Виявлення жорстких кодованих клавіш шифрування в таких програмах, як DeepSeek, передбачає поєднання ручного огляду та автоматизованих інструментів. Ось детальний підхід до виявлення таких вразливих місць:
Посібник
1. Огляд коду: Розробники повинні регулярно переглядати свою базу коду на будь -які жорсткі кодовані значення, особливо під час фази налагодження. Сюди входить огляд коментарів коду та документацію на конфіденційну інформацію, яка могла бути залишена на базі коду.
2. Огляди експертів: впровадження експертних оглядів може допомогти зловити тверді секрети на початку циклу розробки. Цей процес передбачає, що інші розробники перевіряють код на наявність потенційних ризиків безпеки.
Автоматизоване виявлення
1. Інструменти аналізу статичного коду: Використовуйте такі інструменти, як швидке сканування Black Duck, що може проаналізувати вихідний код для вбудованих секретів та конфіденційної інформації. Ці інструменти можуть автоматично виявляти тверді секрети в різних типах та форматах файлів.
2. Інструменти бінарного аналізу: такі інструменти, як бінарний аналіз Black Duck (BDBA), можуть сканувати остаточні продукти доставки або вміст контейнерів, щоб знайти секрети у бінарних та архівах. Це особливо корисно для виявлення жорстких кодованих клавіш у складених програмах.
3. Інструменти з відкритим кодом: Використовуйте такі інструменти, як Frida для динамічних приладів та аналізу функцій додатків під час виконання. Фріда може бути використана для підключення до криптовалют і перевірити, чи є клавіші шифрування жорстко кодовані.
4. Таємні сканери: Використовуйте такі інструменти, як Trufflehog, для сканування кодових баз для твердих секретів. Ці інструменти розроблені для визначення моделей, які відповідають загальним секретним типам, такими як клавіші API або клавіші шифрування.
конкретні методи для DeepSeek
Враховуючи специфічні вразливості, виявлені в DeepSeek, такі як використання небезпечних симетричних алгоритмів шифрування (3DES) та жорстко кодованих клавіш, можна застосувати наступні методи:
- Зворотна інженерія: Використовуйте такі інструменти, як RADARE2 для зворотного інженерії програми та ідентифікуйте параметри шифрування, включаючи жорсткі клавіші та вектори ініціалізації.
- Динамічний аналіз: використовуйте FRIDA, щоб підключити функції шифрування додатків та перевірити наявність жорстких кодованих клавіш. Це передбачає відстеження дзвінків CCCRYPT, щоб визначити, які дані зашифровані та розшифровані.
Поєднуючи ці методи, розробники та дослідники безпеки можуть ефективно виявити жорсткі клавіші шифрування в таких додатках, як DeepSeek, забезпечуючи кращі практики безпеки та захист даних користувачів.
Цитати:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepek--training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-noone-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepeek-aip-aapp-27486