Facebook hat ein neues Tool unter einer Open-Source-Lizenz veröffentlicht, das es erlaubt, den Zustand eines Rechners per SQL abzufragen.
Unter dem Name "osquery" hat Facebook ein Programm unter einer freien Lizenz verfügbar gemacht , mit dem sich der Systemzustand eines Rechners per SQL abfragen lässt. Damit kann ein Rechner beispielsweise einfach in ein Monitoring-System integriert werden. Alternativ erlaubt eine SQL-Konsole interaktive Abfragen wie diese:
SELECT name, path, pid FROM processes WHERE on_disk = 0;
Damit zeigt "osquery" an, welche Prozesse laufen, von denen es kein Pendant mehr auf der Festplatte gibt - ein typisches Muster für Malware. Auch komplexe Abfragen wie SQL-Joins sind möglich, die beispielsweise Daten aus der Prozesstabelle und der Tabelle offener Ports kombinieren:
SELECT DISTINCT process.name, listening.port, listening.address, process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid;
Laut Facebook läuft das Tool auf Ubuntu, CentOS und OS X. Der Quellcode ist im Github-Repository von "osquery" zu finden, Dokumentation gibt es auf der osquery-Homepage .