ارائه  Truffle Hog برای حذف کلید‌های Hard-Code

0
112
Truffle Hog

اخیرا ابزاری تحت عنوان Truffle Hog منتشر شده است که‌ Token‌های دسترسی و کلید‌های دارای ۲۰ کاراکتر یا بیشتر را در آرشیو کد‌های منبع شناسایی می‌نماید. این ابزار توسط یکی از محققان امنیتی ارائه شده است که می‌تواند کلیدهای دارای‌ دسترسی حساس و Hard-Codeشده در پرو‌ژه‌های نرم‌افزاری را به طور خودکار شناسایی نماید.

Truffle Hog، توسط یک محقق آمریکایی تدوین و به زبان Python نوشته شده است. این ابزار کلید‌های دسترسی Hard-Code شده را از طریق اسکن دقیق Git Code Repository برای رشته‌هایی جستجو می‌نماید که دارای ۲۰ کاراکتر یا بیشتر بوده و از آنتروپی بالایی برخوردار می‌باشند. آنتروپیِ شانون که نام خود را از ریاضی‌دان آمریکایی Claude E. Shannon گرفته است به ارائه سطح بالایی از تصادفی بودن کلید‌ها می‌پردازد که آن را به گزینه‌ای مناسب برای مواردی همچون رمز‌گذاری از طریق کلید‌های دسترسی تبدیل می‌کند.

کلید‌های دسترسی Hard-Code شده برای سرویس‌های مختلف در پروژه‌های نرم‌افزاری به عنوان ریسک امنیتی در نظر گرفته می‌شوند چرا که ممکن است به راحتی از سوی هکرها استخراج شده و جای تاسف دارد که استفاده از این روند بسیار متداول می‌باشد.

یکی از محققان در سال ۲۰۱۴ توانست حدود ۱۰.۰۰۰ کلید دسترسی برای Amazon Web Service و Elastic Compute Cloud شناسایی نماید که این کلید‌ها توسط Developerها به صورت عمومی و در GitHub قرار داده شده است. از همان زمان، فرآیند اسکن نمودن Github برای این کلیدها و حذف آنها توسط Amazon آغاز گردیده است.

سال گذشته محققان امنیتیِ Detectify نیز توانستند ۱۵۰۰ مورد Slack Token را شناسایی کنند که توسط ارائه دهندگان در پروژه‌های GitHub به صورت Hard-Code درآمده بودند، ضمن اینکه بسیاری از آنها امکان دسترسی به چت‌ها، فایل‌ها، پیام‌های شخصی و دیگر داده‌های حساس و اشتراک‌گذاری شده در تیم‌های Slack را فراهم می‌کردند.

در سال ۲۰۱۵، مطالعه‌ای توسط محققان آلمانی در زمینه‌ی تکنولوژیِ امنیت اطلاعات انجام شد که طی آن بیش از ۱۰۰۰ گونه از اطلاعات اعتباری برای دسترسی به چارچوب‌های (Backend-as-a-Service (BaaS شناسایی گردید که در برنامه‌های کاربردی Android و iOS ذخیره شده بودند. با استفاده از این اطلاعات اعتباری، دسترسی به بیش از۱۸.۵ میلیون رکورد برای مهاجمان فراهم گردید که شامل ۵۶ میلیون آیتم از داده‌های ذخیره شده در BaaS Provider از قبیل Facebook-owned Parse، CloudMine یا Amazon Web Services بوده است.

Ayrey در توضیح این پروژه عنوان کرد: Truffle Hog به صورت دقیق تمام سوابق پروژه را بررسی می‌نماید. این ابزار، آنتروپی شانون را برای هرمجموعه از کاراکترهای Base64 و Hexadecimal برای متون دارای بیش از ۲۰ کاراکتر را ارزیابی خواهد نمود.

این ابزار در GitHub قابل دسترس بوده و برای اجرا به GitPython Library نیاز دارد. سازمان‌ها و توسعه‌دهندگان مستقل می‌توانند از این ابزار برای اسکن پروژه‌های نرم افزاری خود استفاده کنند پیش از آنکه هکر‌ها بتوانند به این عمل مبادرت ورزند.

بدون دیدگاه

دیدگاهتان را بنویسید

*