مؤخرا، قام فريق من جامعة ولاية نورث كارولينا (NCSU) من مجتمع المطورين الرائدة في العالم التي أجريت جيثب دراسة متعمقة، والباحثين الحصول عليها وتحليلها نيابة عن 681784 مصدر برنامج 4394476 ملفات في استخدام جيثب البحث API، وكذلك بعد ممثلي سجلات الاستعلام الشامل جوجل في قاعدة بيانات 3374973 مكتبة رمز 2312763353 ملف إضافية، ظهرت نتائج مذهلة، والتي، وجد الباحثون 575456 مفاتيح API والتشفير، منها 201642 هي فريدة من نوعها، وجميع هذه مفتاح توزع في أكثر من 100000 مشروع جيثب، واستخدام API Google بحث للعثور على مفتاح ومفتاح جوجل الاستعلام الشامل مجموعة البيانات الموجودة تقريبا أي تداخل.
في نهاية المطاف، وقال الفريق، API، وتتم إزالة مفتاح التشفير في تتبع لها 6 في غضون ساعة واحدة بعد تسرب، أكثر من 12 اليوم بعد حذف المفتاح، في حين أن 19 من التعرض الرئيسي لمدة 16 يوما.
الكاتب | أدريان كولير
المترجم | الغضروف المفصلي
ذبيان | تو مين
أنتجت | CSDN (ID: CSDNnews)
وفيما يلي ترجمة:
جامعة ولاية نورث كارولينا (NCSU) فريق نشر ورقة "كيف سيئة يمكن أن الجهاز الهضمي؟ تميز التسرب السري في مستودعات جيثب العامة"
- https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf
هل يمكن القول ان هذا ليس شيئا جديدا. ونحن نعلم أن المطورين لا ينبغي أن يقدم على المفتاح، ونحن نعلم أيضا أن مفتاح تسرب على جيثب سيتم قريبا اكتشف والاستفادة منها. ومع ذلك، قامت هذه الصحيفة إلى مزيد من الدراسات، فمن الممكن لتقديم بعض المعلومات العملية جدا بالنسبة لنا.
"...... لاحظنا فقط حالة حدوث تسرب، ولكن أيضا على تسرب تحليل طولية المحافظ، وتحليل الأسباب الجذرية والقيود المفروضة على تدابير التخفيف الحالية".
في رأيي، فإن أفضل وقت لتجنب مفتاح المقدمة قبل تقديمها. موصوفة استخدام هذه الورقة في الملحق قبل ارتكاب ربط التعبير العادية جيت هو وسيلة جيدة للغاية. TruffleHog (https://github.com/dxa4481/truffleHog) على استخدام ما قبل ارتكاب طريقة ربط، ولكن عندما ورقة مكتوبة، TruffleHog آلية الكشف عن مفتاح (الكشف فقط 25-29) وأقل بكثير على نتائج هذه الورقة (قسم VII.D). يمكنك أيضا البحث عن المفتاح لمنع تقديم AWS تطوير أسرار الجهاز الهضمي (https://github.com/awslabs/git-secrets)، يمكنك تشغيل التعابير العادية مختلفة مع الممتدة على أساس هذه الأداة على. من أجل أن تكون مضمونة، ويمكنك أن تنظر أيضا التكامل مع جيثب، أن أذكركم عندما تسربت المفتاح، حتى تتمكن من إلغاء فورا المفتاح.
دعونا لفترة وجيزة يعرض محتويات الرئيسية لهذه الورقة:
مقدمة
- يمكن بسهولة الكشف عن استخدام جيثب API في الوقت الحقيقي مفتاح تسرب باستخدام مفتاح API حتى في التطبيقات فقط، والحد معدل التخلف عن السداد، ولكن أيضا لتحقيق نتائج جيدة. الطريقة الموضحة في هذه الورقة لتحقيق تغطية 99 من الملف الهدف.
- حتى لو نحن ذوي النوايا الحسنة، ولكن لا يزال هناك العديد تسربت مفتاح (تسربت يوميا متوسط رئيسيا 1793).
- من خلال البحث الطريقة الموضحة في ورقة، وتسربت إلى العثور على طول المفتاح على جيثب لأكثر من نصف ثانية إلى 4 دقائق، مع متوسط قدره 20 ثانية. وهذا هو، فإن غمضة عين تكون قادرة على العثور عليها، وهكذا تجد نفسك عن طريق الخطأ ارتكب بالفعل في وقت متأخر عندما المفتاح.
- مفاتيح للخطر في يظهر رئيسية لتكون حساسة جدا لحساب نسبة عالية (89)، مما يعني أن هذه ليست هي المفتاح للاختبار.
- حالة استخدام أساليب المصادقة متعددة (مثل جوجل ID أوث)، وإذا كان أحد مفتاح مفتاح للخطر، والآخر سيكون احتمال حدوث تسرب ما يصل إلى 80.
- سيتم تخزين العديد من مفتاح تسربت لفترة طويلة (لا يزال 81 لا تزال 16 يوما) رمز على جيثب مستودع.
- حتى إعادة كتابة التاريخ لا يمكن إخفاء المفتاح في تسوية الرئيسيين. (تحتاج إلى الإلغاء الفوري المفتاح، فمن الواضح، أليس كذلك؟)
إذا لم يكن هناك حماية، تتم بسهولة الأخطاء البشرية. (وهذا هو، إذا عملية الخاص بك هو الكمال، لا ألوم مطوري!).
"بياناتنا تظهر أن المسؤولية الرئيسية حتى مهمة من المطورين ذوي الخبرة ومن المرجح أن تسرب. على سبيل المثال، وهو موقع كبير للاستخدام عند تطبيق لطلاب الجامعات في الولايات المتحدة الأمريكية الملايين من الاستخدامات أوس شهادة، ومع ذلك، وجدنا أن هذه الشهادة مفتاح يمكن استخدامها من قبل موظف تسربت. وجدنا أيضا أن وكالات حكومية رئيسية في أوروبا الغربية الموقع يستخدم أيضا شهادة AWS ...... "
كيفية اكتشاف المفتاح في جيثب
هناك اثنين على الأقل من مصادر جيدة جدا من المعلومات التي يمكن أن تستخدم لكشف المفتاح: جيثب البحث API جيثب ومجموعة البيانات المشتركة صيانة جوجل الاستعلام الشامل. الخطوة الأولى في عملية الكشف هو عبارة عن مجموعة مصممة تصميما جيدا من مصطلحات البحث، قد يحتوي على ملف المرشح الاستعلام المفتاح:
بعد الحصول على مجموعة من الملفات المرشحة، والشيء التالي الذي تحتاجه هو مجموعة من المفاتيح هو شكل شعبية التعبير. درس الكتاب الكثير من النظم شعبية وهياكل الخدمات الأساسية، وجدت النتائج هو مبين في الشكل التالي. وتبين أن الورقة المقدمة في التذييل التالية التعبير العادي دقيقة جدا عندما تبحث عن المفتاح. على سبيل المثال:
بعد ذلك، يمكنك استخدام ملف هؤلاء المرشحين المسح التعبير المنتظم للمرحلة الأولى التي تم الحصول عليها، من المرجح أن تكون جميع المباريات "مفتاح مرشح". ثم، من خلال مجموعة من المرشحات للفحص مفاتيح مرشح. على سبيل المثال، وضع رئيسي "AKIAXXXEXAMPLEKEYXXX" من المرجح أن تستخدم في الاختبار، وسوف تتم تصفيته على مفتاح الخروج في هذه المرحلة. مرت مجموعة رئيسية من هذه المرشحات، وهذا هو تسربت المفتاح الحقيقي. مؤلف ورقة تحقق مجموعة عينة عشوائية من مفاتيح يدويا، تم العثور على المفتاح لهذه العملية في ما يقدر بنحو 89.1 ينتمي حقا إلى المعلومات الحساسة.
البحث جيثب
جيثب البحث API لديها معدل الحد. ولكن فقط تحتاج إلى استخدام مفتاح API، ثم قم بتشغيل كل 30 دقيقة لاستكمال جميع الاستفسارات استخدامها للعثور على ملف المرشح. وقد وجد الباحثون أن هذا التردد هو كاف لتجد أن 99 من الملفات قد تحتوي على المفاتيح، وليس هناك حد المعدل.
"هذه النتيجة تشير إلى أن مستخدم في الحد معدل API جيثب، ويمكن تشغيل استعلام البحث حساسة من الناحية القانونية، لذلك ما يقرب من الكمال للعثور على جميع الوثائق المقدمة إلى جيثب بالطبع، هناك دافعا قويا للمهاجمين يمكن الحصول على أكثر من مفتاح API، وتحقيق التغطية الكاملة ".
في تجربة أخرى، والكتاب عمدا "مفتاح" دفع إلى رمز قاعدة معروفة، وAPI الاستعلام المستمر، حتى يظهر السلسلة. تم إجراء التجربة لمدة 24 ساعة على تردد مرة في الدقيقة الواحدة.
"لقد وجدنا أن طول المفتاح هو العثور على النصف الثاني إلى 4 دقائق، مع متوسط قدره 20 ثانية، مع عدم وجود فترات طويلة المتضررة. الأهم من ذلك، هذه التجربة تبين أن بحثنا طريقة مفتاح API يمكن العثور على الفور تقريبا، هذا هو تقريبا في الوقت الحقيقي للعثور على مفتاح ".
جيثب البحث API بحث كافة الملفات من 31 أكتوبر 2017 إلى 20 أبريل 2018 من. وخلال هذه الفترة المرشح جمع 4.4 مليون الوثائق، وجدت 400،000 من 307،000 ملف المفتاح. ووجد البحث اليوم متوسط مفتاح جديد ل1793.
مجموعة بيانات Google الاستعلام الشامل
تحتفظ شركة Google كود المستودع العام مجموعة البيانات جيثب الاستعلام الشامل بموجب ترخيص. واضعو هذه مجموعة البيانات هي في 4 أبريل 2018 للاستفسار، وعندما فحصها 3.3 مليون في مستودع كود 2.3 مليار الملفات، وجدت ما مجموعه 73799 سلسلة مفتاح فريدة من نوعها.
فعالية فلتر
مجموعة البيانات تستخدم فلتر لتصفية من فعالية ايجابيات كاذبة ثلاثة:
- يمكن تصفية الكون تصفية مفاتيح الكون منخفضة جدا.
- يمكن تصفية كلمة تصفية ويتألف الرئيسية طول كلمة مشتركة لا تقل عن 5.
- يمكن تصفية وضع تصفية تكرار الأحرف (على سبيل المثال "AAAA ')، تصاعدي حرف (" ABCD ") وتنازلي حرف (' DBCA ').
هذه تشير إلى أن ما لا يقل عن التصفية، الكشف عن التعبير العادي سوى جزء صغير من والمفتاح هو مفتاح كاذبة. سلسلة يطابق التعبير العادي في 99.29 مرت من خلال مرشح. إذا كانت وظيفتك تحتاج أيضا لتنفيذ مثل هذا المرشح، يمكنك استخدام "كل مفاتيح مزورة تحتوي على كلمة مثال مثل" تنفيذ أبسط.
ما نوع الفريق اكتشف المفتاح؟
وقد وجدت كل نوع رئيسي من الفريق المقترح تسربت مفتاح! ويبين الجدول التالي سوى جزء، ولكن تسرب الأكثر شيوعا هو المفتاح للحصول على مفتاح API جوجل.
أعتقد أن احتمال حدوث تسرب أن كل نوع رئيسي متشابهة، وبالتالي يبين الجدول أعلاه أن رمز انتشار مستودع جيثب API مختلفة.
إعادة كتابة التاريخ
"من الواضح ان الناس تقديم رمز لفي الوقت الحقيقي رصد التسوية الرئيسي يمكن العثور على الفور، حتى لو كان ببساطة يتم حذف مفتاح تسربت كما يمكن القبض عليه. ومع ذلك، وفقا لالنتائج التي توصلنا إليها، حتى لو قدمت إلى إعادة كتابة التاريخ، لا يزال المفتاح ويمكن استعادة ...... وجدنا أن الحاجة الوحيدة لاستخدام ارتكاب ID SHA-1 يمكن استعادة كل العناصر المحذوفة المقدمة من جيثب في ".
يمكنك بسهولة استعادة قيمة التجزئة التي قدمها API الأحداث. البيانات التاريخية متاحة أيضا من خلال مشروع GitTorrent API.
ملخص
"يظهر هذا العمل الذي سطا رئيسي على منصة مستودع كود العام هو مشكلة خطيرة، لم يتم حل هذه المشكلة والمطورين وخدمة التعرض لخطر التسرب وسوء المعاملة."
من بيتا جيثب عربون ميزة المسح الضوئي، والتي يمكنك أن تجد رمزية من مجموعة محدودة من مقدمي الخدمات، وإخطار العام المقدم إلى رمز مزود مستودع (وليس أنت) في المفتاح.
الأصل: الشبكي: //blog.acolyer.org/2019/04/08/how-bad-can-it-git-characterizing-secret-leakage-in-public-github-repositories/
هذه المقالة CSDN الترجمة، يرجى الإشارة إلى المصدر من المصدر.
