Anzeige
Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

Private Schlüssel: Gitrob sucht sensible Daten bei Github

Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

Immer wieder tauchen Daten wie private Schlüssel oder Passwörter in Github-Repositories auf. Mit Hilfe von Gitrob sollen diese gefunden werden können, um sich besser zu schützen. Das öffnet aber auch die Möglichkeiten für einen interessanten Angriff.

Anzeige

In dem Code, der von Unternehmen oder Privatpersonen bei Github gehostet wird, tauchten manchmal Informationen auf, die eigentliche nicht öffentlich sein sollten, schreibt Michael Henriksen. Das könne aus Versehen oder Unwissenheit geschehen. Das von Henriksen geschriebene Werkzeug Gitrob soll beim Auffinden dieser potentiellen Sicherheitsrisiken eines Projekts helfen.

Langwierige Suche mit erschreckenden Ergebnissen

Dazu verwendet Gitrob aber nicht etwa die Suchfunktion von Github selbst, über welche in der Vergangenheit solche Informationen gefunden worden. Vielmehr konzentriert sich das Werkzeug auf die Arbeit einer einzelnen Organisationseinheit. Zunächst werden sämtliche öffentliche Quellen sowie eine Liste der öffentlichen Quellen der Team-Mitglieder dieser Einheit gesammelt.

Aus dieser Liste der Repositories werden sämtliche enthaltenen Dateinamen nach Auffälligkeiten durchsucht. Dateien, die möglicherweise kritische Informationen enthalten, werden entsprechend markiert. Die so gesammelten Daten werden in einer PostgreSQL-Datenbank gespeichert. Henriksen weist daraufhin, dass dieser Vorgang bei einer großen Organisation sehr viel Zeit erfordern kann.

Nach dem Suchvorgang werden die Daten für die Analyse in einer recht simplen Webanwendung dargestellt, die über den Webserver Sinatra lokal ausgeliefert werden. In Tests fand der Entwickler unter anderem private Schlüssel für SSH oder Amazons EC2, Bash-Profile-Dateien mit Hinweise auf die Netzwerktopologie oder sogar die Datenbank eines Passwortmanagers. Die etwa 170 Einträge von Letzterem sind zwar verschlüsselt hinterlegt, ein Brute-Force-Angriff auf das Masterpasswort hätte sich bei dem betroffenen Unternehmen wohl aber sehr gelohnt, vermutet Henriksen.

Komplett passive Angriffsvorbereitung

Zwar kann mit Gitrob periodisch gesucht werden, um die eigene Sicherheit zu erhöhen oder auch weiterhin zu gewährleisten. Aber auch ein simulierter Angriff, wie dieser etwa beim sogenannten Penetration Testing durchgeführt wird, lässt sich damit vorbereiten, worauf Henriksen auch hinweist.

Immerhin lassen sich mit dem Werkzeug oft sehr viele der Informationen sammeln, die für einen Angriff notwendig sind. Doch anders als oft üblich kann diese Phase komplett passiv ablaufen. Benutzernamen, E-Mail-Adressen sowie Namen interner Systeme könnten direkt in Phishing-Kampagne umgesetzt werden. Zudem sei es möglich, dass eine vollständige Systemübernahme gelinge, ohne dass zuvor je ein bösartiges Paket verschickt werden müsse.

Das Werkzeug entstand als Teil der Arbeit von Henriksen im Sicherheitsteam von Soundcloud und steht im Quellcode bereit. Es ist in Ruby geschrieben und steht als Gem zur Verfügung. Noch bezeichnet der Entwickler sein Tool als Beta, weshalb er zur Mitarbeit aufruft. Insbesondere sollen die Anzahl der sicherheitsrelevanten Dateien erhöht werden, nach denen gesucht wird.


eye home zur Startseite
snores 15. Jan 2015

Mein absoluter Favorit bei pastebin: google salt base64 smtp

chrulri 15. Jan 2015

Interessanter wäre eher noch, dass die Repositories nicht nur geklont sondern auch deren...

Nyx 15. Jan 2015

Da hat Ron schon 2013 gesagt was für ein "Spass" man haben kann wenn man bei Github nach...

Kommentieren



Anzeige

  1. Product Manager für den FleetBoard Store (m/w)
    Daimler AG, Stuttgart
  2. SAP Modulbetreuer / Anwendungsentwickler HCM (m/w)
    HiPP-Werk Georg Hipp OHG, Pfaffenhofen Raum Ingolstadt
  3. Softwareentwickler (m/w) responsive Oberflächen
    NÜRNBERGER Lebensversicherung AG, Nürnberg
  4. Mathematiker / Informatiker (m/w) Analyse von Sensordaten
    Fraunhofer-Institut für Algorithmen und Wissenschaftliches Rechnen SCAI, Sankt Augustin

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Arista Networks

    Cisco will Konkurrenten mit Patentklagen behindern

  2. Microsoft

    Xbox One macht nicht mehr fit

  3. Google Earth

    Googles Satellitenkarte wird schärfer

  4. Brexit-Entscheidung

    4Chan manipuliert Petition mit vatikanischen IPs und Bots

  5. Twitch

    Geldregen im Streamer-Chat

  6. Streaming

    Amazon Video erhält erstes Dolby-Vision-Material

  7. Windows 10

    Microsoft zahlt Entschädigung für nicht gewolltes Upgrade

  8. Nexar

    Smartphone erstellt automatisch Profile von Autofahrern

  9. Pikes Peak

    Eiswürfelgekühlter Tesla Model S bricht Rennrekord

  10. Betriebssystem

    Noch einen Monat Gratis-Upgrade auf Windows 10



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Moto GP 2016 im Test Motorradrennen mit Valentino Rossi
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

  1. Re: Mal schauen wann die Trojaner- Entwickler das...

    Oromit | 11:18

  2. Re: Wechseln lohnt sich!

    Reddead | 11:16

  3. Re: Ich sehe folgendes Problem

    Trollversteher | 11:16

  4. Re: Warum nicht eine Drohne :p

    486dx4-160 | 11:16

  5. Re: Was für ein Quatsch

    Muhaha | 11:14


  1. 11:37

  2. 11:31

  3. 10:58

  4. 10:54

  5. 10:27

  6. 10:19

  7. 08:53

  8. 08:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel