Llegamos a ustedes gracias a:



Noticias

Desarrollan herramienta para descartar las llaves de código permanente

De los proyectos de software

[12/01/2017] Un investigador de seguridad ha desarrollado una herramienta que puede detectar automáticamente las claves de acceso confidenciales que tienen un código permanente dentro de los proyectos de software.

La herramienta Truffle Hog fue creada por el investigador estadounidense Dylan Ayrey y está escrita en Python. Ésta busca llaves de acceso con código permanente a través del escaneo profundo de los repositorios de código git en busca de cadenas que tengan 20 caracteres o más, y que tengan una gran entropía. Una entropía Shannon alta -llamada así por el matemático estadounidense Claude E. Shannon- sugeriría un nivel de aleatoriedad que la hace un candidato a ser un secreto criptográfico, como un token de acceso.

Los tokens de acceso de código permanente para varios servicios en los proyectos de software son considerados un riesgo a la seguridad, ya que esos tokens pueden ser extraídos sin mucho esfuerzo por parte de los hackers. Desafortunadamente, esta práctica es muy común.

En el 2014, un investigador encontró que casi 10 mil llaves de acceso de Amazon Web Services y Elastic Compute Cloud fueron dejadas por los desarrolladores dentro de código de acceso público en GitHub. Amazon desde entonces ha comenzado a escanear GitHub para buscar esas llaves y revocarlas.

El año pasado investigadores de Detectify encontraron 1.500 tokens de Slack de código permanente creadas por los desarrolladores dentro de los proyectos de GitHub, muchos de los cuales proveían acceso a chats, archivos, mensajes privados y otros datos confidenciales compartidos dentro de los equipos de Slack.

En el 2015, un estudio realizado por investigadores de la Universidad Técnica y el Instituto Fraunhofer para la Tecnología de la Información Segura de Darmstadt, Alemania, descubrieron más de mil credenciales de acceso para marcos de Backend como servicio (BaaS, por sus siglas en inglés) almacenados dentro de aplicaciones Android y iOS. Estas credenciales desbloqueaban el acceso a más de 18,5 millones de registros que contenían 56 millones de ítems de datos almacenados en proveedores de BaaS como Parse -de propiedad de Facebook-, CloudMine o Amazon Web Services.

Truffle Hog penetra profundamente dentro del historial y las ramificaciones de un proyecto. Evalúa la entropía Shannon para los conjuntos de caracteres base64 y hexadecimales de cada grupo de texto mayor a los 20 caracteres, afirmó Ayrey en la descripción del proyecto.

La herramienta se encuentra disponible en GitHub y requiere la biblioteca GitPython para ejecutarse. Las compañías y los desarrolladores independientes pueden usarla para escanear sus propios proyectos de software antes de que los hackers lo hagan.