Abo
  • Services:
Anzeige
Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

Private Schlüssel: Gitrob sucht sensible Daten bei Github

Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

Immer wieder tauchen Daten wie private Schlüssel oder Passwörter in Github-Repositories auf. Mit Hilfe von Gitrob sollen diese gefunden werden können, um sich besser zu schützen. Das öffnet aber auch die Möglichkeiten für einen interessanten Angriff.

Anzeige

In dem Code, der von Unternehmen oder Privatpersonen bei Github gehostet wird, tauchten manchmal Informationen auf, die eigentliche nicht öffentlich sein sollten, schreibt Michael Henriksen. Das könne aus Versehen oder Unwissenheit geschehen. Das von Henriksen geschriebene Werkzeug Gitrob soll beim Auffinden dieser potentiellen Sicherheitsrisiken eines Projekts helfen.

Langwierige Suche mit erschreckenden Ergebnissen

Dazu verwendet Gitrob aber nicht etwa die Suchfunktion von Github selbst, über welche in der Vergangenheit solche Informationen gefunden worden. Vielmehr konzentriert sich das Werkzeug auf die Arbeit einer einzelnen Organisationseinheit. Zunächst werden sämtliche öffentliche Quellen sowie eine Liste der öffentlichen Quellen der Team-Mitglieder dieser Einheit gesammelt.

Aus dieser Liste der Repositories werden sämtliche enthaltenen Dateinamen nach Auffälligkeiten durchsucht. Dateien, die möglicherweise kritische Informationen enthalten, werden entsprechend markiert. Die so gesammelten Daten werden in einer PostgreSQL-Datenbank gespeichert. Henriksen weist daraufhin, dass dieser Vorgang bei einer großen Organisation sehr viel Zeit erfordern kann.

Nach dem Suchvorgang werden die Daten für die Analyse in einer recht simplen Webanwendung dargestellt, die über den Webserver Sinatra lokal ausgeliefert werden. In Tests fand der Entwickler unter anderem private Schlüssel für SSH oder Amazons EC2, Bash-Profile-Dateien mit Hinweise auf die Netzwerktopologie oder sogar die Datenbank eines Passwortmanagers. Die etwa 170 Einträge von Letzterem sind zwar verschlüsselt hinterlegt, ein Brute-Force-Angriff auf das Masterpasswort hätte sich bei dem betroffenen Unternehmen wohl aber sehr gelohnt, vermutet Henriksen.

Komplett passive Angriffsvorbereitung

Zwar kann mit Gitrob periodisch gesucht werden, um die eigene Sicherheit zu erhöhen oder auch weiterhin zu gewährleisten. Aber auch ein simulierter Angriff, wie dieser etwa beim sogenannten Penetration Testing durchgeführt wird, lässt sich damit vorbereiten, worauf Henriksen auch hinweist.

Immerhin lassen sich mit dem Werkzeug oft sehr viele der Informationen sammeln, die für einen Angriff notwendig sind. Doch anders als oft üblich kann diese Phase komplett passiv ablaufen. Benutzernamen, E-Mail-Adressen sowie Namen interner Systeme könnten direkt in Phishing-Kampagne umgesetzt werden. Zudem sei es möglich, dass eine vollständige Systemübernahme gelinge, ohne dass zuvor je ein bösartiges Paket verschickt werden müsse.

Das Werkzeug entstand als Teil der Arbeit von Henriksen im Sicherheitsteam von Soundcloud und steht im Quellcode bereit. Es ist in Ruby geschrieben und steht als Gem zur Verfügung. Noch bezeichnet der Entwickler sein Tool als Beta, weshalb er zur Mitarbeit aufruft. Insbesondere sollen die Anzahl der sicherheitsrelevanten Dateien erhöht werden, nach denen gesucht wird.


eye home zur Startseite
snores 15. Jan 2015

Mein absoluter Favorit bei pastebin: google salt base64 smtp

chrulri 15. Jan 2015

Interessanter wäre eher noch, dass die Repositories nicht nur geklont sondern auch deren...

Nyx 15. Jan 2015

Da hat Ron schon 2013 gesagt was für ein "Spass" man haben kann wenn man bei Github nach...



Anzeige

Stellenmarkt
  1. State Street Bank International GmbH, Frankfurt am Main
  2. STRABAG SE, Köln
  3. ppa - Pfälzische Pensionsanstalt, Bad Dürkheim
  4. über Hanseatisches Personalkontor Karlsruhe, Karlsruhe


Anzeige
Top-Angebote
  1. 55,55€ inkl. Versand (Vergleichspreis ab 63,90€)
  2. 34,51€ (Bestpreis!)
  3. (Spiele und Filme mit FSK/USK 18)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Tipps für IT-Engagement in Fernost


  1. In-Car-Delivery

    DHL macht den Smart zur Paketstation

  2. Huawei Matebook im Test

    Guter Laptop-Ersatz mit zu starker Konkurrenz

  3. Neue Funktionen

    Mit Google Maps die interessanten Ecken finden

  4. Google

    Nexus 9 erhält keine Vulkan-Unterstützung

  5. Webrender

    Servo soll GPU-Backend standardmäßig nutzen

  6. Pilotprojekt

    EU will Open Source sicherer machen

  7. Erneuerbare Energien

    Solar Impulse schafft die Weltumrundung

  8. id Software

    Vier Helden für ein Quake Champions

  9. Mobilfunk

    Sicherheitslücke macht auch Smartphones angreifbar

  10. Marissa Mayer

    Yahoo-Chefin will bleiben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Schrott im Netz: Wie Social Bots das Internet gefährden
Schrott im Netz
Wie Social Bots das Internet gefährden
  1. Netzwerk Wie Ausrüster Google Fiber und Facebooks Netzwerk sehen
  2. Secret Communications Facebook-Messenger bald mit Ende-zu-Ende-Verschlüsselung
  3. Social Media Ein Netzwerk wie ein Glücksspielautomat

Dirror angeschaut: Der digitale Spiegel, der ein Tablet ist
Dirror angeschaut
Der digitale Spiegel, der ein Tablet ist
  1. Bluetooth 5 Funktechnik sendet mehr Daten auch ohne Verbindungsaufbau
  2. Smarter Schalter Wenn Github mit dem Lichtschalter klingelt
  3. Tony Fadell Nest-Gründer macht keine Omeletts mehr

Miniscooter: E-Floater, der Elektroroller für die letzte Meile
Miniscooter
E-Floater, der Elektroroller für die letzte Meile
  1. Relativity Space Raketenbau ohne Menschen
  2. Besuch beim HAX Accelerator Made in Shenzhen
  3. Besuch bei Senic Das Kreuzberger Shenzhen

  1. Re: SSDs auch durch das OS (teilweise) nutzbar?

    RicoBrassers | 12:06

  2. Orange Markierung

    Don't_Care | 12:05

  3. Re: Basisgehalt?

    Kleba | 12:04

  4. Akkulaufzeitsteigerung durch Vulkan?

    bastie | 12:04

  5. Re: Sind 31000 ¤ jetzt viel oder wenig?

    The_Soap92 | 12:03


  1. 12:17

  2. 12:04

  3. 12:02

  4. 11:49

  5. 11:23

  6. 11:16

  7. 11:02

  8. 10:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel