Login
Login-Name Passwort


 
Newsletter
Werbung

Fr, 7. Oktober 2005, 12:51

Software::Security

Nessus wird »Closed Source«

Der bekannte Portscanner Nessus wird ab der kommenden Version 3.0 nicht mehr im Quellcode ausgeliefert.

Bereits Anfang des Jahres kündigte der Entwickler von Nessus, Renaud Deraison, an, neue Module nicht mehr unter die GPL zu stellen. Durch eine geschlossene Entwicklung der Erweiterungen von Nessus versprach der Autor eine garantierte Entwicklung des Scanners und für kommerzielle Kunden eine bessere Reaktionszeit auf aufgetauchte Sicherheitslücken. Bereits geschriebene Plugins, auch wenn sie umgeschrieben wurden, würden weiterhin frei bleiben.

Nessus ist ein Remote-Security-Scanner welcher in der Version 2.x der Community völlig frei zur Verfügung steht. Die unter der GNU GPL lizensierte Applikation beruht im Gegensatz zu fast allen anderen Scannern auf einen Client-Server Prinzip und wird durch Plugins um weitere Funktionalität erweitert. Damit ist es dem Scanner möglich auf neue Sicherheitslücken, sogenannte »Exploits« schnell zu reagieren. Die Applikation besitzt die Möglichkeiten, diese Exploits in ihren Scan mit einzubauen. Dadurch erhält der Systemadministrator einen guten Einblick in sein System, und kann problemlos feststellen, wo ein Cracker eindringen könnte. Ferner erhält die Anwendung eine Nessus NASL-Sprache (Nessus Attack Scripting Language), welche es erlaubt, eigene Plugins zu programmieren. Auch Plugins in C sind möglich.

Bereits bei der Änderung der Plugin-Lizenzierung beschwerte sich Deraison, dass ihn und sein Team kaum Unterstützung seitens der Community erreicht. Über 95 Prozent der Arbeit sei durch ihn und die Gruppe um Tenable Network Security durchgeführt worden. »In derselben Zeit ist die Zahl der Unternehmen, die Nessus mit einer schönen Web-Oberfläche verpackt und weiter verkauft haben, enorm gestiegen«, schrieb Deraison. Laut Deraison überstieg Anfang 2005 die Zahl der Firmen die Nessus in einem kommerziellen Umfeld verkauften, die Zahl der Unterstützer, die Nessus um neue Plugins erweitert hatten.

Mit der Freigabe der Version 3 wird das Team die Lizenz der Applikation ändern und Nessus nicht mehr unter der GNU GPL vertreiben. Zwar bleibt die Applikation weiterhin für den privaten Gebrauch kostenlos, wird aber nicht mehr im Quellcode ausgeliefert und unterliegt der Beschränkung, dass sie nicht mehr durch Dritte vertrieben werden darf. Nessus 2 bleibt weiterhin unter der GPL und wird, darf man Deraison Glauben schenken, auch von den Maintainern weiter gepflegt.

Beide Versionen von Nessus (V2 und V3) sind »meistens« Plugin-kompatibel. Laut Deraison beabsichtigt das Team, Rückwärtskompatibilität einzuhalten. Manche Checks werden allerdings nur noch für Nessus 3 verfügbar sein. »Die Mehrzahl wird auf jeder Plattform funktionieren«, so der Entwickler.

Wie die Programmierer weiter bekannt gaben, ist Nessus 3 in einem ersten Release-Kandidaten verfügbar. Das Team sucht deshalb erfahrene Nutzer, die die kommende Version von Nessus testen wollen. Die Applikation ist laut Aussagen von Deraison erheblich schneller und ressourcenschonender als die Vorgängerversion und verfügt über zahlreiche Neuerungen. Unter anderem kommt der Port-Scanner mit einem neuen NASL3-Interpreter.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung