Phát hiện các khóa mã hóa được mã hóa cứng trong các ứng dụng như DeepSeek liên quan đến sự kết hợp giữa kiểm tra thủ công và các công cụ tự động. Đây là một cách tiếp cận chi tiết để xác định các lỗ hổng như vậy:
Kiểm tra thủ công
1. Đánh giá mã: Các nhà phát triển nên thường xuyên xem xét cơ sở mã của họ cho bất kỳ giá trị được mã hóa cứng nào, đặc biệt là trong các giai đoạn gỡ lỗi. Điều này bao gồm kiểm tra các nhận xét mã và tài liệu về thông tin nhạy cảm có thể đã được để lại trong cơ sở mã.
2. Đánh giá ngang hàng: Thực hiện đánh giá ngang hàng có thể giúp bắt những bí mật được mã hóa cứng sớm trong chu kỳ phát triển. Quá trình này liên quan đến việc có các nhà phát triển khác kiểm tra mã cho các rủi ro bảo mật tiềm năng.
Phát hiện tự động
1. Các công cụ phân tích mã tĩnh: Sử dụng các công cụ như Black Duckâ s SAPIL STATIC, có thể phân tích mã nguồn cho các bí mật nhúng và thông tin nhạy cảm. Các công cụ này có thể tự động phát hiện các bí mật được mã hóa cứng trên các loại và định dạng tệp khác nhau.
2. Các công cụ phân tích nhị phân: Các công cụ như Phân tích nhị phân Black Duck (BDBA) có thể quét các sản phẩm vận chuyển cuối cùng hoặc nội dung container để tìm bí mật trong các nhị phân và lưu trữ. Điều này đặc biệt hữu ích để phát hiện các khóa mã hóa cứng trong các ứng dụng được biên dịch.
3. Các công cụ nguồn mở: Các công cụ tận dụng như Frida cho thiết bị động và phân tích các chức năng ứng dụng trong thời gian chạy. Frida có thể được sử dụng để nối vào các hàm tiền điện tử và xác minh xem các khóa mã hóa có được mã hóa cứng hay không.
4. Máy quét bí mật: Sử dụng các công cụ như TruffleHog để quét các cơ sở mã cho các bí mật được mã hóa cứng. Các công cụ này được thiết kế để xác định các mẫu phù hợp với các loại bí mật thông thường, chẳng hạn như khóa API hoặc khóa mã hóa.
Kỹ thuật cụ thể cho DeepSeek
Với các lỗ hổng cụ thể được xác định trong DeepSeek, chẳng hạn như việc sử dụng các thuật toán mã hóa đối xứng không an toàn (3DE) và các khóa mã hóa cứng, các kỹ thuật sau đây có thể được áp dụng:
- Kỹ thuật đảo ngược: Sử dụng các công cụ như radare2 để thiết kế đảo ngược ứng dụng và xác định các tham số mã hóa, bao gồm các khóa mã hóa và vectơ khởi tạo.
- Phân tích động: Sử dụng Frida để nối vào các hàm mã hóa của ứng dụng và xác minh sự hiện diện của các khóa được mã hóa cứng. Điều này liên quan đến việc truy tìm các cuộc gọi CCCRYPT để xác định dữ liệu nào đang được mã hóa và giải mã.
Bằng cách kết hợp các phương pháp này, các nhà phát triển và nhà nghiên cứu bảo mật có thể phát hiện hiệu quả các khóa mã hóa được mã hóa cứng trong các ứng dụng như DeepSeek, đảm bảo các hoạt động bảo mật tốt hơn và bảo vệ dữ liệu người dùng.
Trích dẫn:
.
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek-s-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
.
.
[8] https://blog.codacy.com/hard-coded-crets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486