GitHub
En forsker har offentliggjort et redskab til at finde hemmelige nøgler med forskellige kryptografiske styrke i git-depoter.
Det værktøj, døbt TruffleHog, er i stand til at søge efter og finde nøgler, der indeholder høj entropi strenge ved at grave dybt ind begå historie og grene, ifølge udvikleren Dylan Ayrey.
TruffleHog ‘ s søgefunktioner gør det “effektiv til at finde hemmeligheder ved et uheld har begået, som indeholder høj entropi,” Ayrey siger, og værktøjet har brug for noget mere end GitPython til at arbejde.
Ayrey kommenteret:
“Dette modul vil gå gennem hele begå historie af hver gren, og kontrollér hvert enkelt diff fra hver commit, og vurdere Shannon entropi for både base64-tegnsæt og hexadecimal-tegnsæt for hvert blob af tekst, der er større end 20 tegn, der består af de tegnsæt, som i hvert diff.”
TruffleHog beregner entropien niveauer ved hjælp af en Shannon Entropi (.PDF) lommeregner. Entropi niveauer af nøgler er vigtigt, som det mere eller mindre nødvendige oplysninger til at bestemme ukendte centrale variabler, der kan ændre, hvor svært det er at knække.
Hvis en høj entropi streng er opdaget, den streng, der er udskrevet til skærmen.
Brugere af TruffleHog sagde i en Reddit diskussionsemne, at Amazon allerede bruger det værktøj, til forebyggende søg GitHub til Amazon Web Services (AWS) taster ved et uheld forbundet til offentlige arkiver, som forhindrer angribere i at snuppe nøglerne, spinning op langt AWS tilfælde og udtræden af ejere med regningen.
Mere sikkerhed nyheder
FTC filer retssag mod D-Link router og kamera sikkerhedshuller
$247,000 KillDisk ransomware kræver en formue, glemmer at låse filer
Denne ransomware-ordningen er rettet mod skoler, gymnasier og skoleledere, advarer politiet
Malware bruger denial-of-service-angreb i et forsøg på at gå ned Macs