Audit de securitate IT. Soluții cu Sursă Deschisă

Scanarea vulnerabilităților și testarea de penetrare

Securitatea cibernetică (securitatea IT) include controlul accesului fizic la hardware, precum și protecția împotriva atacurilor care vin prin accesul la rețea, injectarea de date și injectarea de cod.


Сadrul normativ al Republicii Moldova
Legea nr. 48/2023 privind securitatea cibernetică
Legea nr. 124/2022 privind identificarea electronică și serviciile de încredere
Legea nr. 142/2018 cu privire la schimbul de date şi interoperabiltate
Hotărârea Parlamentului nr. 257/2018 privind aprobarea Strategiei securității informaționale a Republicii Moldova pentru anii 2019–2024 și a Planului de acțiuni pentru implementarea acesteia la Legi
Legea nr. 241/2007 comunicaţiilor electronice
Legea nr. 133/2011 privind protecţia datelor cu caracter personal
Legea nr. 71/2007 cu privire la registre
Legea nr. 467/2003 cu privire la informatizare şi la resursele informaţionale de stat
Legea nr. 1069/2000 cu privire la informatică


Сadrul normativ al EU
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union [En]
Directiva (UE) 2022/2555 a Patlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) [Ro]


Recomandări.
Dacă vreuna dintre soluții vă interesează, sau credeți că are o bună perspectivă de dezvoltare, sau puteți adapta software-ul la nevoile cetățenilor, autorităților, afacerilor sau organizațiilor obștească din Moldova, atunci puteți:


1. Soluții internaționale

# Open Source Solution Web Licence
1 Google / OSV-Scanner
Use OSV-Scanner to find existing vulnerabilities affecting your project’s dependencies.
OSV-Scanner provides an officially supported frontend to the OSV database that connects a project’s list of dependencies with the vulnerabilities that affect them. Since the OSV.dev database is open source and distributed, it has several benefits in comparison with closed source advisory databases and scanners.
google.github.io/osv-scanner BSD-3
2 Hack-with-Github / Awesome-Hacking
A collection of various awesome lists for hackers, pentesters and security researchers.
no website CC0-1.0
3 sqlmapproject / sqlmap
sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. It comes with a powerful detection engine, many niche features for the ultimate penetration tester, and a broad range of switches including database fingerprinting, over data fetching from the database, accessing the underlying file system, and executing commands on the operating system via out-of-band connections.
sqlmap.org GNU
4 sullo / nikto
Nikto web server scanner.
cirt.net/Nikto2 GPL-2.0
5 aquasecurity / cloudsploit
CloudSploit by Aqua – Cloud Security Scans.
CloudSploit by Aqua is an open-source project designed to allow detection of security risks in cloud infrastructure accounts, including: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI), and GitHub. These scripts are designed to return a series of potential misconfigurations and security risks.
aquasec.com GPL-3.0
6 OWASP / Nettacker
OWASP Nettacker project is created to automate information gathering, vulnerability scanning and eventually generating a report for networks, including services, bugs, vulnerabilities, misconfigurations, and other information.
owasp.org/www-project-nettacker Apache-2.0
7 OWASP / www-project-zap
OWASP Zed Attack Proxy (ZAP) is one of the world’s most popular free security tools and is actively maintained by a dedicated international team of volunteers. Great for pentesters, devs, QA, and CI/CD integration.
owasp.org/www-project-zap Apache-2.0
8 greenbone / openvas-scanner
This repository contains the scanner component for Greenbone Community Edition.
greenbone.github.io/…/openvas-scanner GPL-2.0
9 OpenSCAP / openscap
Open Source Security Compliance Solution.
The oscap program is a command line tool that allows users to load, scan, validate, edit, and export SCAP documents.
open-scap.org/tools/openscap-base LGPL-2.1
10 wapiti-scanner / wapiti
Web vulnerability scanner written in Python3.
wapiti-scanner.github.io GPL-2.0

2. Soluții învechite

Soluții Open Source care nu se actualizează mai mult de 1 an, dar ar putea fi interesantă pentru Utilizatorii finali.
Nu facem nicio recomandare de utilizare sau de a nu folosi soluțiile enumerate mai jos. Decizia ta depinde în totalitate de dvs.

# Open Source Solution Web Licence
1 craigz28 / firmwalker
A simple bash script for searching the extracted or mounted firmware file system.
It will search through the extracted or mounted firmware file system for things of interest.
No website GPL-3.0