Pentesting continuo: Shannon porta il red teaming nell’era dell’AI

Shannon opera come un penetration tester che non si limita a segnalare vulnerabilità, ma lancia veri e propri exploit. L’intento di Shannon è quello di violare la sicurezza della tua applicazione web prima che qualcuno con intenzioni malevole possa farlo.

Utilizzando il suo browser integrato, Shannon cerca autonomamente nel tuo codice punti deboli da sfruttare e, per dimostrare la reale esistenza di tali vulnerabilità, esegue attacchi concreti, come quelli da iniezione e quelli volti a bypassare i sistemi di autenticazione.

La verifica della sicurezza tramite penetration test resta limitata generalmente a una sola volta l’anno. se svolta manualmente Ne deriva una significativa falla nella sicurezza. Per i restanti 364 giorni, potresti essere a rischio senza saperlo.

Shannon sopperisce a questa mancanza ricoprendo il ruolo di pentester su richiesta. Oltre a identificare possibili criticità, esegue effettivamente exploit, fornendo prove di concetto delle vulnerabilità riscontrate.

Questo strumento ha superato i penetration tester umani e i sistemi proprietari nel benchmark XBOW, segnando un passaggio verso test di sicurezza continui. Shannon simula le tattiche del red team, coprendo l’intero processo di ricognizione, analisi delle vulnerabilità, sfruttamento e reporting. Il suo principio di funzionamento include:

• Analizzando il flusso di dati di mappatura del codice sorgente
• Distribuzione di agenti paralleli per rilevare vulnerabilità OWASP critiche (ad esempio difetti di iniezione, XSS, SSRF e autenticazione).
• Integrazione di strumenti come Nmap e automazione del browser
• Per ridurre al minimo i falsi positivi, nei report di livello professionale vengono incluse solo le vulnerabilità riproducibili confermate da PoC.

Caratteristiche

Una gamma di funzioni è offerta dal software Shannon, che permette di rendere automatiche varie attività finora svolte manualmente. Queste possono essere riassunte come segue:

• Funzionamento completamente autonomo : avvia il pentest con un singolo comando. L’intelligenza artificiale gestisce tutto, dagli accessi 2FA/TOTP avanzati (incluso l’accesso con Google) alla navigazione nel browser, fino al report finale, senza alcun intervento.
• Report di livello Pentester con exploit riproducibili : fornisce un report finale incentrato su risultati comprovati e sfruttabili, completo di Proof-of-Concept copiabili e incollabili per eliminare i falsi positivi e fornire risultati fruibili.
• Copertura delle vulnerabilità critiche OWASP : attualmente identifica e convalida le seguenti vulnerabilità critiche: iniezione, XSS, SSRF e autenticazione/autorizzazione non funzionante, con altri tipi in fase di sviluppo.
• Test dinamici basati sul codice: analizza il codice sorgente per orientare in modo intelligente la strategia di attacco, quindi esegue exploit live, basati su browser e riga di comando, sull’applicazione in esecuzione per confermare il rischio reale.
• Basato su strumenti di sicurezza integrati : migliora la fase di scoperta sfruttando i principali strumenti di ricognizione e test, tra cui Nmap, Subfinder, WhatWeb e Schemathesis, per un’analisi approfondita dell’ambiente di destinazione.
• Elaborazione parallela per risultati più rapidi : ottieni il tuo report più velocemente. Il sistema parallelizza le fasi più dispendiose in termini di tempo, eseguendo contemporaneamente analisi e exploit per tutti i tipi di vulnerabilità.

Prestazioni effettive

Nei test di benchmark sulle vulnerabilità, Shannon ha dimostrato capacità pratiche che superano la scansione statica: Questi risultati dimostrano che Shannon possiede la capacità autonoma di compromettere completamente le applicazioni. Sviluppato sulla base dell’SDK Claude Agent di Anthropic, con il supporto di Shannon è possibile svolgere:

• Test white-box di repository monolitici o ambienti integrati utilizzando Docker
• Accesso con autenticazione a due fattori
• Integrazione della pipeline CI/CD

Sono disponibili due versioni:

• La versione Lite (licenza AGPL-3.0) è adatta ai ricercatori.
• La versione Pro aggiunge la funzionalità di analisi del flusso di dati LLM per le aziende.

Un test tipico dura da 1 a 1,5 ore e costa circa 50 dollari, e fornisce risultati che includono un riepilogo dell’esecuzione e una Proof of Concept (PoC). Grazie all’utilizzo da parte del team di sviluppo di strumenti di programmazione basati sull’intelligenza artificiale come Claude per accelerare i test, Shannon consente di effettuare test di sicurezza giornalieri in ambienti non di produzione, colmando le lacune di copertura nei penetration test annuali.

Gli sviluppatori sottolineano che deve essere utilizzato in modo conforme solo dopo aver ottenuto l’autorizzazione e mettono in guardia contro l’esecuzione di test di attacco potenzialmente dannosi in ambienti di produzione.

Lo strumento è open source su GitHub e i contributi della community sono benvenuti per ampliarne le capacità di rilevamento.

Licenza

Il software Shannon è distribuito sotto licenza GNU Affero General Public License v3.0 (AGPLv3), una delle licenze copyleft più restrittive. Questa licenza consente l’uso commerciale, la modifica, la distribuzione e l’uso privato del software, includendo anche una concessione esplicita dei diritti di brevetto. Tuttavia, impone che qualsiasi versione modificata o lavoro derivato venga rilasciato sotto la stessa licenza, preservando gli avvisi di copyright e di licenza originali.

Una caratteristica chiave dell’AGPLv3 è l’obbligo di rendere disponibile il codice sorgente completo anche quando il software viene utilizzato per fornire un servizio tramite rete (ad esempio un servizio web o SaaS). In questo caso, l’uso in rete è considerato a tutti gli effetti una forma di distribuzione. La licenza esclude qualsiasi garanzia e limita la responsabilità degli autori, rendendo il software disponibile “così com’è”, senza assicurazioni sul suo funzionamento o sulla sua idoneità a scopi specifici.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.