Kietais koduotų šifravimo klavišų aptikimas tokiose programose kaip „Deepseek“ apima rankinio patikrinimo ir automatinių įrankių derinį. Čia pateiktas išsamus požiūris į tokius pažeidžiamumus:
Rankinis patikrinimas
1. Kodo apžvalga: Kūrėjai turėtų reguliariai peržiūrėti savo kodo bazę, kad gautų kietų kodų vertes, ypač derinimo etapuose. Tai apima kodų komentarus ir neskelbtinos informacijos, kuri galėjo būti palikta kodų bazėje, patikrinimą.
2. Tarpusavio apžvalgos: Įgyvendinant tarpusavio apžvalgas, kūrimo ciklo pradžioje gali padėti sugauti kietas paslaptis. Šis procesas apima, kad kiti kūrėjai patikrina, ar nėra galimo saugumo rizikos.
Automatinis aptikimas
1. Statinės kodo analizės įrankiai: naudokite tokius įrankius kaip „Black Duck S Rapid Scan Static“, kurie gali išanalizuoti įterptųjų paslapčių ir neskelbtinų informacijos šaltinio kodą. Šie įrankiai gali automatiškai aptikti kietas koduotas paslaptis įvairiuose failų tipuose ir formatuose.
2. Dvejetainės analizės įrankiai: Tokios priemonės kaip „Black Duck Binary Analysis“ (BDBA) gali nuskaityti galutinius pristatymo produktus ar konteinerių turinį, kad rastų paslaptis dvejetainiuose fonuose ir archyvuose. Tai ypač naudinga nustatant kietų kodų klavišus sudarytose programose.
3. Atviro kodo įrankiai: Sverto įrankiai, tokie kaip „Frida“ dinaminiams prietaisams ir programų funkcijų analizei vykdymo metu. „Frida“ gali būti naudojama norint prisijungti prie kriptovaliutų funkcijų ir patikrinti, ar šifravimo klavišai yra kietai koduojami.
4. Slapti skaitytuvai: naudokite tokius įrankius kaip „TruffrulHog“, kad nuskaitytumėte kodo bazes, skirtas kietoms paslaptims. Šie įrankiai yra skirti nustatyti modelius, kurie atitinka įprastus slaptus tipus, tokius kaip API klavišai ar šifravimo raktai.
Konkrečios „Deepseeek“ metodai
Atsižvelgiant į specifinius „Deepseek“ nustatytus pažeidžiamumus, tokius kaip nesaugių simetrinių šifravimo algoritmų (3DES) ir kietai užkoduotų klavišų naudojimas, galima naudoti šiuos metodus:
- Atvirkštinė inžinerija: naudokite tokius įrankius kaip „RadARE2“, kad galėtumėte pakeisti programą ir identifikuoti šifravimo parametrus, įskaitant koditus raktus ir inicijavimo vektorius.
- Dinaminė analizė: panaudokite FRIDA, kad prisijungtumėte prie programos šifravimo funkcijų ir patikrinkite, ar yra kietai užkoduotų raktų. Tai apima CCCRypt skambučių sekimą, kad būtų galima nustatyti, kokie duomenys yra užšifruoti ir iššifruoti.
Derindami šiuos metodus, kūrėjai ir saugumo tyrinėtojai gali efektyviai aptikti kietai užkoduotus šifravimo raktus tokiose programose kaip „Deepseek“, užtikrindami geresnę saugumo praktiką ir apsaugokite vartotojų duomenis.
Citatos:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseee-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-bore-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseee-s-raining-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no -one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486