miércoles, 11 de junio de 2008

Nessus


Hacía algún tiempo que no prestaba atención a uno de los proyectos libres que he usado más: el escáner de vulnerabilidades open source software libre Nessus. Hoy me llega un email para recordar algo que ya dijeron (y de lo que no me había enterado :O )... han cambiado el modelo de licenciamiento del software.

Antes tenían un tipo de licencia muy del agrado de todos los que querían usarlo profesionalmente sin pagar ni un euro: el Registered feed. Básicamente, te podías descargar todas las actualizaciones de plugins gratuitamente, con un retraso de 7 días con respecto a los usuarios que pagaban por una licencia Direct feed. Con lo cual, todo el mundo lo usaba sin pagar.

Gracias a este modo de funcionar, surgieron a su alrededor otros proyectos libres, básicamente interfaces de usuario distintas a la oficial (NessusClient), o programas que utilizaban su información en una base de datos propia. Algunos ejemplos son InProtect, Simpleness o Nessconnect. Hubo otros proyectos open source relacionados que buscaron la manera de usar los resultados de Nessus, como fue Metasploit.

NessusClient

Hace algún tiempo Tenable Network Security, la empresa que desarrolla el sistema, empezó a cambiar su modelo de negocio y el escáner totalmente libre empezó a ser no tan libre. Primero vino la noticia del nuevo motor de escaneos, con el que pasaban a la versión 3: el código fuente ya no era de libre distribución.

Después, la versión de pago empezó a adquirir capacidades que la libre no tenía, como la aplicación de políticas o el análisis de actualizaciones de seguridad, así se justificaba el dinero invertido (me parece muy bien, por cierto). Y comenzaron a crear productos como el Security Center, usando como base el escáner que ya tenían.

Ahora cambian el modelo de licencias, dejando sólo dos: el Direct feed de pago, y uno nuevo llamado Home feed. Este último es para usuarios domésticos que deseen probar el escáner, tiene todos los plugins inmediatamente, pero no puede ser usado con fines comerciales. De hecho, la FAQ que han colgado es para decirte eso, de 19 formas diferentes. Alguna medida habrán puesto para evitar que les timen, digo yo, porque si no es así, estarán en las mismas que con el Registered feed. Y es que todos querrán ahorrar 1200$, si es que pueden.

Voy a poner el tag "proyectos libres" en esta entrada, aunque puede que ya no sea del todo adecuada...

Actualización 19/09/08: el enlace para Simpleness estaba mal. Actualizo con la nueva dirección.

3 comentarios:

Anónimo dijo...

Me encanta el articulo, aunque me pierda un poco... dudas acerca de interfaces y malwares. ;)

Anónimo dijo...

En mi universidad hemos dejado de usar el feed de nessus y hemos empezado a usar alternativas libres. E incluso podemos seguir usando OpenVAS en vez de nessus, que les den morcilla. Podeis ver algunos feeds que funcionan bastante bien en http://www.alienvault.com/free_feed_for_nessus.php y http://www.secpod.org/

des dijo...

@anonimo 2: gracias por los enlaces :)