La dernière version de TruffleHog est arrivée avec la prise en charge de plus de 600 types de clés, renforçant la capacité de l’outil à rechercher les fuites d’informations d’identification.
Les informations d’identification divulguées, y compris les paires de clés secrètes, constituent un grave problème de cybersécurité. Les clés peuvent être utilisées de manière abusive pour compromettre les réseaux d’entreprise, souvent de manière plus secrète et pendant des périodes plus longues que l’exploitation des vulnérabilités des logiciels populaires.
Disponible sur GitHubTruffleHog est un outil de projet open source permettant de découvrir les clés divulguées via JavaScript ou des paramètres CORS trop permissifs dans les API.
Le système peut alerter les développeurs ou les chercheurs lorsque des sites Web ou des applications frontales divulguent accidentellement des clés. TruffleHog peut également être utilisé pour trouver les informations d’identification du référentiel .git exposées.
Le 4 avril, le co-fondateur de Truffle Security, Dylan Ayrey, a déclaré dans un article de blog que TruffleHog entre maintenant dans sa troisième phase avec de nombreuses améliorations, notamment la vérification et l’amélioration du volume des clés.
En décembre, Truffe Sécurité levé 14 millions de dollars dans un cycle d’investissement de série A. Ces fonds ont été utilisés pour améliorer le logiciel – et Ayrey dit que TruffleHog « est plus rapide, détecte 10 fois plus de secrets et valide automatiquement 100 % des secrets qu’il prend en charge avec des vérifications dynamiques ».
Le changement le plus significatif est une nouvelle étape de vérification. Les appels d’API peuvent désormais être effectués vers les fournisseurs qui fournissent des clés pour valider une clé nouvellement découverte. Les détecteurs secrets sont également contrôlés en amont pour augmenter les performances et la vitesse d’exécution de TruffleHog.
De plus, 639 types de clés sont désormais pris en charge, notamment AWS, Azure, Confluent, Facebook et GitHub.
« Nous ne connaissons pas d’autre moteur d’analyse de secrets qui prend en charge autant de types de clés, sans parler de la vérification, et du fait qu’ils sont tous maintenant open source », a commenté Ayrey.
L’histoire de TruffleHog a commencé en 2017. Ayrey a écrit le script pour trouver rapidement les clés d’API et les secrets divulgués dans le code source de Git, dans le but général de soumettre des primes de bogue.
Le code a été publié en tant que projet open source. Sa popularité a conduit Ayrey, aux côtés de Dustin Decker et Julian Dunning, à quitter leur emploi pour se concentrer à plein temps sur la sécurité de Truffle et les outils de fuite d’informations d’identification.
Truffle Security a depuis publié l’extension TruffleHog Chrome, aux côtés de Driftwood, un logiciel open source permettant de découvrir les clés privées et publiques divulguées, couplées.
« Je pense que la partie qui nous passionne le plus est la pièce de vérification », a déclaré Ayrey. La gorgée quotidienne.
« C’était tellement pénible d’essayer de déterminer si une clé est toujours active ou non, vous deviez lire la documentation du type de clé et comprendre comment la tester, puis vous pourriez trouver 20 clés inactives pour chaque une clé active que vous devriez essayer manuellement toutes les 20. Nous automatisons maintenant tout cela.