Sortie de la première version stable d'OpenVAS (fork Nessus)

Posté par . Modéré par Jaimé Ragnagna.
1
14
fév.
2008
Sécurité
Je profite de la publication de la première version stable d'OpenVAS pour faire un point sur l'état des forks de Nessus.

Créé en 1998 par Renaud Deraison, Nessus a longtemps été le scanner de vulnérabilités de référence du monde libre. Ce succès à permis à son auteur de monter la société Tenable Network Security qui commercialise une offre d'audits de vulnérabilités. Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL, et au vu de la faiblesse des contributions de la communauté au moteur du logiciel, la société a décidé d'utiliser une licence propriétaire pour la version 3 de Nessus fin 2005 .

La réaction de la communauté ne s'est pas faite attendre et de nombreux forks de la version 2 de Nessus ont été lancés dans la foulée, par exemple GNessUs, Porz-Wahn et Sussen parmi les projets ayant été annoncés officiellement.
L'objectif était de continuer à disposer d'un scanner de vulnérabilité libre et performant. Voilà plus de 2 ans que ces forks ont été lancés, force est de constater qu'aucun d'entre eux n'a acquis la renommée de leur ancêtre commun. En effet, au delà des bonnes intentions, la quasi totalité de ces projets n'ont jamais réussi à rassembler suffisamment de développeurs pour permettre de reprendre le flambeau.

Le site de Porz-Wahn est figé depuis son ouverture et tout laisse à penser que le projet est mort, en fait Porz-Wahn a fusionné en toute discrétion avec GNessUs fin 2005.

L'histoire de Sussen est différente des autres forks. Lancé courant 2004, avant le changement de licence de Nessus, Sussen -"nessus" à l'envers :-)- était au départ un client Gnome codé en Mono/C#/GTK# supposé s'interfacer avec le serveur Nessus.
À la suite de la sortie de Nessus 3.0, le projet a pris une tournure différente et la version actuelle n'a plus rien à voir avec le client Nessus originel. Ce logiciel est maintenu par un seul développeur qui, à l'instar de Renaud Deraison, travaille dans une société de services en sécurité. La version de développement actuelle, disponible pour Linux et Windows, est sortie courant 2007. Elle est certifiée OVAL (un standard pour l'échange d'informations relatives aux vulnérabilités). Un seul message ayant été posté sur la liste de diffusion depuis sa création, le blog du développeur reste le meilleur moyen d'avoir des nouvelles de ce logiciel.

Last but not least, GNessUs a changé de nom et s'appelle dorénavant OpenVAS. Il s'agit du seul fork de Nessus encore actif. C'est autour de ce logiciel lancé par un chercheur en sécurité anglais qu'une communauté s'est formée. Suite à la fusion avec Porz-Wahn, des développeurs allemands ont rejoint l'équipe et le projet a d'ailleurs reçu des subventions du gouvernement allemand. Il a aussi retenu l'attention du SPI, une association qui subventionne des projets libres. C'est donc en toute discrétion, après quand même deux ans de travail, que les premières versions stables d'OpenVAS ont été publiées il y a quelques jours à peine, conformément à la feuille de route.
La communauté dispose donc enfin d'un scanner de vulnérabilités libre. Certes son architecture date un peu et de nombreuses améliorations seront nécessaires avant de se rivaliser avec la version actuelle de Nessus, mais c'est un premier pas dans la bonne direction.
N'hésitez donc pas à vous abonner à la liste de diffusion du projet et à contribuer si vous vous en sentez capable.
  • # Deux ans de travail

    Posté par (page perso) . Évalué à 4.

    Après deux ans, les "réalisations" d'OpenVAS sont remarquables:
    - élimination de quelques warnings lors de la compilation,
    - remplacement d'un jeu de plugins GPL (tests locaux Debian) par un autre jeu de plugins GPL suite à une lecture hallucinée du copyright du premier jeu,
    - changement de tous les noms nessus... en "openvas..."

    Last but not least, OpenVAS est de plus basé sur une assez vieille version de Nessus2, qui est toujours disponible, et maintenu.
    • [^] # Re: Deux ans de travail

      Posté par . Évalué à 1.

      Michel, on t'a reconnu :-)
      • [^] # Re: Deux ans de travail

        Posté par (page perso) . Évalué à 1.

        Raaaah! Le Vengeur Masqué est démasqué!

        Sérieusement, je suis convaincu qu'OpenVAS ne débouchera jamais.
        Depuis le temps qu'ils enculent les mouches en plein vol à Mach 2, ils auraient pu réécrire complètement le scanner en assembleur IBM370.
    • [^] # Re: Deux ans de travail

      Posté par . Évalué à -2.

      Au delà de ces "détails", ce qui me pose problème, c'est l'intérêt de la chose.
      Pour un cracker en herbe ça doit être cool. Pour un admin soucieux de ses bécanes et qui fait bien son boulot, c'est plus discutable.
      • [^] # Re: Deux ans de travail

        Posté par . Évalué à 7.

        w> Pour un cracker en herbe ça doit être cool.
        > Pour un admin soucieux de ses bécanes et qui fait bien son boulot,
        > c'est plus discutable.

        Amusant, j'ai l'opinion inverse...
        Et pour avoir observé Nessus en production sur de, heuu, *gros* parcs, c'est d'ailleurs ce qui se produit.

        Pour le cracker qui veut se faire la machine de son voisin, l'intérêt de Nessus est très limité : pas discret pour un sou, les attaques utilisées sont "bourrines" (je vais me faire incendier là) et les patches correctifs sont disponibles. Pour pénétrer sur une machine particulière, mieux vaut utiliser des outils intrusifs web type Nikto (vm666 le connait bien), Whisker ou leurs successeurs, voire faire le travail à la main (on n'a pas encore trouvé -à ma connaissance- le moyen d'automatiser des tests d'intrusion de qualitai et c'est d'ailleurs pour cela que des société vendent -fort cher- ce savoir faire).
        Bref Nessus comme outil pour cracker *une* machine bien particulière est inaproprié.

        Là ou Nessus et consors sont en revanche super utiles c'est justement pour l'admin soucieux de ses bécanes et qui fait bien son boulot. En complément de ses tâches "actives de sécurisation, le fait de périodiquement lancer des scans Nessus sur toute ou partie de son réseau lui permet d'avoir un suivi, certes imparfait, mais régulier du niveau de risque de son infrastructure. Il existe d'ailleurs 87502 vendeurs de boites noires (Tenable...) ou de services web (Qualys...) qui fonctionnent sur ce principe de suivi à fréquence régulière dans le but de traquer les anomalies (changement brutal du niveau de risque).
        On ne travaille donc plus sur une machine particulière mais sur toute l'infrastructure, dans le cadre d'un processus industriel de supervision du niveau de risque.
  • # sans vergogne

    Posté par (page perso) . Évalué à 1.

    "Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL,"

    Ca me gène un peu de voir le terme "sans vergogne" associé à "GPL" dans la même phrase, en causalité de l'une à l'autre. Et quand je pense que certains trouve la licence GPL trop restrictive :-)
    • [^] # Re: sans vergogne

      Posté par (page perso) . Évalué à 1.

      Je suis d'accord et en outre je ne sais pas s'il veut dire:
      -face à une concurence qui développe des solutions libres sur le base de Nesus, comme le permet la gpl
      -face à une concurence qui distribue des logiciels propriétaires en utilisant le code source de Nesus comme l'interdit la gpl qu'ils violent sans vergogne.

      Quelqu'un peut-il m'éclairer?
      • [^] # Re: sans vergogne

        Posté par (page perso) . Évalué à 5.

        je pense que ça veut tout simplement dire que des boites "attendent" que les releases de nessus pleuvent comme par magie pour les intégrer et les revendre en disant que c'est _leur_ soft.
        Et je pense que ça plait pas toujours lorsqu'il n'y a aucun retour positif (ou pire, que ça plombe la boite créant réellement le code).

        Mais bien sur, tout ceci est permis par la gpl... et c'est ce qui a motivé le changement je crois.
      • [^] # Re: sans vergogne

        Posté par . Évalué à 4.

        Ça ne peut être que le premier cas, sinon, ça serait déja au tribunal cette affaire, la GPL est robuste à ce sujet.

        Je pense que l'idée de la phrase, c'est que les concurrents utilisent les droits de la GPL sans vraiment jouer le jeu : il est tout à fait possible de tout faire pour pourrir le principe de la GPL, par exemple en n'acceptant de ne distribuer le code qu'aux clients et que sur demande, en ayant modifié le code de manière à rendre les patches incompatibles (noms de fonctions ou de variables changés...).

        On se heurte alors à ce qui est, à mon avis, le plus gros défaut du logiciel libre dans la logique économique : le seul avantage de la boite qui produit le logiciel par rapport à ses concurrents est son expertise (i) dans la formation des gusses qui vont utiliser le logiciel, et (ii) dans le développement, par exemple pour corriger un bug ou ajouter une fonctionnalité (et donc avoir un temps d'avance sur les concurrents). Or, ces deux points "fonctionnent" mieux si (i) le logiciel n'est pas trivial à utiliser (une doc un peu fainéante, un conmportement pas intuitif...), et (ii) les modifications du code ne sont pas trop faciles (s'il y a des effets de bords, des bidouilles pas très propres etc, il faut bien connaitre l'ensemble du soft avant de modifier quoi que ce soit). Il n'est donc pas vraiment utile pour une boite de produire un logiciel libre bien fignolé, car elle prend le risque de financer le gain de productivité des concurrents qui lui "piratent" le soft. Bien sûr, elle se coupe aussi des contributions de la communauté, mais je ne suis pas sûr que ce type de projet ait vraiment besoin de contributions sous forme de patches (j'imagine que ce qu'ils souhaitent, c'est plus des rapports de bugs; j'imagine mal un informaticien bosser sur les ordres de son patron pour envoyer un beau patch à la boîte qui leur vend déja du service). J'ai donc l'impression que le meilleur logiciel libre commercial est un logiciel puissant (nombreuses fonctionnalités, efficacité, rapidité...) et demandant de l'expertise à l'utilisation (vente de service derrière), et c'est un equilibre difficile à entretenir à long terme.
    • [^] # Re: RTFA

      Posté par . Évalué à 8.

      Dites en lisant la news vous auriez vu que le lien "faiblesse des contributions" de la news pointe sur un mail ( http://mail.nessus.org/pipermail/nessus/2005-October/msg0004(...) ) de Renaud qui mentionne "A number of companies are _using_ the source code against us, by selling or renting appliances, thus exploiting a loophole in the GPL. So in that regard, we have been fueling our own competition and we want to put an end to that. Nessus3 contains an improved engine, and we don't want our competition to claim to have improved "their" scanner.".

      L'auteur a publiquement expliqué la situation à de nombreuses reprises comme par exemple dans http://mail.nessus.org/pipermail/nessus/2005-January/msg0018(...)

      We're fed up to do most of the work and let many companies not only profit from our efforts, but also actively fight against us (or me personally
      as it happened in the past).
      I'm fed up of seeing companies bill their customers for "plugin updates" for a much higher price than $1,200 per year, when all they do simply is to mirror www.nessus.org/nasl/all-2.0.tar.gz and resell it to their users (without any QA on them by the way, I have a funny annecdote about that). And I'm fed up of seeing all these companies take _my_ work, rebrand it, and claim it as being their own technology.
      • [^] # Re: RTFA

        Posté par . Évalué à 1.

        Il n'y a pas un truc dans la GPL qui oblige à préserver l'identité de l'auteur d'origine du logiciel ?
        • [^] # Re: RTFA

          Posté par . Évalué à 2.

          A mon avis, si ils louent un boitier réseau contenant le logiciel, ils ne sont pas obligés. cf. les problèmes avec la freebox

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.