Una scansione delle vulnerabilità può consentire di "guardare dall'esterno" (in ottica cybersecurity) un dispositivo o una gruppo di dispositivi, con lo scopo di individuare falle della sicurezza che un attaccante, un bot o un malware potrebbero sfruttare. Lo strumento gratuito più noto per questo tipo di scansione è probabilmente OpenVAS (Open Vulnerability Assessment Scanner) o, usando il nome più aggiornato ed esteso, Greenbone Free Community Edition.
Le differenze fra le versioni Free, Basic ed Enterprise le trovate qui, mentre per per approfondire la conoscenza della Community edition sono disponibili maggiori informazioni su GitHub e sul portale di Greenbone; mentre per discussioni nel forum tematico, questo è il link. Per approfondire si può anche andare sul canale YouTube Greenbone AG.
In sintesi OpenVAS, con la sua scansione e valutazione delle vulnerabilità rilevate, combina le funzionalità di Nmap con analisi basata su CVE, NVT (Network Vulnerability Tests), CPE, CERT advisories (esempio) e alcune policy, preimpostate o personalizzate. La scansione può essere rivolta anche a molteplici host, server o gateway della propria rete, anche aziendale. OpenVAS può infatti gestire profili con password, connessioni SSH, SMTP, etc. anche se in questo caso lo useremo semplicemente per scansionare una VM con Windows 10 Pro.
Download e installazione
Per scaricare la Free Edition a questo indirizzo è necessario fornire una mail dove si desidera ricevere il link per il download; nella stessa pagina, in basso, trovate anche istruzioni dettagliate e ben illustrate per importare la Virtual Machine ("VM" da qui in poi) di OpenVAS, sia su VMware Workstation Pro (minimo versione 16) con un file OVA di circa 3,3 GB, che su VirtualBox (minimo versione 6.1) con un file OVA di circa 2,9 GB. Entrambi avranno la dicitura "TRIAL", ma si tratta della versione Free, gratuita e senza un periodo di prova, ma con solo alcune limitazioni nei feed, ossia gli aggiornamenti dei parametri di scansione, che riguardano i prodotti business.
Essendo le istruzioni nel sito già molto esaustive e chiare, segnaliamo solo che i requisiti minimi della VM (che verranno impostati automaticamente) sono CPU a 2 core, 5 GB RAM e circa 20 GB di spazio effettivamente occupati su disco (almeno appena installata), anche se il disco virtuale è dinamicamente allocabile fino a 500 GB, quindi non spaventatevi se risulterà essere 500 GB nella scheda delle caratteristiche della VM.
In alternativa alle VM, si può anche scegliere di usare un container Docker, come mostrato qui.
Per la configurazione è da tenere presente che di default la connessione della VM richiede il DHCP attivo ed è impostata su bridge; impostazione che nel nostro test (usando VMware 16 Pro) non funzionava adeguatamente, per cui è stato necessario impostare la connessione su NAT. Anche il secure boot è stato disattivato per consentire il corretto avvio della VM.
Una volta avviata la VM, al login inseriamo "admin" sia come nome utente che come password.
Il resto della procedura, come detto, è ben spiegata con immagini nella pagina ufficiale già indicata e in video YouTube come questo, per cui non ci dilungheremo in merito. Importante, come suggerito sul sito ufficiale al paragrafo "Performing a General System Setup" punto 2, fare attenzione alla creazione di un web user che ci consentirà di accedere a OpenVAS anche dall'interfaccia web.
Al primo avvio, se doveste avere un errore per DHCP non rilevato
potrete inizialmente procedere ugualmente selezionando Skip. Verrà eseguito anche un selfcheck, un auto-controllo generale della VM, che potrebbe risultare ricco di segnalazioni come queste:
Si tratta di non conformità che potrete sanare proseguendo nelle schermate successive e accedendo all'interfaccia gestionale per impostare tutto come consigliato (connessione rete, aggiornamento dei feed, etc.).
In seguito vi troverete infatti nella schermata con le varie impostazioni, in cui potrete muovere la selezione usando le frecce direzionali, premere Invio per confermare ed Esc per tornare ai menu precedenti.
Consigliato fare subito l'aggiornamento dei Feed, ovvero del database usato per i rilevamenti della scansione, al percorso Maintenance / Feed.(potrebbe richiedere qualche minuto di tempo). Per avere un'interfaccia grafica nel browser, l'informazione che ci serve è l'IP della VM; lo trovate in Setup / Network / IP. La stesso IP è visualizzabile nella schermata di login nella VM.
Digitando l'IP nella barra degli indirizzi del browser dell'host (che deve essere ovviamente nella medesima rete della VM), dopo aver accettato di procedere nonostante l'avviso di sicurezza del browser (non è una connessione HTTPS), potremo eseguire il login in Greenbone Free, usando le credenziali che abbiamo scelto per il web user al primo avvio della VM (da non confondere con l'amministratore della VM, che ha di default come utente/password admin/admin).
Per vedere le principali operazioni, configurazioni e potenzialità di OpenVAS, potete guardare il video sottostante; intanto, come "spoiler", questo è l'elenco dei tipi di scansioni possibili
e questo è un esempio di dashboard popolata dopo alcune scansioni
VIDEO - GUIDA ALL'USO (funzionalità base)
ALTRE RISORSE
- Laboratorio pratico su tryhackme per familiarizzare con OpenVAS
- PDF illustrativo
- Altro PDF illustrativo
- Video su una scansione che, avendo per target la VM di Metasploitable, risulta ricca di rilevamenti.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]