Bereits im April dieses Jahres wurde Version 3 des Repository-Security-Tools Trufflehog veröffentlicht. Zeit, einen eigenen Artikel über das bekannte Kali Tool zu verfassen.

Was ist Trufflehog

Leaked credentials oder secret keys sollten nicht in Github Repositorys zu finden sein, dennoch passiert dies öfters als gedacht. Genau hier setzt das Tool truffleHog3 an, es scannt Repositorys und mehr auf Geheimnisse wie Zugangsdaten, API Keys usw.

Das Security-Tool durchläuft dabei die gesamte Commit-Historie jedes Branches, prüft jedes diff von jedem commit und sucht nach Geheimnissen.

Möglich wird dies unter anderem durch die Verwendung von regulären Ausdrücken und Entropie.

Mit der Version 3 unterstützt truffleHog inzwischen mehr als 700 verschiedene Key Types von AWS, Azure, Confluent oder Facebook. Eine Übersicht der Detektoren ist hier zu finden.

Folgende Code Quellen werden momentan unterstützt:

• git
• github
• gitlab
• S3
• filesystem
• syslog

Installation

Die Trufflehog Installation erfordert eine funktionierende GO Installation. Alternativ kann auch auf Python Pip zurückgegriffen werden, allerdings wird via Pip momentan keine aktuelle Version angeboten. Für einen Test bietet sich die Docker Variante an.

#Aktuellste Version
git clone https://github.com/trufflesecurity/trufflehog.git
cd trufflehog
go install oder go build

#Via Python Pip (allerdings steht hier nur Version 3.0.x zur Verfügung)
pip3 install trufflehog3

#Die aktuellste Version via Docker Paket laufen lassen

docker run -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest github --org=trufflesecurity

Anwendungsbeispiele

#Hilfe
trufflehog --help

#github scan mit Optionen
trufflehog github --repo=https://github.com/trufflesecurity/trufflehog

trufflehog github --repo=https://github.com/trufflesecurity/trufflehog --json --only-verified

#AWS scan
trufflehog s3 --bucket=<bucket name> --only-verified

#Dateisystem
trufflehog filesystem --directory=/home/guenny/ansible/repository

Da die aktuellste Version momentan nur via Source/Docker zur Verfügung steht, können Gitlab, S3 und Co nur darüber gescannt werden

  git [<flags>] <uri>
    Find credentials in git repositories.

  github [<flags>]
    Find credentials in GitHub repositories.

  gitlab --token=TOKEN [<flags>]
    Find credentials in GitLab repositories.

  filesystem --directory=DIRECTORY
    Find credentials in a filesystem.

  s3 [<flags>]
    Find credentials in S3 buckets.

  syslog [<flags>]
    Scan syslog

Passwörter und andere Geheimnisse aus Git-Repositories entfernen

Was tun, wenn ein Passwort gefunden wurde?

Git Filter Branch bietet eine Möglichkeit, um dieses Problem zu beheben.

Beispielsweise:

git filter-branch --prune-empty --index-filter "git rm --cached -f --ignore-unmatch löschdatei" -- --all

Git Filter Branch ist ein sehr mächtiges Tool, daher verweist Github selbst auf den BFG Repo Cleaner und git filter-Repo

Mit ersterem lassen sich relativ einfach sensitive Dateien löschen oder ersetzen.

bfg --delete-files id_{dsa,rsa}  my-repo.git
bfg --replace-text passwords.txt  my-repo.git
git push --force

Wenn ein Passwort im letzten Commit vorhanden ist, würde übrigens auch amend ausreichen:

git commit --amend

Fazit

Vergessene Zugangsdaten in Repositorys schaffen unnötige Sicherheitslücken. Diese lassen sich mit TruffleHog einfach aufspüren. Das Tool unterstützt inzwischen weit mehr als nur Github. So lässt sich der gesamte Software Development Life Cycle/SDLC bei Bedarf überwachen.

Mit TruffleHog Enterprise bietet der Hersteller inzwischen eine GUI in der Cloud an, allerdings lässt er sich diese auch bezahlen. Für eine automatisierte Überwachung der eigenen Repositorys lassen sich alle Aufgaben via Kommandozeile erledigen.

Ähnliche Artikel

Security Tools: Trivy – Docker Container auf Sicherheitslücken durchsuchen

Nuclei - schneller Schwachstellen Scanner mit praktischen Vorlagen

Security: GVM 21.04 - mit Docker in 15 Minuten zum OpenVAS Schwachstellen Scanner

Nach dem Hipster Logo Generator (Artikel) wird es Zeit für noch mehr Retro. Wie geht das? Ganz einfach mit dem C64 Logo Generator.

Der Generator macht Nichts Anderes, als verschiedene Retro Schriftarten (insgesamt 58 Stück) zur Verfügung zu stellen, welche sich in ein Logo einbinden und herunterladen lassen. Fertig ist das C64 Logo:

Hier gehts zum eigenen Logo

Quelle

PS: Für Stranger Things gibt es ebenfalls einen Generator, allerdings ist der nur halb so flexibel und kein OpenSource (Hier lang)

Sticker, landläufig auch als Aufkleber bekannt, sind allgegenwärtig, sei es an der Laterne um die Ecke oder auf dem Heck des Nachbarautos.

Es wird also höchste Zeit diesen Trend in die digitale Welt zu portieren.

Sticker.js hat hierfür einen Ansatz und stellt die typischen Aufklebereigenschaften als JavaScript Bibliothek zur Verfügung. Ganz ohne Abhängigkeiten und unter MIT Lizenz.

Sollte eine Stickervorlage vorhanden sein, erfolgt die Einbindung durch einen einfachen Aufruf innerhalb einer DIV Klasse. Größe und Hintergrund werden via CSS realisiert.

Somit hat der Anwender nach wenigen Arbeitsschritten einen "bedienbaren" Sticker auf der Webseite. Hört sich etwas komisch an, ist aber so.

Der Leser fragt sich sicherlich, wo die Einsatzgebiete so eines Stickereffekts sein könnten?

Ich denke in den Weiten des Internets lassen sich sicherlich Nerd,- Geek, - oder Hipsterseiten finden, die genau diesen Effekt seit Langem suchen.

Schönen Sonntag :)

Es muss nicht immer Atom sein. Adobe vertreibt einen Code Editor, der ähnliche Funktionen wie der kürzlich vorgestellte Editor von Github bietet.

Brackets nennt sich das gute Stück, welches ebenso wie die Konkurrenz auf Node.js. basiert. Der ebenfalls unter OpenSource Lizenz stehende Code Editor bietet neben Plugins und Themes eine Live Vorschau an. In der jetzigen Entwicklungsphase funktioniert diese allerdings nur mit Google Chrome.

Da der Editor aus dem Hause Adobe stammt, kann er PSD Dateien einlesen und in CSS ausgeben. 

Für Webdesigner und Menschen, welche viel mit HTML, CSS und JavaScript arbeiten, ist Brackets sicherlich ein gute Wahl. Momentan ist Brackets in Version 1.3 verfügbar. 

Installation von Brackets unter Ubuntu 14.04

Zunächst fällt die Auswahl auf die Systemarchitektur, 32 oder 64bit

wget https://github.com/adobe/brackets/releases/download/release-1.3/Brackets.Release.1.3.64-bit.deb

wget https://github.com/adobe/brackets/releases/download/release-1.3/Brackets.Release.1.3.32-bit.deb

sudo dpkg -i Brackets.Release.1.3.*

Phone Home in Brackets deaktivieren

Eines haben Brackets und Atom gemeinsam, sie telefonieren beide nach Hause, zwar anoym, aber sie tun es. Glücklicherweise lässt sich dies deaktivieren.

Hiezu muss unter "Hilfe/Statusbericht" der entsprechende Haken entfernt werden.

Happy coding.

Nachdem Github im letzten Jahr die erste Beta Version seines Code Editors für das 21 Jahrhundert vorgestellt hat, folgt nun die finale Version des Open Source Tools .

Atom basiert auch Chromium und Node.js und vereint laut eigenen Aussagen die Vorteile bekannter Editoren wie Sublime, Emacs, Vim oder TextMate.
Ob diese Angaben der Wahrheit entsprechen, kann ich zum jetzigen Zeitpunkt leider nicht sagen, da ich den Editor noch nicht in Verwendung habe.

Atom 1.0 Editor unter Ubuntu (14.04) installieren

Damit die finale Version 1.0 verwendet werden kann, muss sie zunächst installiert werden. Unter Ubuntu ein leichtes Unterfangen, da die nötigen Pakete schon zum Download zur Verfügung stehen.

wget https://github.com/atom/atom/releases/download/v1.0.0/atom-amd64.deb
dpkg -i atom-amd64.deb
atom

Alternativ kann der Editor auch über das  wepupd8team Repository installiert werden. Ich weiß allerdings nicht ob das zum jetzigen Zeitpunkt schon aktuell ist, wenn nicht sollte es nur ein Frage von Stunden sein.

sudo add-apt-repository ppa:webupd8team/atom
sudo apt-get update
sudo apt-get install atom

Solltet ihr Probleme mit der Tastatur haben, empfehle ich euch das "keyboard-localization" Package in den Preferences des Editors nach zu installieren.

[Update] - Phone Home deaktivieren

Leider läuft nach der Standardinstallation ein Paket, welches Daten an Google Analytics sendet, dieses sollte abgeschaltet werden. Zu finden ist es unter Packages "metrics".