اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

ارائه  Truffle Hog برای حذف کلید‌های Hard-Code

اخیرا ابزاری تحت عنوان Truffle Hog منتشر شده است که‌ Token‌های دسترسی و کلید‌های دارای 20 کاراکتر یا بیشتر را در آرشیو کد‌های منبع شناسایی می‌نماید. این ابزار توسط یکی از محققان امنیتی ارائه شده است که می‌تواند کلیدهای دارای‌ دسترسی حساس و Hard-Codeشده در پرو‌ژه‌های نرم‌افزاری را به طور خودکار شناسایی نماید.

Truffle Hog، توسط یک محقق آمریکایی تدوین و به زبان Python نوشته شده است. این ابزار کلید‌های دسترسی Hard-Code شده را از طریق اسکن دقیق Git Code Repository برای رشته‌هایی جستجو می‌نماید که دارای 20 کاراکتر یا بیشتر بوده و از آنتروپی بالایی برخوردار می‌باشند. آنتروپیِ شانون که نام خود را از ریاضی‌دان آمریکایی Claude E. Shannon گرفته است به ارائه سطح بالایی از تصادفی بودن کلید‌ها می‌پردازد که آن را به گزینه‌ای مناسب برای مواردی همچون رمز‌گذاری از طریق کلید‌های دسترسی تبدیل می‌کند.

کلید‌های دسترسی Hard-Code شده برای سرویس‌های مختلف در پروژه‌های نرم‌افزاری به عنوان ریسک امنیتی در نظر گرفته می‌شوند چرا که ممکن است به راحتی از سوی هکرها استخراج شده و جای تاسف دارد که استفاده از این روند بسیار متداول می‌باشد.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


یکی از محققان در سال 2014 توانست حدود 10.000 کلید دسترسی برای Amazon Web Service و Elastic Compute Cloud شناسایی نماید که این کلید‌ها توسط Developerها به صورت عمومی و در GitHub قرار داده شده است. از همان زمان، فرآیند اسکن نمودن Github برای این کلیدها و حذف آنها توسط Amazon آغاز گردیده است.

سال گذشته محققان امنیتیِ Detectify نیز توانستند 1500 مورد Slack Token را شناسایی کنند که توسط ارائه دهندگان در پروژه‌های GitHub به صورت Hard-Code درآمده بودند، ضمن اینکه بسیاری از آنها امکان دسترسی به چت‌ها، فایل‌ها، پیام‌های شخصی و دیگر داده‌های حساس و اشتراک‌گذاری شده در تیم‌های Slack را فراهم می‌کردند.

در سال 2015، مطالعه‌ای توسط محققان آلمانی در زمینه‌ی تکنولوژیِ امنیت اطلاعات انجام شد که طی آن بیش از 1000 گونه از اطلاعات اعتباری برای دسترسی به چارچوب‌های (Backend-as-a-Service (BaaS شناسایی گردید که در برنامه‌های کاربردی Android و iOS ذخیره شده بودند. با استفاده از این اطلاعات اعتباری، دسترسی به بیش از18.5 میلیون رکورد برای مهاجمان فراهم گردید که شامل 56 میلیون آیتم از داده‌های ذخیره شده در BaaS Provider از قبیل Facebook-owned Parse، CloudMine یا Amazon Web Services بوده است.

Ayrey در توضیح این پروژه عنوان کرد: Truffle Hog به صورت دقیق تمام سوابق پروژه را بررسی می‌نماید. این ابزار، آنتروپی شانون را برای هرمجموعه از کاراکترهای Base64 و Hexadecimal برای متون دارای بیش از 20 کاراکتر را ارزیابی خواهد نمود.

این ابزار در GitHub قابل دسترس بوده و برای اجرا به GitPython Library نیاز دارد. سازمان‌ها و توسعه‌دهندگان مستقل می‌توانند از این ابزار برای اسکن پروژه‌های نرم افزاری خود استفاده کنند پیش از آنکه هکر‌ها بتوانند به این عمل مبادرت ورزند.

پکیج آموزشی VMware NSX شرکت APK