patrizio.tufarolo

NSA, progetti GitHub accessibili a tutti

L'agenzia americana per la Sicurezza Nazionale approda sulla celebre piattaforma per la condivisione di progetti open source. Ecco cosa c'è di interessante nel codice reso pubblico

Roma - La National Security Agency è entrata ufficialmente a far parte di GitHub, il celebre servizio per l'hosting di software open source, pubblicando 32 progetti sviluppati internamente; alcuni molto conosciuti e già ospitati su account dedicati, come SELinux, altri meno noti ma non per questo di minore rilevanza.

La decisione di aprire un canale ufficiale per la condivisione di tali progetti nasce nel più ampio Technology Transfer Program, che permette a organizzazioni, aziende e centri di ricerca accademici di contribuire allo sviluppo di tali tecnologie seguendo un modello collaborativo.
Se da una parte, quindi, abbiamo il gruppo Shadow Brokers che ha reso pubblici strumenti ed exploit ad uso interno sottratti in modo illecito (come EternalBlue (utilizzato dal noto malware WannaCry), dall'altra abbiamo la volontà dell'agenzia governativa di fornire soluzioni software open, utili a implementare e verificare lo stato della sicurezza dei sistemi in produzione.


Gli account GitHub richiamati nella pagina di riepilogo sono due.
Il primo, denominato National Security Agency, contiene, tra gli altri, i seguenti software e librerie:
- LemonGraph e LemonGrenade: il primo è un database transazionale basato su grafi scritto in C con bindings in Python, il secondo un sistema di automazione (basato su LemonGraph) caratterizzato dalla capacità di collegare in modo intelligente sistemi e sorgenti di dati;
- SharkPy: libreria Python per dissezionare e analizzare pacchetti e flussi di dati sulle reti basato su Wireshark e LibPCap;
- Apache Accumulo: un database chiave-valore prodotto nell'ambito del progetto Apache.
Attraverso Timely è possibile aggiungere la componente time-series, fornendo un'interfaccia per la piattaforma di analisi e monitoraggio Grafana, qonduit invece fornisce un'integrazione con le websocket;
- System Integrity Management Platform (SIMP): piattaforma per l'automazione delle operazioni di configurazione e la compliance dei sistemi Linux affinché siano conformi agli standard industriali.
Il secondo account GitHUb dell'NSA, invece, porta come denominazione Information Assurance by NSA. In esso sono forniti software per facilitare l'analisi e la gestione del rischio nell'utilizzo, l'elaborazione a la memorizzazione dei dati.
Tra i repository più interessanti di questo secondo account, troviamo:
- goSecure: descritto come una soluzione VPN (Virtual Private Network) per Raspberry PI, altro non è che un wrapper di openswan (software per la realizzazione di VPN IPSec in ambienti Unix-like) e dotato di interfaccia Web;
- WalkOff: framework per l'esecuzione automatica di flussi di operazioni, realizzato con un approccio modulare e integrabile con varie soluzioni applicative. Alcuni plugin sono disponibili nel repository WalkOff Apps;
- Secure-Host-Baseline: strumenti per la configurazione delle policy di gruppo (GPO) in ambienti Windows 10 e Windows Server 2016, al fine di fornire una baseline di sicurezza adeguata alle esigenze del Department of Defense per gli endpoint con il sistema operativo di casa Redmond.
Contiene le definizioni GPO relative a vari software e le relative definizioni STIG per auditing e verifica della compliance;
- GRASSMARLIN: fornisce evidenze sullo stato della sicurezza delle reti IP in ambito ICS (Industrial Control Systems) e SCADA (Supervisory Control and Data Acquisition). Effettua il mapping passivo della topologia di rete ed effettua la discovery dei dispositivi, fornendone una rappresentazione grafica;
- MapleSyrup: analizza la sicurezza delle CPU dei dispositivi integrati e IoT.

La lista completa di tutti gli strumenti è disponibile a questo link; alcuni di essi, tuttavia, non sono stati ancora caricati. Un esempio è EOWS, un tool grafico per l'implementazione dello standard OCIL (Open Checklist Interactive Language) per la creazione di questionari.

Patrizio Tufarolo
Notizie collegate
  • TecnologiaNASA, software gratis per tuttiLa National Aeronautics and Space Administration ha rilasciato il catalogo di software gratuiti per il 2017-2018. Ce n'è per tutti i gusti, ma occhio alle licenze
  • SicurezzaEternalBlue, strumento di diffusione per altri malwareL'exploit su cui si basa il ransomware di ultima generazione WannaCry, sta diventando uno dei principali punti di ingresso sfruttati da malware di vecchia e nuova generazione. Uno scenario che potrebbe peggiorare nei mesi a venire
  • AttualitàShadowBrokers, una raccolta fondi per il prossimo dump?I cracker della crew che ha contribuito a scatenare il ransomware WannaCry preannunciano nuovi, pericolosi leak sul fronte della sicurezza. Verranno consegnati solo a chi è disposto a pagare 21.000 dollari. E intanto gli esperti dibattono sulla necessità di avviare un crowdfunding per prevenire il disastro
  • AttualitàSicurezza, l'intelligence USA perde pezziWikileaks pubblica nuovi documenti sugli strumenti usati dalla CIA per le sue attività di cyber-spionaggio, mentre un gruppo di hacker si dice "tradito" da Trump e rilascia i tool precedentemente rubati a NSA
  • AttualitàIntelligence USA, la breccia da 50 TerabyteWashington accusa un ex-contractor della Difesa di aver rubato una quantità ingente di materiale top secret, e si prepara a sbattere il (presunto) colpevole in galera a vita. Nessuna cattiva intenzione, assicurano i suoi legali
21 Commenti alla Notizia NSA, progetti GitHub accessibili a tutti
Ordina
  • Come mai quando devono costruirsi uno strumento usano Linux e l'open e non usano gli icosi e piastrellotto che vengono invece utilizzati solo per essere penetrati?
    non+autenticato
  • - Scritto da: Rischiatutt o
    > Come mai quando devono costruirsi uno strumento
    > usano Linux e l'open e non usano gli icosi e
    > piastrellotto che vengono invece utilizzati solo
    > per essere
    > penetrati?

    E te lo chiedi pure?
    non+autenticato
  • L' unico che avrei voluto scaricare per studiarmelo un pò non c'è, nada SharkPy mi interessava.Triste
    non+autenticato
  • Ieri sera c'era sotto la URL NationalSecurityAgency/sharkPy... credo lo abbiano rimosso. Ad ogni modo un utente ne ha fatto un fork:
    https://github.com/TheBlaCkCoDeR09/sharkPy
  • - Scritto da: Patrizio Tufarolo
    > Ieri sera c'era sotto la URL
    > NationalSecurityAgency/sharkPy... credo lo
    > abbiano rimosso. Ad ogni modo un utente ne ha
    > fatto un
    > fork:
    > https://github.com/TheBlaCkCoDeR09/sharkPy

    Thanks!
    non+autenticato
  • Mh, alla fine trattai di wrapper ad altri progetti noti...

    tshark dentro uno script fa la stessa funzioneA bocca aperta
    non+autenticato
  • fidatevi, scaricate a piene mani dal repo git dell'NSA, mi raccomando!

    PS: per utenti apple e altri idioti che non capiscono l'ironia: sono ironico.
    non+autenticato
  • Molti coglioni li useranno, ignari che installeranno rootkits e trojan nei propri pc, ma a loro non interessa perchà conta la sicurezza, alla privacy si può rinunciare.


    - Scritto da: ...
    > fidatevi, scaricate a piene mani dal repo git
    > dell'NSA, mi raccomando!
    >
    >
    > PS: per utenti apple e altri idioti che non
    > capiscono l'ironia: sono
    > ironico.
    non+autenticato
  • Affermazione molto stolta, poiché è disponibile il codice sorgente.
    non+autenticato
  • - Scritto da: kjhgx
    > Affermazione molto stolta, poiché è disponibile
    > il codice sorgente.

    quanti andranno a leggerlo? e anche leggendolo, quanti hanno la competenza di scovare i buffer overflow inseriti elegantemente qua e la' nel codice?
    non+autenticato
  • Tu di sicuro no.
    non+autenticato
  • Se il codice è "interessante" vi saranno sicuramente sparsi per il mondo soggetti competenti che lo andranno ad analizzare, non solo a mano, in effetti la loro pubblicazione per me ha ben altro significato, riassumibile in: abbiamo sempre meno programmatori competenti ma bisogno di software ben fatti; questa è la base, cortesemente dateci una mano a farla evolvere.

    Cosa che peraltro stà accadendo un po' ovunque e che in se non è affatto un male, se le licenze usate sono FOSS sul serio.
    non+autenticato
  • - Scritto da: xte
    > Se il codice è "interessante" vi saranno
    > sicuramente sparsi per il mondo soggetti
    > competenti che lo andranno ad analizzare

    Si, comunque onestamente bisogna anche dire non è così semplice. Ricordi TrueCrypt? Un'occhiata rapida l'aveva data anche uno studente. Poi per un'analisi affidabile, vista l'importanza del software:
    - crowdfunding nell'ottobre 2013, creazione di un organizzazione no profit,
    - fase 1 dell'auditing di TrueCrypt 7.1a completata in aprile 2014,
    - fase 2 completata in aprile 2015.
    Nessuno comunque si sarebbe impegnato tanto, se TrueCrypt non fosse stato chiuso in quel modo misterioso, che ha destato parecchi dubbi.
    Insomma, l'analisi prende risorse e un sacco di tempo; alla fine concludono che in sostanza non risultano esserci porcherie messe apposta. Poi una ricerca nel settembre 2015 trova due falle in un driver che TrueCrypt installa su Windows, che vengono sistemate a gennaio 2016, nel fork VeraCrypt.

    Comunque, anche se non è facile e il fatto di essere open non è una garanzia da solo, è chiaro come il software open consenta anche analisi approfondite, quando è il caso. Anche su un software molto complesso come questo, alla fine la magagna viene scoperta, se è open. Già questo disincentiva le furbate. E nel frattempo non sei solo tu a lavorarci con gli occhi sul codice.
    non+autenticato
  • +1, resta però ferma la possibilità di poterlo fare Sorride

    a parte che IMO (come già scritto) non vedo il software open by NSA come un modo (per me ridicolo) di diffondere trojan quando un modo di aver collaborazione "a gratis" su roba di loro interesse che posson permettersi di render pubblica...

    Spero sempre che prima o poi si torni alle LispM con l'OS (source) che gira nativamente sul ferro senza fw, compilazioni od altro.
    non+autenticato
  • - Scritto da: Thepassenge r
    > Molti coglioni li useranno, ignari che
    > installeranno rootkits e trojan nei propri pc, ma
    > a loro non interessa perchà conta la sicurezza,
    > alla privacy si può
    > rinunciare.
    >
    >
    > - Scritto da: ...
    > > fidatevi, scaricate a piene mani dal repo git
    > > dell'NSA, mi raccomando!
    > >
    > >
    > > PS: per utenti apple e altri idioti che non
    > > capiscono l'ironia: sono
    > > ironico.


    Vedo che in tanti confondono le due cose, cioè 1)scaricare e 2)installare od eseguire che sia!
    non+autenticato
  • Altro intervento inutile e di merda che non serviva assolutamente a un cazzo. Sparati.
    non+autenticato
  • Lascia stare , é vecchio , la natura farà il suo corso.
    non+autenticato