Das Tool "Tirith" erkennt unter anderem Homograph-Attacken, bei denen kyrillische oder griechische Zeichen lateinische Buchstaben imitieren und URLs zu Angreifer-Servern umleiten. Während Browser solche Tricks durch Punycode-Darstellung entlarven, rendert die Kommandozeile Unicode-Zeichen ohne Prüfung – ein Umstand, den Angreifer systematisch ausnutzen.

30 Regeln schützen vor Attacken

Tirith funktioniert als lokaler Wächter, der sich in gängige Shells wie Bash, Zsh, Fish und PowerShell integriert. Das Tool prüft jeden eingegebenen Befehl gegen 30 Regeln aus sieben Kategorien, bevor dieser ausgeführt wird. Neben Homograph-Attacken erkennt die Software auch Terminal-Injection durch ANSI-Escape-Sequenzen, Pipe-to-Shell-Muster wie "curl | bash" und Angriffe auf Konfigurationsdateien in Home-Verzeichnissen. Die Analyse läuft vollständig lokal ab, benötigt keine Netzwerkverbindung und verursacht laut Entwickler eine Latenz im Sub-Millisekunden-Bereich. Verdächtige Befehle werden geblockt oder mit Warnungen versehen, während saubere Eingaben unsichtbar durchlaufen.

Die Entwicklung des Tools adressiert ein strukturelles Problem: Während moderne Browser IDN-Homograph-Attacken seit Jahren durch Punycode-Konvertierung abwehren, fehlt dieser Schutzmechanismus in Terminal-Emulatoren komplett. Ein Beispiel aus der Dokumentation zeigt die Tragweite: Die URLs "https://install.example-cli.dev" und "https://іnstall.example-clі.dev" sehen identisch aus, wobei die zweite Version kyrillische "і"-Zeichen nutzt und zu einem völlig anderen Server führt. Tirith blockiert solche Befehle mit detaillierter Fehleranalyse und verhindert die Ausführung kompromittierter Skripte. Das Tool warnt zudem bei unsicheren Praktiken wie HTTP-Downloads, die direkt an Shell-Interpreter weitergereicht werden.

Einfache Installation

Die Installation erfolgt über gängige Paketmanager wie Homebrew, APT, DNF oder npm, wobei die Aktivierung einen einzeiligen Eintrag in der Shell-Konfiguration erfordert. Tirith bietet neben der automatischen Prüfung mehrere Kommandos für manuelle Analysen: tirith check untersucht Befehle ohne Ausführung, tirith score bewertet URL-Vertrauenswürdigkeit anhand mehrerer Signale, und tirith run ermöglicht die sichere Prüfung von Skripten vor der Ausführung mit manueller Bestätigung. Das Tool speichert ein lokales Audit-Log mit Zeitstempel und redaktiertem Befehlsausschnitt, erfasst aber keine vollständigen Befehle oder Umgebungsvariablen. Eine YAML-basierte Policy-Datei erlaubt die Anpassung von Allowlists und Schwellenwerten.

Tirith steht unter der AGPL-3.0-Lizenz und bietet eine kommerzielle Alternativlizenz für Nutzer, die Copyleft-Verpflichtungen umgehen möchten. Das Projekt hat seit seiner Veröffentlichung auf GitHub über 1600 Stars gesammelt und wird für Linux, macOS und Windows bereitgestellt. Die Entwickler betonen die Offline-Funktionalität und das Fehlen jeglicher Telemetrie – sämtliche Analysen laufen auf dem lokalen System ohne externe Abhängigkeiten. Organisationen können die Bypass-Funktion, die einzelne Befehle per Umgebungsvariable von der Prüfung ausnimmt, vollständig deaktivieren.