Osquery é uma framework open-source que permite criar um registo de tudo o que se passa num sistema operativo. Todas as atividades ficam disponiveis numa base de dados que podem ser consultadas com comandos SQL.
Segundo o Facebook, esta ferramenta poderá ajudar a comunidade de segurança informática a ter um sistema de monitorização suportável financeiramente e flexível. Mas esta ferramenta é apenas um pequeno passo. O Facebook ao disponibilizar o Osquery, pretende que, programadores de todo o mundo, criem novos componentes para que esta framework se torne uma ferramenta mais robusta, completa e personalizável.
Por exemplo, esta consulta SQL permite visualizar todos os processos que estão em escuta em portas de rede:
SELECT DISTINCT process.name, listening.port, listening.address, process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid;
Pessoalmente agrada-me a ideia de ter diversa informação do sistema operativo organizada em tabelas numa base de dados. Ter tabelas com os processos que estão a correr, os módulos do kernel que estão carregados, as conexões ativas, etc…
De salientar que o Osquery é multi-plataforma. Podem compilar e utilizar o Osquery no Ubuntu, CentOS e Mac OSX.
Além desta oferta, o Facebook adicionou o Osquery à lista de bounties, com um prémio minimo de US$2.500. Isto, claro está, para os utilizadores que divulgarem de uma forma responsável uma vulnerabilidade no core do Osquery.
Perguntei a Bruno Morisson - Expert Consultant Partner na INTEGRITY - o que ele achava da disponibilização de ferramentas open-source de segurança por parte das grandes empresas:
Este tipo iniciativas são extremamente importantes, principalmente porque acabam ter impacto em três vertentes distintas:
- Demonstram um empenho na segurança das suas próprias infraestruturas e aplicações;
- Apoiam outras organizações, que podem usufruir destas ferramentas e não ter que reinventar a roda, contribuindo para uma comunidade global, até porque podem passar a ter contribuições externas;
- Incentivam outras organizações a fazer o mesmo, podendo ter um efeito de “bola de neve” positivo.Sobre este último ponto temos visto outras empresas a tomar iniciativas deste género, talvez a mais conhecida pelas contribuições para a área de segurança seja a Google, mas também é curioso que outras com menos visibilidade nesta área como foi o exemplo da Netflix no início do ano, também o têm feito.
A verdade é que estas ferramentas acabam por endereçar problemas que são comuns a muitas organizações, mesmo que de menor dimensão, e que podem adaptá-las às suas necessidades.Em resumo, é sem dúvida positivo ver cada vez mais este género de contribuições significativas à comunidade global de segurança.
Sem dúvida que a distribuição do Osquery é um passo importante para o Facebook estar mais próximo da comunidade de segurança.
Para os interessados em conhecer melhor o Osquery, podem ler a documentação aqui e fazerem o respetivo download no GitHub.
como faço para fazer isso Para poder dar as dicas para melhorar o facebook.