2024-12-21 23:15 (토)
GitHub 비밀키를 찾아내는 툴 공개돼
상태바
GitHub 비밀키를 찾아내는 툴 공개돼
  • 페소아 기자
  • 승인 2017.01.11 19:47
이 기사를 공유합니다

Dylan Ayrey “TruffleHog이라는 도구 사용해 키를 검색해 찾아낼 수 있다”

git 저장소에서 다양한 암호 강도를 가진 비밀키를 찾아내는 툴이 공개됐다. 개발자인 Dylan Ayrey에 따르면 TruffleHog라고 불리는 이 도구는 커밋(commit) 이력 및 분기(branch)를 깊게 파고들어 높은 엔트로피의 문자열을 포함하는 키를 검색하고 찾아낼 수 있다고 밝혔다.

Ayrey는 TruffleHog의 검색 능력이 "높은 엔트로피를 지니는 커밋된 비밀키를 찾는데 효율적"이라고 말하며, GitPython만 준비되어 있으면 동작가능하다고 설명한다.

이 모듈은 각 분기(branch)의 전체 커밋 내역을 살펴보고, 각 커밋에서 각 diff를 확인하여 base64 문자셋과 16진수 문자셋에 대해 Shannon 엔트로피를 계산한다.

TruffleHog는 Shannon Entropy(.PDF) 계산기를 사용해 엔트로피 레벨을 계산한다. 키 값을 결정하는데 필요한 정보의 양에 따라 얼마나 크랙이 어려워지는지를 결정할 수 있기 때문이다. 높은 엔트로피 문자열이 감지되면 문자열이 화면에 인쇄된다.

TruffleHog 사용자들의 레딧 토론에서 아마존은 이미 이 툴을 사용해 아마존 웹서비스(AWS)를 위한 GitHub에서 공개 저장소에 연결된 키들이 드러나는지 검색해 공격자들이 키를 탈취하거나 AWS인스턴스를 보내는 등의 악성 행위를 미리 차단한 것으로 보인다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★