Москва C

Shhgit поможет найти закрытые ключи и пароли от крипто-кошельков

Веб-приложение в режиме реального времени сканирует репозитории с открытым исходным кодом, такие как GitHub, в поисках чувствительной информации.

Массивные атаки на корпоративные базы данных, правительственные сети и широкое распространение вредоносного ПО, скрывающегося в Интернете, подчеркивает важность защиты цифровой личности пользователя. Напомню, что в результате самой крупной хакерской атаки этого года данные 106 миллионов пользователей попали в руки одного гнусного игрока.

Ранее в июле Пейдж Томпсон, предполагаемый хакер, был арестован за использование вредоносной версии приложения firewall, чтобы получить доступ к личной финансовой информации эмитентов кредитной карты Capital One. По иронии, однако, компания даже не поняла, что это был взлом, пока сам хакер не написал об этом в социальных сетях и информация не была загружена на GitHub.

Хотя нарушения безопасности также распространены среди крипто-бирж, взлом децентрализованной сети блокчейн, такой как Биткоин, слишком сложен, если не невозможен. Хакер должен будет иметь доступ к закрытым ключам каждого отдельно взятого адреса цифрового кошелька в сети. Это, вероятно, одна из причин, почему сеть Биткоин никогда не была взломана. Но что делать, если эти закрытые ключи доступны в стороннем источнике.

Программист и эксперт по безопасности представил новый инструмент Shhgit, который ищет конфиденциальную информацию, такую как закрытые ключи, на сервисах третьих лиц через репозитории с открытым исходным кодом, такие как GitHub, GitLab и BitBucket. Поиск информации, которая потенциально может представлять угрозу, на этих платформах не является чем-то новым, как мы видели в случае атаки на Capital One. Записи личных данных 106 миллионов клиентов могли легко попасть не в те руки.

Источник: https://darkport.co.uk/blog/ahh-shhgit!/

По словам Прайса, доступны тонны инструментов, таких как gitrob и truggleHog, которые могут быть использованы для поиска конфиденциальной и личной информации, случайно переданной на GitHub, но поскольку этот вид информации обычно проходит очистку в течение 24 часов, эти инструменты не слишком эффективны в реальной жизни.

Именно здесь может пригодиться Shhgit: вдохновленный gitrob, он сканирует все коды в репозиториях, таких как GitHub, в режиме реального времени, чтобы извлечь любую случайно выложенную конфиденциальную информацию, прежде чем какой-то гнусный игрок получит к ней доступ. Программист утверждает, что Shhgit в состоянии проверить секретную информацию любого кода в течение 7 минут после инициации.

GitHub также использует свой собственный набор инструментов, сканируя секретные данные через свой проект по сканированию токенов. Цель та же – идентифицировать секретные токены в режиме реального времени и уведомить компанию об уязвимости, чтобы предотвратить любое злоупотребление. При сравнении скорости сканирования токенов в режиме реального времени Shhgit показал более быстрый результат, чем первый аналог.

С другой стороны, самим компаниям не помешало бы проявлять должную осмотрительность, чтобы в первую очередь предотвратить утечку секретной информации. Amazon AWS labs использует для этого инструмент git-secrets. Если по какой-либо причине он обходит систему безопасности, тогда инструмент сканирования токенов GitHub должен быть в состоянии перехватить утечку любой конфиденциальной информации и уведомить Amazon об отмене доступа.

Лучшее, что могут сделать компании, это надлежащее обучение стандартам безопасного кодирования, использование методов шифрования, использование автоматизированных инструментов для предотвращения передачи секретных данных и задавать правильные вопросы разработчикам третьих лиц, чтобы ничего не упустить.

Новости криптовалют
0
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.

0 комментариев

Ваше имя: *
Ваш e-mail: *