Softversko rješenje za otkrivanje sigurnosnih ranjivosti hrvatske IT tvrtke DefenseCode – ThunderScan – odnedavno je dostupno korisnicima GitHuba, najvećeg sustava u svijetu za suradnju u razvoju softvera.

Pronalazi sigurnosne ranjivosti u izvornom kodu aplikacija napisanih na više od 30 programskih jezika, a radi na Windows i Linux platformi. Namijenjen je svima koji razvijaju ili kupuju softver koji su drugi razvili za njih.

Objašnjava to Lucijan Carić, stručnjak za informatičku sigurnost u DefenseCodeu, navodeći da je otkrivanje sigurnosnih ranjivosti, pogotovo tijekom razvoja, važno jer se radi o opasnom obliku grešaka u razvoju softvera koje mogu dovesti do kompromitacije organizacija.

“Ove greške teško je otkriti tradicionalnim metodama kontrole kvalitete, a potrebno je imati posebna stručna znanja i alate, poput ThunderScana.

Skrivene i neprepoznate ranjivosti iznimno su opasne jer služe kao ulazna vrata informatičkim kriminalcima, hakerima, koji ih iskorištavaju kako bi kompromitirali sigurnost institucija, ukrali podatke, informacije, novac, zloupotrijebili resurse ili ucjenjivali.

Većina organizacija sigurnosno je kompromitirana baš iskorištavanjem sigurnosnih ranjivosti, koje dugo mogu postojati u aplikacijama prije nego što budu otkrivene i to povećava šanse napadača. Štete od ovakvih incidenata često su velike, i materijalne i reputacijske”, upozorava Carić.

Velika točnost detekcije

GitHub, na kojem je ThunderScan sada dostupan, najveća je platforma za suradnju u razvoju softvera, s više od 50 milijuna korisnika, više od tri milijuna tvrtki i organizacija, a u njoj je i 100 milijuna softverskih repozitorija.

Carić smatra da će dostupnost ThunderScana na GitHubu povećati vidljivost DefenseCodeovih rješenja, no za financijsku realizaciju moraju se pobrinuti sami. Glavni autor ThunderScana je Leon Juranić, direktor tvrtke i poznati hrvatski sigurnosni stručnjak i ‘bijeli haker’, koji je s radom na softveru krenuo prije 10 godina.

“Kad sam se prije pet godina pridružio firmi kao investitor, intenzivirali smo rad na razvoju softvera, povećali broj podržanih programskih jezika, povećali točnost detekcije i bitno smanjili broj netočnih, lažno pozitivnih rezultata.

Uložili smo i u redizajn softvera te znatno unaprijedili mogućnosti integracije i korištenja ThunderScana u velikim razvojnim okruženjima. Posebno smo ponosni na naš API (Application Programming Interface) pomoću kojega korisnici ThunderScan mogu potpuno integrirati u svoja rješenja za razvoj softvera i tako funkcionalnosti u potpunosti prilagoditi svojim potrebama”, navodi Carić.

DefenseCode je specijaliziran za ispitivanje sigurnosti informacijskih sustava i sigurnosne analize izvornog koda aplikacija. Rade za financijsku industriju, te na području IT-ja. Osim u Hrvatskoj, tvrtka ima podružnice u Irskoj i SAD-u.

Za skeniranje web stranica

Drugo softversko rješenje tvrtke je Web Scanner, program za automatizirano sigurnosno testiranje web aplikacija (web stranica). Program pristupa web aplikacijama kako bi to učinio vješt haker i u njima otkriva skrivene sigurnosne ranjivosti.

“Za razliku od ThunderScana naš Web Scanner ne treba izvorni kod aplikacije pa ničim nije ograničen i može testirati praktično bilo koju web aplikaciju na internetu – pod uvjetom da to odluči njen vlasnik”, objašnjava Carić čija tvrtka trenutačno radi na poboljšanju postojećih aplikacija – Web Scanner pretvaraju u client-server aplikaciju, poput ThunderScana.

Web Scanner je dosad bio dostupan samo kao desktop rješenje, dok se ThunderScan može koristiti i kao desktop i kao mrežno client-server rješenje ili kao SaaS rješenje u oblaku.