Qualys, de leverancier van oplossingen voor on-demand IT security risk en compliance management, lanceert vandaag BlindElephant, een snelle, accurate open source webapplicatie fingerprinting engine die de versies vaststelt van applicaties en plug-ins op basis van statische files. In samenhang met deze release zal op Black Hat USA 2010 onderzoek worden onthuld dat de resultaten geeft van grootschalige tests van de tool. Uit het onderzoek blijkt dat veel bekende webapplicaties gevaarlijk verouderde software draaien.
Er bestaan veel algemeen gebruikte webapplicaties die worden ingezet voor allerlei doeleinden, zoals bloggen, forums, e-commerce, databasemanagement, email en talloze andere. Door hun aard brengen deze applicaties speciale uitdagingen op het gebied van security met zich mee. Nu er in toenemende mate kwetsbaarheden worden ontdekt, is het belangrijk een betrouwbare manier te hebben om te ontdekken welke applicaties en plug-ins op een site aanwezig zijn en of deze in verouderde versies draaien. Anders dan andere webapplicatie-tools past BlindElephant een nieuwe aanpak toe die is gebaseerd op hashes van static resource files binnen de applicatie waaruit het versienummer wordt afgeleid.
"Standaard-webapplicaties zijn vaak doelwit van aanvallers om ingezet te worden voor de verspreiding van malware," zegt Wolfgang Kandek, CTO van Qualys. "Wij brengen de BlindElephant tool uit als een open source project om gebruikers in staat te stellen zichzelf te beschermen en om hun webapplicaties te monitoren. Het is bovendien een eerste stap om met de community samen te werken teneinde het aantal fingerprinted webapplicaties uit te breiden."
"BlindElephant is een tool die security professionals en systeembeheerders helpt om alles wat op hun servers draait te identificeren, inclusief alle webapplicaties die gebruikers misschien hebben gedownload," zegt Patrick Thomas, vulnerability researcher bij Qualys en de schepper van BlindElephant. "BlindElephant checkt niet zozeer op kwetsbaarheden voor specifieke exploits maar meer op welke versie van applicaties op de site draaien."
BlindElephant is ontworpen met het oog op:
- – Minimale menselijke inspanning om nieuwe versies/applicaties te ondersteunen
- – Resistentie voor hardening (banner removal)
- – Accuratesse om aantallen false positives en false negatives te reduceren
- – Hergebruik van code voor alle ondersteunde applicaties
- – Snelheid en schaalbaarheid voor toepassing op grote aantallen applicaties
- – Gering gebruik van resources
Voor elke applicatie die de tool ondersteunt, verbruikt BlindElephant een aantal versie-directories. Alle files en directories worden geprocessed en voor elk bestand wordt een hash berekend. Deze hash wordt in een tijdelijke tabel opgeslagen, samen met het pad en de versie van de applicatie waar de hash uit voortkomt. De accuratesse van de tool is gedemonstreerd in een grootschalige survey van Internet-visible hosts. De resultaten van de survey bevatten informatie over welke momenteel ondersteunde webapplicaties het meest gebruikt zijn en over de distributie van versies. De survey was gericht op sommige van de meest populaire open-source applicaties waaronder:
- – Drupal (Content Management System)
- – Joomla! (Content Management System)
- – Mediawiki (Wiki Software)
- – Moodle (Virtual Classroom System)
- – MovableType (Blogging Software)
- – phpBB (Forum Software)
- – phpMyAdmin (Database Management Software)
- – SPIP (Content Management System)
- – WordPress (Blogging Software)
"Het doel van de tool is het bieden van ‘situational awareness,’ in plaats van inzicht geven in specifieke vulnerabilities in een applicatie," zegt Thomas.
Beschikbaarheid
Patrick Thomas zal Blind Elephant en de onderzoeksresultaten introduceren in een sessie van 70 minuten tijdens Black Hat USA 2010 op 28 juli om 3:15 pm PDT.
BlindElephant is een open source tool en kan worden gedownload op http://blindelephant.sourceforge.net/.
Ga naar de Qualys Community op: http://community.qualys.com/community/blindelephant om de BlindElephant research paper te downloaden of voor meer details.
De fingerprinting technology is momenteel beschikbaar in QualysGuard Vulnerability Management.
