GitLab紅隊發布敏感數據搜索工具Token-Hunter
GitLab發布敏感數據搜索工具Token-Hunter,是自家紅隊(Red Team)所開發的安全工具,讓用戶搜索不小心在公開論壇泄漏的敏感信息,這些敏感信息可能是跟隨日誌或是程序代碼片段,一起流出的API令牌、用戶賬號以及密碼等信息。
由於GitLab想調查那些用戶無意共享,但是意外泄露的敏感信息,會被以什麼樣的方式用在攻擊行動上,但是因為苦無可用的工具,於是GitLab的紅隊便自己打造了Token-Hunter。紅隊指得是組織為了要以敵對視角,改善自家服務或是安全性所成立的團隊,紅隊通常能夠有效地幫助組織克服偏見並增加解決問題的能力。
不少互聯網服務的企業,都以多種形式提供用於身份驗證的API令牌,讓用戶與其系統交互,這些令牌為封閉系統提供可配置的訪問控制,無論是開發、DevOps或是基礎設施相關人員,都依賴API令牌來完成工作。
而API令牌卻可能在不經意下泄漏,像是在共享環境中構建軟體,開發者常犯的錯誤便是提交API令牌到程序代碼存儲庫中,目前已經有常見的工具,諸如gitrob、TruffleHog、gitleaks,甚至是GitLab自家對的SAST項目,都可用來尋找這類在程序代碼中,無意泄露的敏感信息。
還有另一種可能泄漏敏感信息的渠道,便是在公共論壇例如GitLab Snippets、Issues與相關討論區,開發者在討論過程因共享日誌或配置文件,不小心泄漏API令牌、賬號與密碼等敏感數據,而更糟的情況,是這些信息可能被惡意使用。
Token-Hunter的目的便是要來解決這樣的問題,Token-Hunter會搜索GitLab Issues與相關的討論來尋找敏感數據,由於GitLab Issues與評論是開發者共享消息與解決問題的重要方法之一,開發者時常會發布日誌數據、配置文件或是複製粘貼程序代碼,以便與GitLab員工或是客戶討論,而這些數據有可能包含敏感數據。
Token-Hunter也會搜索GitLab Snippets尋找敏感數據,在GitLab Snippets中可以通過URL共享程序代碼片段與文本,方便在GitLab用戶間直接分享程序代碼,而這個功能最常被用來分享配置數據、JavaScript程序代碼、任何語言的范常式序代碼以及日誌數據,而這些數據都可能包含敏感信息。
另外,Token-Hunter接受HTTP代理伺服器參數,和自簽章憑證以解密TLS流量,GitLab紅隊用這個功能為自家安全運營團隊記錄流量模式樣本,幫助制定防禦政策。而且通過檢查工具產生的流量,也可以方便地用於應用程序調試。
官方提到,Token-Hunter與其他工具相比,主要的優點是能夠搜索可能共享敏感數據的討論區和常見頻道。GitLab仍持續改進這項工具,未來將調整輸出格式,使結果更容易使用,並加入即時搜索報告功能,讓即便是需要較長時間的搜索工作,用戶也能更快地看到結果。
