Το osquery του Facebook τώρα διαθέσιμο για τα Windows!

Το δημοφιλές osquery project του Facebook είναι πλέον διαθέσιμο και για τα Windows μετά το λανσάρισμά του το 2014 με υποστήριξη μόνο για Mac OS X, Ubuntu και CentOS.

Εάν δεν είστε εξοικειωμένοι με το project, το οsquery είναι ένα εργαλείο που αγαπήθηκε τόσο από διαχειριστές συστημάτων και διαχειριστές δικτύων όσο και μηχανικούς ασφάλειας.

Το osquery επιτρέπει στους προγραμματιστές να δημιουργούν query στο εν λόγω λειτουργικό σύστημα χρησιμοποιώντας μία εύκολη στην ανάγνωση (easy-to-read) και εύκολη στην εκμάθηση (easy-to-learn) γλώσσα, όπως η SQL. Ο κώδικας του osquery μοιάζει κάπως έτσι:

osquery
SELECT uid, name FROM listening_ports l, processes p WHERE l.pid=p.pid;
SELECT * FROM kernel_extensions WHERE name NOT LIKE ‘com.apple.%’ AND name != ‘__kernel__’;
SELECT name, path, bundle_version, applescript_enabled FROM apps ;
SELECT uid, name FROM listening_ports l, processes p WHERE l.pid=p.pid;

Έτσι, υπάρχει ένα απτό όφελος στο να δουλεύει κανείς με οsquery, αντί να δουλεύει με χαμηλού επιπέδου C APIs.

Το osquery, το οποίο οργανώνει βασικά στοιχεία του λειτουργικού συστήματος, όπως SQL πίνακες, έχει αναπτυχθεί σε networking monitoring συστήματα σε όλο τον κόσμο, σε κέντρα δεδομένων, καθώς και σε ιδιωτικά δίκτυα επιχειρήσεων.

Η εργαλειοθήκη επιτρέπει στους προγραμματιστές να γράφουν monitoring κανόνες και στη συνέχεια να παρακολουθούν τα επίπεδα δραστηριότητας. Αν κάτι πάει τρομερά λάθος, ο διαχειριστής του συστήματος ειδοποιείται. Αυτό ισχύει τόσο για τα τεχνικά ελαττώματα όσο και για κακόβουλες εισβολές.

Αν ακόμα δεν έχετε καταλάβει γιατί το οsquery είναι χρήσιμο, ο Nick Anderson του Facebook εξηγεί πώς η εταιρεία το χρησιμοποιεί στο εσωτερικό της δίκτυο.

«Το osquery επιτρέπει στην Facebook ομάδα ασφαλείας μας να φέρει δεδομένα σχετικά με όλες τις επεκτάσεις του προγράμματος περιήγησης που εκτελούνται στο εταιρικό μας δίκτυο. Εμείς, στη συνέχεια, συγκρίνουμε αυτές τις πληροφορίες με τα threat intelligence δεδομένα για εντοπίσουμε γρήγορα κακόβουλες επεκτάσεις και να τις αφαιρέσουμε.»

Με βάση GitHub στατιστικά, το οsquery ήταν το πιο δημοφιλές repo που σχετίζεται με την ασφάλεια στο site. Τώρα, με την Windows υποστήριξη, η υιοθέτησή του και η δημοτικότητά του είναι βέβαιο ότι θα φτάσουν ψηλά.

Εκτός από τα Windows, Mac OS X, Ubuntu και CentOS, το Facebook πρόσθεσε υποστήριξη τα τελευταία δύο χρόνια και για τα RHEL, Debian και FreeBSD. Το Facebook έχει προσλάβει την εταιρεία λογισμικού ασφαλείας Trail of Bits για να βοηθήσει στην εισαγωγή του osquery στα Windows.