اخیرا ابزاری تحت عنوان Truffle Hog منتشر شده است که Tokenهای دسترسی و کلیدهای دارای 20 کاراکتر یا بیشتر را در آرشیو کدهای منبع شناسایی مینماید. این ابزار توسط یکی از محققان امنیتی ارائه شده است که میتواند کلیدهای دارای دسترسی حساس و Hard-Codeشده در پروژههای نرمافزاری را به طور خودکار شناسایی نماید.
Truffle Hog، توسط یک محقق آمریکایی تدوین و به زبان Python نوشته شده است. این ابزار کلیدهای دسترسی Hard-Code شده را از طریق اسکن دقیق Git Code Repository برای رشتههایی جستجو مینماید که دارای 20 کاراکتر یا بیشتر بوده و از آنتروپی بالایی برخوردار میباشند. آنتروپیِ شانون که نام خود را از ریاضیدان آمریکایی Claude E. Shannon گرفته است به ارائه سطح بالایی از تصادفی بودن کلیدها میپردازد که آن را به گزینهای مناسب برای مواردی همچون رمزگذاری از طریق کلیدهای دسترسی تبدیل میکند.
کلیدهای دسترسی Hard-Code شده برای سرویسهای مختلف در پروژههای نرمافزاری به عنوان ریسک امنیتی در نظر گرفته میشوند چرا که ممکن است به راحتی از سوی هکرها استخراج شده و جای تاسف دارد که استفاده از این روند بسیار متداول میباشد.
یکی از محققان در سال 2014 توانست حدود 10.000 کلید دسترسی برای Amazon Web Service و Elastic Compute Cloud شناسایی نماید که این کلیدها توسط Developerها به صورت عمومی و در GitHub قرار داده شده است. از همان زمان، فرآیند اسکن نمودن Github برای این کلیدها و حذف آنها توسط Amazon آغاز گردیده است.
سال گذشته محققان امنیتیِ Detectify نیز توانستند 1500 مورد Slack Token را شناسایی کنند که توسط ارائه دهندگان در پروژههای GitHub به صورت Hard-Code درآمده بودند، ضمن اینکه بسیاری از آنها امکان دسترسی به چتها، فایلها، پیامهای شخصی و دیگر دادههای حساس و اشتراکگذاری شده در تیمهای Slack را فراهم میکردند.
در سال 2015، مطالعهای توسط محققان آلمانی در زمینهی تکنولوژیِ امنیت اطلاعات انجام شد که طی آن بیش از 1000 گونه از اطلاعات اعتباری برای دسترسی به چارچوبهای (Backend-as-a-Service (BaaS شناسایی گردید که در برنامههای کاربردی Android و iOS ذخیره شده بودند. با استفاده از این اطلاعات اعتباری، دسترسی به بیش از18.5 میلیون رکورد برای مهاجمان فراهم گردید که شامل 56 میلیون آیتم از دادههای ذخیره شده در BaaS Provider از قبیل Facebook-owned Parse، CloudMine یا Amazon Web Services بوده است.
Ayrey در توضیح این پروژه عنوان کرد: Truffle Hog به صورت دقیق تمام سوابق پروژه را بررسی مینماید. این ابزار، آنتروپی شانون را برای هرمجموعه از کاراکترهای Base64 و Hexadecimal برای متون دارای بیش از 20 کاراکتر را ارزیابی خواهد نمود.
این ابزار در GitHub قابل دسترس بوده و برای اجرا به GitPython Library نیاز دارد. سازمانها و توسعهدهندگان مستقل میتوانند از این ابزار برای اسکن پروژههای نرم افزاری خود استفاده کنند پیش از آنکه هکرها بتوانند به این عمل مبادرت ورزند.
