该工具将帮助安全专业人员找到受损的TLS键和与GitHub帐户绑定的敏感键
一种新的黑客工具,旨在发现可能有害的泄漏,配对的私钥和公共钥匙,已发布给开源社区。
该软件被称为“浮木”,由Truffle Security于11月8日发布。
浮木被描述为一种工具,可以让“安全专业人员立即知道在线存储库中确定的加密密钥是敏感密钥”。
升到顶部
多年来,收藏加密钥匙已经变得复杂,可以进行管理和组织。如果有些人最终泄漏,很难找出在哪里,如何以及他们的暴露会带来安全风险。
9月,网络安全公司释放了Trufflehog这是一种镀铬浏览器扩展程序,旨在查找意外进入JavaScript的软件即服务(SaaS)和云服务的API键。在测试过程中,发现了数十个私人加密键。
松露安全联合创始人迪伦·艾里(Dylan Ayrey漏水钥匙通过利用开放的公共钥匙分类帐。
该工具使用两个来源:Google的证书透明度项目是2018年以后创建的TLS证书的打开日志,以及GitHub SSH键,该键共同创建了数十亿键的数据库。
“因为github让您对其他用户查询这些SSH键,我们可以使用Driftwood快速弄清楚私钥是否恰好与GitHub用户配对。” Truffle Security说。
浮木在行动
在博客文章本周,Ayrey解释说,Driftwood能够采用不对称的私钥,提取公共密钥组件,然后将此键与TLS/SSH键数据库进行比较,以检查它是否与已知的敏感键配对。
在测试过程中,一个50,000人的样本揭示了“数十个私人GitHub用户SSH键,这些钥匙包含了数百个存储库,包括主要科技公司拥有的存储库,包括主要科技公司拥有的存储库。
此外,还发现了数百份与这些钥匙相匹配的证书(这些钥匙很活跃并且需要被吊销)。
样本中还出现了大约2,500个私钥,并加密对称加密键密码可以在70%的案件中猜测。
Truffle Security已努力妥协证书被撤销,并且在该工具的公开发布之前旋转了钥匙。
该公司的浮木工具可用在github上。将来将添加新的关键资源。
“修复的第一步漏洞知道他们。”艾尔告诉每日swbeplay2018官网ig。“如果人们今天犯下SSL键,就很难知道。该工具可帮助Infosec专业人员迅速找到这些漏洞,以便他们可以尽快撤销受影响的证书。”
你可能还喜欢GOCD错误链为供应链攻击提供了第二个跳板
