NSA, progetti GitHub accessibili a tutti

Roma – La National Security Agency è entrata ufficialmente a far parte di GitHub , il celebre servizio per l’hosting di software open source, pubblicando 32 progetti sviluppati internamente; alcuni molto conosciuti e già ospitati su account dedicati, come SELinux , altri meno noti ma non per questo di minore rilevanza.

La decisione di aprire un canale ufficiale per la condivisione di tali progetti nasce nel più ampio Technology Transfer Program , che permette a organizzazioni, aziende e centri di ricerca accademici di contribuire allo sviluppo di tali tecnologie seguendo un modello collaborativo.
Se da una parte, quindi, abbiamo il gruppo Shadow Brokers che ha reso pubblici strumenti ed exploit ad uso interno sottratti in modo illecito (come EternalBlue (utilizzato dal noto malware WannaCry ), dall’altra abbiamo la volontà dell’agenzia governativa di fornire soluzioni software open , utili a implementare e verificare lo stato della sicurezza dei sistemi in produzione.

Il secondo account GitHUb dell’NSA, invece, porta come denominazione Information Assurance by NSA . In esso sono forniti software per facilitare l’analisi e la gestione del rischio nell’utilizzo, l’elaborazione a la memorizzazione dei dati.
Tra i repository più interessanti di questo secondo account, troviamo:
– goSecure : descritto come una soluzione VPN (Virtual Private Network) per Raspberry PI , altro non è che un wrapper di openswan (software per la realizzazione di VPN IPSec in ambienti Unix-like) e dotato di interfaccia Web;
– WalkOff : framework per l’esecuzione automatica di flussi di operazioni, realizzato con un approccio modulare e integrabile con varie soluzioni applicative. Alcuni plugin sono disponibili nel repository WalkOff Apps ;
– Secure-Host-Baseline : strumenti per la configurazione delle policy di gruppo (GPO) in ambienti Windows 10 e Windows Server 2016, al fine di fornire una baseline di sicurezza adeguata alle esigenze del Department of Defense per gli endpoint con il sistema operativo di casa Redmond.
Contiene le definizioni GPO relative a vari software e le relative definizioni STIG per auditing e verifica della compliance;
– GRASSMARLIN : fornisce evidenze sullo stato della sicurezza delle reti IP in ambito ICS (Industrial Control Systems) e SCADA (Supervisory Control and Data Acquisition). Effettua il mapping passivo della topologia di rete ed effettua la discovery dei dispositivi, fornendone una rappresentazione grafica;
– MapleSyrup : analizza la sicurezza delle CPU dei dispositivi integrati e IoT.

La lista completa di tutti gli strumenti è disponibile a questo link ; alcuni di essi, tuttavia, non sono stati ancora caricati. Un esempio è EOWS , un tool grafico per l’implementazione dello standard OCIL (Open Checklist Interactive Language) per la creazione di questionari.

Patrizio Tufarolo