Hace sólo unas horas que Renaud Deraison nos anunció la disponibilidad de la esperada nueva versión de Nessus con este mensaje:
From: «Renaud Deraison»
To: «Nessus List»
Sent: Monday, December 12, 2005 12:59 PM
Subject: Nessus 3.0.0 available !
I’m thrilled to announce the availability of Nessus 3.0.0 !
Nessus 3 is a complete rewrite of the Nessus engine, designed for speed and efficency — as a result Nessus 3 is on average twice as fast as Nessus 2 (with spikes as high as five times faster) and is less resource intensive.
The Nessus 3 major enhancements are the following :
- New NASL3 engine
- Improved plugin storage for faster startup time
- Improved networking functions
- New scanner architecture to be both efficient and robust
- The Nessus daemon fetches the plugins automatically when registered (this can be disabled in nessusd.conf)
- Improved error handling
Nessus 3 is available on the following platforms :
- Red Hat ES3 and ES4
- SuSE 9.3 and 10.0
- FreeBSD 5 and 6
- Fedora Core 4
- Debian 3.1
The following platforms will be supported in early 2006 :
- Mac OS X 10.3 and 10.4
- Microsoft Windows 2000/XP Pro/2003
- Solaris 9 and 10
I’m also happy to announce that we’re extending the service we offer to our direct feed customers to include full email support, with access to our customer portal which gives users the ability to reset their activation codes, track their support tickets, and have access to the Nessus Support Knowledge base.
We have also changed our plugins license agreement so that consultants do not have to fax us to ask permission to use the plugin feed any more.
Nessus 3 can be downloaded at http://www.nessus.org/download/ Thanks,
— Renaud
Nessus es, con distancia, el mejor scanner de vulnerabilidades existente en la actualidad. Hasta la versión anterior a esta (la 2.2.5) se distribuía bajo licencia GPL pero hace tan sólo un par de meses que Renaud anunció en la lista asociada al proyecto la polémica decisión de abandonar este modelo de licencia para la futura versión 3.0.0.
Las explicaciones que dio para este cambio de actitud fueron claras: hasta ahora había recibido poca o ninguna ayuda para desarrollar el motor de nessus y, sin embargo, las empresas privadas del sector se estaban beneficiando claramente de la inspección de su código.
La noticia fue recogida pero, al menos en nuestro entorno, no con la polémica que cabía esperar. En castellano tenemos, entre otros, esta nota en el blog de Hispasec y este hilo con muy poco eco en barrapunto La respuesta final de la comunidad ha sido crear un fork del proyecto a partir de la última versión GPL que en principio se pensó en llamar GNessus y finalmente parece que se llamará OpenVAS.
Puedo comprender las razones de Renaud y también las reticencias de los usuarios y no me voy a meter en discutirlas pero lo que habría que esperar, para bien de todos, es un mínimo entendimiento entre ambos proyectos: uno de los mayores éxitos de Nessus ha sido, aparte de la indudable calidad de su motor, los centenares de plugins desarrollados por la gran cantidad de incondicionales que tiene el proyecto. Mantener la compatibilidad entre ambos a este nivel debería de ser del todo imprescindible para perpetuar el éxito de ambos.
Conseguir esto no debería de ser difícil con un mínimo de cooperación y entendimiento por ambas partes. Los plugins de Nessus se realizan mediante NASL (Nessus Attack Scripting Language, un potente lenguaje de scripts creado por el propio Renaud. En la lista de correo del proyecto ya se anunciaba la intención de no alejarse de esta especificación en la nueva versión de Nessus, entre otras cosas, imagino, porque Nessus no sería lo mismo sin esa importante colaboración externa:
I think a lot of people do not understand what the Nessus engine is it’s a platform to run plugins effectively. When we improve a NASL plugin, the improvement works both on Nessus 2.x and on 3.x. So sticking to Nessus 2.x is fine if you don’t want to upgrade.
Lo que pasará en realidad está aún por ver: la sana competencia entre ambos proyectos manteniendo la compatibilidad con el uso de un lenguaje común para el desarrollo de los plugins sería, creo, beneficioso para todos. Crucemos los dedos.