11 công cụ bảo mật nguồn mở tuyệt vời trên GitHub
Một trong những luật bất thành văn của Linus là mã nguồn mở phát hiện lỗi hiệu
quả hơn, và điều này giúp người làm CNTT cân nhắc liệu có nên tìm hiểu xem
các công cụ bảo mật nguồn mở có thực sự tốt so với nguồn đóng?
Ngày nay, nhiều trang chia sẻ mã nguồn như GitHub càng ngày càng cho thấy
vai trò rất hữu ích đối với các tổ chức, doanh nghiệp trong việc đảm bảo mã
nguồn và hệ thống của mình được an toàn, vì chúng mang lại nhiều công cụ bảo
mật và framework để phân tích malware, tấn công thử nghiệm, dự đoán rủi ro và
nhiều tính năng hấp dẫn khác.
Dưới đây là 11 dự án bảo mật rất hay trên GitHub. Bất kỳ admin nào quan tâm
đến bảo mật cho mã nguồn và hệ thống đều nên xem qua.
Metasploit Framework
Do cộng đồng nguồn mở và công ty bảo mật Rapid7 đóng góp, Metasploit
Framework là hệ thống để thử nghiệm tấn công giả lập hệ thống. Nó có một thư
viện lỗ hổng của các ứng dụng để nhà quản trị có thể thử qua và vá ngay trước
khi tin tặc phát hiện ra lỗ hổng ấy trong hệ thống của mình. Bộ Metasploit này
có thể dùng thử nghiệm cho nhiều nền tảng gồm Windows, Linux, Mac,
Android, iOS và một số nền tảng khác nữa.
Brakeman
Brakeman là công cụ quét lỗ hổng dành cho ứng dụng Ruby on Rails, có thể
phân tích luồn dữ liệu, theo dấu các giá trị từ phần này sang phần khác của
chương trình. Bạn không cần thiết lập toàn bộ chồng ứng dụng thì mới có thể sử
dụng phần mềm được.
Brakeman quét không thực sự nhanh so với các công cụ quét lỗi “black box”
khác. Bạn cần chú ý đến những lỗi nó phát hiện được và nó cũng giúp bạn vá
những lỗi đó. Tốt nhất là sử dụng Brakeman kết hợp với một công cụ quét bảo
mật trang web khác. Tác giả của Brakeman, ông Collins, vẫn chưa có kế hoạch
mở rộng Brakeman ra nhiều nền tảng nhưng các nhà phát triển rất quan tâm đến
mã nguồn của chương trình này và luôn cập nhật nó.
Cuckoo Sandbox
Cuckoo Sandbox là một hệ thống phân tích malware động tự động, giám sát

những file nghi ngờ trong một môi trường tách biệt.
Mục tiêu của công cụ này là tự động thực thi và giám sát hành vi của bất kỳ
malware nào qua một máy ảo Windows. Sau đó, Cuckoo còn phân tích và thu
thập dữ liệu, báo cáo về khả năng malware đó có thể tấn công được thứ gì lên hệ
thống của bạn.
Dữ liệu mà Cuckoo theo dõi được gồm dấu vết API Windows, các lệnh copy,
tạo và xoá file, làm tràn bộ nhớ (memory dump) và phân tích cấu hình hệ thống.
Bạn có thể tinh chỉnh báo cáo theo nhiều định dạng, trong đó có JSON và
HTML. Cuckoo Sandbox là dự án được khởi động sau sự kiện Google Summer
of Code hồi năm 2010.
Moloch
Moloch là hệ thống cơ sở dữ liệu, tạo chỉ mục, bắt packet IPv4 qua giao diện
web đơn giản khi bạn lướt web, tìm kiếm và xuất dữ liệu. Nó thiết lập qua
HTTPS và HTTP hoặc Apache, nhưng không có nghĩa là nó thay thế cho các
engine IDS.
Công cụ này chứa và tạo chỉ mục mọi luồng dữ liệu mạng theo định dạng PCAP
chuẩn, có thể triển khai trên nhiều hệ thống, có khả năng gia giảm băng thông.
Moloch có thể bắt gói packet như một ứng dụng C đơn luồng, hoặc có thể bắt
packet nhiều luồng trên mỗi máy tính; chương trình xem báo cáo là ứng dụng
Node.js qua giao diện web, có thông tin truyền file PCAP; Moloch còn có công
nghệ tìm kiếm cơ sở dữ liệu Elasticsearch.
MozDef: nền tảng phòng vệ Mozilla
MozDef tên đầy đủ là Mozilla Defense Platform, là giải pháp tự động hoá quy
trình xử lý bảo mật, có được những tính năng phòng vệ mà kẻ tấn công thường
có: nền tảng tích hợp thời gian thực để giám sát, phản ứng, cộng tác và những
tính năng nổi bật khác.
MozDef mở rộng các chức năng SEIM (security information and event
management) theo hướng xử lý cộng tác, ảo hoá và dễ dàng tích hợp vào các hệ
thống doanh nghiệp. MozDef sử dụng Elasticsearch, Meteor và MongoDB để
thu thập nhiều loại dữ liệu và lưu trữ chúng theo cách phù hợp. Bạn có thể xem

MozDef như là một lớp SIEM, nằm bên trên Elasticsearch để xử lý các tình
huống bảo mật. Dự án này khởi động từ nội bộ Mozilla hồi năm 2013.
MIDAS
Dựa trên hợp tác giữa đội ngũ bảo mật Etsy và Facebook, MIDAS là framework
để tạo các hệ thống phân tích, nhận diện xâm nhập cho Mac. Framework dạng
module này có những tiện ích và một module mẫu để tinh chỉnh nhận diện bảo
mật cho cơ chế phòng chống của OS X. Dự án này dựa trên ý tưởng có
trong Homebrew Defensive Security và Attack-Driven Defense.
Người dùng MIDAS có thể định nghĩa các module để kiểm tra phía host, xác
thực, phân tích và nhiều tính năng bảo mật khác.
Bro
Framework phân tích mạng Bro thực sự khác biệt so với những framework nhận
diện chống xâm nhập khác, do Robin Sommer, chuyên gia bảo mật của viện
khoa học máy tính quốc tế ở dại học California, Berkeley, phát triển.
Trong khi các hệ thống chống xâm nhập thường nhận diện qua mẫu tấn công thì
Bro thực sự là một ngôn ngữ lập trình nên mạnh hơn những hệ thống chuẩn
khác, nên người dùng có thể lập trình các tác vụ ở từng mức độ ngữ nghĩa khác
nhau.
Bro dò tìm các tấn công và đưa ra thông tin ngữ cảnh và các mẫu sử dụng. Nó có
thể hiển thị trên màn hình máy tính, can thiệp trực tiếp vào hệ thống mạng và
tìm những gói dữ liệu truyền trên mạng. Nó cũng có thể ứng dụng như nền tảng
để phân tích dữ liệu mạng.
OS X Auditor
OS X Auditor là công cụ điều tra trên máy tính miễn phí, tách và phân tích các
đối tượng trên một hệ thống đang chạy hoặc sao chép hệ thống đó lại để phân
tích về sau. Các đối tượng đó có thể gồm các trình extentions kernel, các agent
và daemon bên thứ ba, một dịch vụ chưa được cấp phép bên thứ ba, các file tải
về của người dùng và các agent được cài đặt. Các file được khoanh vùng của
người dùng được trích xuất cùng với lịch sử duyệt web trên Safari, cookies của
Firefox, lịch sử duyệt web của Chrome, các tài khoản email và mạng xã hội, các

điểm truy cập wi-fi đều được kiểm duyệt.
Sleuth Kit
Sleuth Kit gồm một thư viện và một bộ công cụ dòng lệnh để điều tra ảnh đĩa,
gồm toàn bộ đĩa và dữ liệu file hệ thống. Bộ kit này có một framework dạng
plug-in cho phép người dùng thêm các module để phân tích nội dung file và tạo
các hệ thống tự động hoá.
Được viết riêng cho nền tảng của Microsoft và Unix nên Sleuth Kit cho phép
các nhà điều tra có thẻ nhận diện và khôi phục các chứng cứ từ ảnh đĩa khi phục
hồi hoặc trực tiếp khi hệ thống đang vận hàng. Sleuth Kit chạy qua giao diện UI
và các công cụ khác là Autopsy cũng là một nền tảng điều tra số với giao diện
thân thiện hơn. Sleuth Kit còn hơn là một thư viện đơn thuần vì bạn có thể kết
hợp nó vào công cụ riêng của bạn mà không cần dùng nó trực tiếp.
OSSEC
Hệ thống nhận diện chống xâm nhập OSSEC chạy trên máy chủ có thể phân
tích log, kiểm tra tích toàn vẹn file, giám sát chính sách, cảnh báo và phản hồi
trên nhiều hệ thống, trong đó có Linux, Mac OS, Solaris, AIX và Windows.
OSSEC giúp các tổ chức thoả được các đòi hỏi bảo mật, trong đó gồm PCI và
HIPAA, và nó có thể cấu hình để gửi cảnh báo khi nó nhận diện xâm nhập
không được cấp phép hay những hành vi nghi ngờ phát hiện trong file log phần
mềm và các ứng dụng tuỳ biến khác. Một máy chủ điều khiển tập trung quản lý
các chính sách trên nhiều hệ điều hành khác nhau. OSSEC do Trend Micro hỗ
trợ.
Passive DNS
Passive DNS thu thập các bản ghi DNS theo cách thụ động để giúp giải quyết
các vấn đề điều tra số, giám sát mạng. Phần mềm này có thể được cấu hình lại
để đọc file pcap (ghi packet) và xuất dữ liệu DNS ra một file log hoặc dò dữ liệu
qua một giao tiếp (interface) nào đó.
Công cụ này hoạt động với chuẩn IPv4 lẫn IPv6, ngầm theo dõi qua TCP và
UDP, và có thể sao chép dữ liệu DNS bắt được vào bộ nhớ tuỳ theo dung lượng
file log được chỉ định.