Un canary token è una risorsa che viene monitorata per verificarne l’accesso o la manomissione: finte credenziali, chiavi API e file non utilizzati e inseriti in un sistema proprio per attirare l’attenzione degli hacker e scoprire quando agiscono. Un nuovo strumento di difesa contro i cyber criminali.
Sostanzialmente, ogni volta che qualcuno (presumibilmente un hacker dal momento che non servono a chi li adotta) li utilizza, i canary token attivano degli avvisi. Questo sistema richiama gli sfortunati canarini che rendevano note, smettendo di cantare, eventuali fughe di gas nelle vecchie miniere prima che gli operatori umani potessero risentirne.
I canary token possono inserire inseriti nei repository di codice, nelle pipeline CI/CD (integrazione continua e distribuzione continua), nei sistemi di gestione dei progetti o persino negli strumenti di messaggistica istantanea come Slack.
GitGuardian ha rilasciato una versione della tecnologia, ggcanary, come progetto open source su GitHub basato sulle credenziali di Amazon Web Services (AWS). I suoi autori hanno scelto di concentrarsi sulle credenziali AWS in quanto sono “uno dei segreti più ricercati dagli hacker”. Ritengono infatti che “se un hacker viola la vostra catena di strumenti di sviluppo software, la sua prima azione sarà quella di cercare i segreti e in particolare le credenziali AWS”.
“Il concetto di canary token è in parte simile a quello di honeypot (letteralmente: “barattolo del miele”), ossia un sistema usato come esca per i pirati. Di solito è computer o un sito che sembra contenere informazioni preziose, ma che in realtà è ben isolato e non ospita materiale critico e serve a monitorare eventuali attacchi.
Integrare un honeypot in una rete aziendale comporta però un notevole impegno e bisogna fare molta attenzione a proteggerlo bene, per evitare che gli hacker possano sfruttarlo come punto di ingresso. L’implementazione dei canary è invece più veloce e priva di rischi. Ci sono anche implementazioni proprietarie di questa tecnologia, come quella di Thinkst Canary”.
https://www.securityinfo.it/2022/08/03/rilevare-le-intrusioni-con-i-canary-token/