Sortie du scanner de vulnérabilités OpenVAS 4

Posté par . Modéré par Xavier Teyssier. Licence CC by-sa
34
21
mar.
2011
Sécurité

La version 4 du scanner de vulnérabilités libre OpenVAS vient de sortir! OpenVAS (pour "Open source Vulnerability Assessment Scanner") est une plateforme de gestion des vulnérabilités (vulnerability management). Les changements introduits dans cette version en font la plus importante de l'histoire du projet.

Présentation

À l'origine était Nessus, scanner de vulnérabilités. En 2005, l'auteur décida de quitter les chemins du libre et de continuer le développement sous forme d'un logiciel privateur. La communauté créa un fork à partir de la dernière version libre. Initialement appelé GNessUs, le projet fut renommé OpenVAS.

Il est maintenant la pierre angulaire de l'activité de plusieurs sociétés, sur trois continents. Ces sociétés développent activement le logiciel et ont construit tout un modèle économique autour de lui.

OpenVAS est constitué de plusieurs modules:

  • Le scanner, qui va lancer des tests de vulnérabilités (plus de 20000 actuellement, mis à jour quotidiennement) contre les cibles. Il peut s'agir de tests non-authentifiés, comme un scan de ports ou une injection SQL sur une application web, mais également de tests locaux. OpenVAS peut se connecter en SSH et SMB aux hôtes du réseau, et effectuer toute une batterie de tests (étude des logiciels installés, versions, système d'exploitation etc).

  • Le manager, qui est un serveur réseau servant d'interface entre le(s) client(s) et le(s) scanner(s).

  • L'administrateur est un logiciel permettant de gérer simplement les différents comptes utilisateurs.

  • Greenbone Security Assistant (GSA): une interface web permettant de se connecter au manager et planifier des scans, observer les résultats, l'évolution des menaces sur le réseau... GSA se lance comme un daemon et est donc ensuite accessible par un simple browser.

  • Greenbone Security Desktop (GSD): une application indépendante, en Qt, permettant également de se connecter au manager mais sans avoir à lancer GSA.

  • OpenVAS CLI est un client en ligne de commande.

Nouveautés

Cette version est considérée comme la plus importante de toutes celles publiées. De très larges parties du code ont été réorganisées et nettoyées, le système de compilation a été passé des autotools à CMake, et de nombreuses fonctionnalités ont été introduites.

La première d'entre elles est un système modulaire pour la génération des rapports. Un fichier XML est généré, quel que soit le type de rapport demandé, puis est convertit selon les souhaits de l'utilisateur. Ce système garantit la cohérence des différents formats finaux de rapports et facilite la maintenance des formats supportés ou l'ajout de nouveaux formats.

Avec ceci, de nouveaux formats ont été introduits :

  • Texte brut ;
  • Source LaTeX ;
  • Simple Bar Charts (format exemple pour illustrer l'utilisation de Gnuplot) ;
  • Simple Topo Plot (format exemple pour illustrer l'utilisation de Graphviz) ;
  • Simple Pie Chart (format exemple pour illustrer l'utilisation de PyChart) ;
  • Simple Map Plot (format exemple pour illustrer l'utilisation de MapServer et GDAL) ;
  • Sourcefire Host imput (format exemple pour illustrer la création de connecteurs).

OpenVAS bénéficie pleinement de l'écosystème libre, et s'appuie ainsi sur des outils tels que nmap pour la découverte réseau, ou w3af pour l'audit d'applications web. D'importantes avancées ont été faites récemment sur l'intégration de nmap au sein d'openVAS et devraient continuer. Ceci devrait constituer un sujet important de discussion lors de la DevCon#3, conférence sur le développement d'OpenVAS.

Introduction d'un mode maitre-esclave, permettant à un manager maitre d'utiliser un ou plusieurs autres manager pour lancer des scans. Ce système permet de passer à l'échelle sur des réseaux très grands par exemple.

De très nombreux changements internes (sur les protocoles d'échange, la suppression des derniers plugins binaires...)

Les performances ont été grandement améliorées sur l'ensemble de la chaine.

GSD est maintenant disponible en Anglais, Allemand et Français.

Une liste plus détaillée est disponible dans l'annonce de la publication de cette version 4 (http://www.openvas.org/news_archive.html#openvas4).

Pour l'instant, cette version n'est disponible que sous GNU/Linux mais le portage est en cours vers plusieurs autres systèmes. Vous pouvez trouver les sources, des binaires précompilés et (surtout!) une machine virtuelle prête à l'emploi sur le site du projet si vous souhaitez tester cette nouvelle version.

  • # Un peu trop laconique sur les origines d'OpenVAS ...

    Posté par . Évalué à 6.

    A l'origine était Nessus, scanner de vulnérabilités. En 2005, l'auteur décida de quitter les chemins du libre et de continuer le développement sous forme d'un logiciel privateur. La communauté créa un fork à partir de la dernière version libre. Initialement appelé GNessUs, le projet fut renommé OpenVAS.

    Nessus était libre à la base, et est devenu proprio, certes. Il y a une raison a ça : personne ne contribuait. Plus exactement, les boites de consulting faisaient exactement ce que la licence libre autorisait (i.e. repackageaient le soft, et le faisaient passer pour un super soft maison à la pointe du progrès). Certaines corrigeaient même Nessus. Elles "oubliaient" juste de remonter les patchs. Bizarrement, l'auteur original en a juste eu marre, et a décidé de rendre la version 3 de Nessus propriétaire. Et la, ô miracle, certains se réveillent, et décident enfin de contribuer (d'ou OpenVAS).

    Il est maintenant la pierre angulaire de l'activité de plusieurs sociétés, sur trois continents. Ces sociétés développent activement le logiciel et ont construit tout un modèle économique autour de lui.

    Combien y a-t-il de mainteneurs ? Sont-il tous de la meme boite ? Parce que je vois bien le scénario Nessus se répéter pour OpenVAS dans quelques années.

    • [^] # Re: Un peu trop laconique sur les origines d'OpenVAS ...

      Posté par . Évalué à 7.

      Et la, ô miracle, certains se réveillent, et décident enfin de contribuer (d'ou OpenVAS).

      Le passage de Nessus en "closed source" n'a pas réveillé grand monde : OpenVAS évolue très lentement, en tous cas beaucoup moins vite que Nessus, alors que le fork a maintenant plus de 5 ans ! Cf https://linuxfr.org/nodes/22816/comments/904472 , un post datant de 2008. Les choses n'ont que peu évolué depuis.
      Ceux qui continuent à utiliser un scanneur de vulnérabilité depuis 2005 (quand Nessus est devenu propriétaire) ont en grande majorité continué à utiliser Nessus ou un autre produit commercial.
      Les contributions à OpenVAS ont toujours été rares, le site web est peu dynamique, la communauté restreinte à un petit nombre.

      Combien y a-t-il de mainteneurs ? Sont-il tous de la meme boite ?

      Il n'y a pas beaucoup de mainteneurs actifs et réguliers, pas tous de la même boite. Ceci dit, la réitération d'un scénario à la Nessus-je-ferme-mon-code est peu probable : la dernière fois que j'ai vérifié, OpenVAS était subventionné par une organisation caritative http://www.spi-inc.org/projects/ , et les 3 sociétés qui contribuent se servent du logiciel pour alimenter leur catalogue de services.

      Ce que l'on peut surtout retenir de la propriétarisation de Nessus c'est qu'un logiciel peut être très populaire sans pour autant attirer de contributions. http://www.useit.com/alertbox/participation_inequality.html le dit assez bien sans pour autant apporter de solution miracle.

      • [^] # Re: Un peu trop laconique sur les origines d'OpenVAS ...

        Posté par . Évalué à 7.

        Ce que l'on peut surtout retenir de la propriétarisation de Nessus c'est qu'un logiciel peut être très populaire sans pour autant attirer de contributions. http://www.useit.com/alertbox/participation_inequality.html le dit assez bien sans pour autant apporter de solution miracle.

        C'est vrai. Je pense cependant que l'absence de contribution n'était pas tellement le problème. Le vrai problème (dans le cas de Nessus) était le nombre de boites qui utilisaient le soft, corrigeaient des bugs quand elles les trouvaient, mais ne remontaient pas les patchs. Je pense que si les gens de Nessus avaient vu que personne ne contribuait activement (donc les « 90% de lurkers » du lien que tu donnes, ou même 99% dans le cas de Nessus), ils n'auraient pas trop gueulé. C'est vraiment la façon dont des entités privées ont récupéré le boulot sans jamais rien reverser qui a énervé les dév. originaux de Nessus.

      • [^] # Re: Un peu trop laconique sur les origines d'OpenVAS ...

        Posté par . Évalué à 4.

        les 3 sociétés qui contribuent se servent du logiciel pour alimenter leur catalogue de services.

        Je pense que tu confonds. Il y a plusieurs échelons, et ces trois sociétés que je mentionne sont celles qui développent OpenVAS et pour lesquelles il est le coeur de leur activité. Une appliance hardware avec un flux de tests sous "Quality Agreement" est ainsi développé par l'une d'elle (qui ne fait que ça). Ensuite ses partenaires proposent cette appliance dans leurs catalogues et élargissent ainsi leur offre, mais elles ne contribuent pas (à ce que je sache du moins :)
        Voir: http://greenbone.net/company/partner.html pour les détails

        Les choses n'ont que peu évolué depuis.

        Il est vrai que le projet est resté peu actif pendant longtemps, mais cela à rapidement changé depuis que des boites s'y attellent (voir http://www.ohloh.net/p/openvas/analyses/latest).

        Concernant la fermeture du code c'est effectivement très improbable, la société principale qui développe OpenVAS (greenbone networks) est une "division" de Intevation GmbH, société Allemande un petit peu plus grosse qui ne fait que du libre.

  • # dans la famille "scanneur de vulnérabilités"

    Posté par . Évalué à 3.

    Niktout, heu non, Nikto :p . Ce n'est pas un concurrent à openVAS, mais un outil fort sympathique, et très pratique à l'usage. C'est un petit outil en Perl, sous GPL, livré avec 42 plugins par défaut, et utilisant la bibliothèque Whisker (pour l'évasion), elle même en Perl, sous licence BSD.

    http://cirt.net/nikto2
    http://www.wiretrip.net/rfp/libwhisker/README2

    have fun :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.