng phát hiện những lệch lạc trong hành vi mạng, cho phép các tổ chức hay doanh nghiệp áp đặt các chính sách và tiêu chuẩn bảo mật cho hệ thống mạng. SIMP, cần Red Hat Enterprise Linux có bản quyền.

Giám sát mạng
Bro Security Network Monitor cho phép các chuyên gia bảo mật giám sát tất cả máy tính trên mạng (có thể can thiệp vào luồng dữ liệu mạng và kiểm tra các gói tin truyền trên mạng) và cho phép các nhà phân tích kiểm tra lớp ứng dụng. Ngôn ngữ kịch bản của Bro có thể dùng để tạo các chính sách giám sát cho website. Theo thông tin trên trang web của dự án (https://github.com/bro/bro), Bro được sử dụng nhiều trong môi trường khoa học như các trường đại học, viện nghiên cứu, và các trung tâm điện toán.

OSSEC là hệ thống phát hiện xâm nhập dựa trên máy chủ có các tính năng theo dõi nhật ký hệ thống (log) và quản lý sự kiện và thông tin bảo mật (SIEM - security information and event management), có thể chạy trên nhiều nền tảng gồm Linux, Mac OS, Solaris, AIX, và Windows. Nó thường được dùng để phân tích log, kiểm tra sự toàn vẹn tập tin, giám sát chính sách, phát hiện rootkit, cảnh báo thời gian thực, … Bằng cách cấu hình OSSEC gửi cảnh báo khi có những thay đổi hệ thống tập tin trái phép hay hành vi độc hại chèn vào các nhật ký phần mềm, các tổ chức và doanh nghiệp có thể đảm bảo việc tuân thủ các chính sách bảo mật.

Moloch là hệ thống lập chỉ mục việc chặn bắt gói tin và lưu trữ cơ sở dữ liệu giúp ích cho việc xử lý sự cố, giám sát an ninh mạng và điều tra. Moloch bổ sung cho các hệ thống phát hiện xâm nhập hiện có, cung cấp cho nhà quản trị CNTT công cụ dò tìm luồng dữ liệu truyền trên mạng bị chặn bắt. Hệ thống gồm một ứng dụng C chặn bắt dữ liệu truyền trên mạng, một ứng dụng Node.js xử lý giao diện người dùng, và một cơ sở dữ liệu Elasticsearch.

Ứng phó sự cố và điều tra
Mozilla Defense Platform (MozDef) cung cấp cho các chuyên gia bảo mật nền tảng để giám sát, ứng phó và hợp tác đối phó với những sự cố bảo mật trong thời gian thực, cho phép tự động hóa việc xử lý sự cố. MozDef sử dụng Elasticsearch, Meteor và MongoDB, mở rộng các tính năng SIEM truyền thống với các biểu đồ, hình ảnh trực quan. Đây là nền tảng hiện được sử dụng tại Mozilla.

OS X Auditor phân tích các thành phần mở rộng của hệ thống, các thành phần của bên thứ ba, các tập tin tải về và các ứng dụng cài đặt trên hệ thống đang chạy (hoặc bản sao). Công cụ điều tra này trích xuất thông tin người dùng chẳng hạn như lịch sử và cookie trình duyệt, các tập tin tải về, dữ liệu đăng nhập, tài khoản mạng xã hội và email, kết nối Wi-Fi... và xác minh “uy tín” của từng thứ dựa trên nhiều nguồn.

Nhắm đến các hệ thống Microsoft và Unix, Sleuth Kit cho phép nhận diện và phục hồi chứng cứ trên các hệ thống đang làm việc, phục vụ cho việc ứng phó sự cố. Nó có thể dùng để phân tích nội dung tập tin, tự động hóa các quy trình và thực hiện kiểm tra tính toàn vẹn của ảnh đĩa. Sleuth Kit có bộ thư viện và các công cụ dòng lệnh có thể truy cập qua giao diện đồ họa Autospy.

GRR Rapid Response là công cụ điều tra sự cố từ xa dành cho máy khách Linux, OS X và Windows. Trên hệ thống mục tiêu cần cài đặt Python để phân tích bộ nhớ từ xa trực tiếp, thu thập chứng cứ kỹ thuật số, và thực hiện giám sát mức độ sử dụng CPU, bộ nhớ và I/O. GRR cũng sử dụng Sleuth Kit để truy cập hệ thống tập tin.

Nghiên cứu và dò tìm lỗ hổng
Radare là công cụ dòng lệnh và thư viện dịch ngược dành cho Android, Linux, BSD, iOS, OS X, Solaris, Haiku, Firefox OS và QNX, và cả Windows 32 và 64-bit. Ban đầu nó chỉ là công cụ điều tra và trình soạn thảo dòng lệnh Hex, sau đó có thêm các thư viện và công cụ phân tích mã nhị phân, dịch ngược mã máy, gỡ lỗi chương trình. Radare hỗ trợ nhiều kiến trúc phần cứng, như Intel, ARM, Sparc và PowerPC.

Brakeman là công cụ dò tìm lỗ hổng dành cho ứng dụng Ruby on Rails, cho phép phân tích dòng dữ liệu trao đổi qua lại giữa các thành phần ứng dụng. Brakeman giúp phát hiện các vấn đề trong các ứng dụng web như SQL injection, bỏ qua xác minh SSL và các lỗ hổng làm lộ thông tin.

Quick Android Review Kit (Qark) dò tìm lỗ hổng bảo mật trong các ứng dụng Android, hoặc trong mã nguồn hay gói APK, ví dụ như chứng nhận x.509 không phù hợp, rò rỉ dữ liệu, khóa nhúng trong mã nguồn, mã hóa yếu hoặc không đúng, … và cung cấp thông tin về bản chất của các lỗ hổng bảo mật được tìm thấy.

Công cụ phân tích malware tự động Cuckoo Sandbox có nguồn gốc từ một dự án năm 2010 trong chương trình Google Summer of Code (hỗ trợ phát triển các dự án mã nguồn mở). Cuckoo cho phép mổ xẻ các tập tin nghi ngờ và giám sát các hành vi có thể gây hậu quả trong một môi trường ảo cô lập, nó kết xuất bộ nhớ và phân tích dữ liệu (chẳng hạn như lần vết các lệnh gọi API) để xác định hành vi của một tập tin đáng ngờ thực hiện trên hệ thống.

Jupyter (Jupyter Notebook) là ứng dụng web cho phép tạo và chia sẻ tài liệu (sổ tay) có chứa mã nguồn, ký hiệu, hình ảnh trực quan và văn bản chú giải. Dự án này không chuyên về bảo mật nhưng bất kỳ chuyên gia gia bảo mật nào cũng cần phải có. Có nhiều công cụ bổ sung cho nó, trong đó có Jupyterhub, một máy chủ nhiều người dùng.