Abo
  • IT-Karriere:

Private Schlüssel: Gitrob sucht sensible Daten bei Github

Immer wieder tauchen Daten wie private Schlüssel oder Passwörter in Github-Repositories auf. Mit Hilfe von Gitrob sollen diese gefunden werden können, um sich besser zu schützen. Das öffnet aber auch die Möglichkeiten für einen interessanten Angriff.

Artikel veröffentlicht am ,
Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

In dem Code, der von Unternehmen oder Privatpersonen bei Github gehostet wird, tauchten manchmal Informationen auf, die eigentliche nicht öffentlich sein sollten, schreibt Michael Henriksen. Das könne aus Versehen oder Unwissenheit geschehen. Das von Henriksen geschriebene Werkzeug Gitrob soll beim Auffinden dieser potentiellen Sicherheitsrisiken eines Projekts helfen.

Langwierige Suche mit erschreckenden Ergebnissen

Stellenmarkt
  1. operational services GmbH & Co. KG, Braunschweig
  2. BG-Phoenics GmbH, München

Dazu verwendet Gitrob aber nicht etwa die Suchfunktion von Github selbst, über welche in der Vergangenheit solche Informationen gefunden worden. Vielmehr konzentriert sich das Werkzeug auf die Arbeit einer einzelnen Organisationseinheit. Zunächst werden sämtliche öffentliche Quellen sowie eine Liste der öffentlichen Quellen der Team-Mitglieder dieser Einheit gesammelt.

Aus dieser Liste der Repositories werden sämtliche enthaltenen Dateinamen nach Auffälligkeiten durchsucht. Dateien, die möglicherweise kritische Informationen enthalten, werden entsprechend markiert. Die so gesammelten Daten werden in einer PostgreSQL-Datenbank gespeichert. Henriksen weist daraufhin, dass dieser Vorgang bei einer großen Organisation sehr viel Zeit erfordern kann.

Nach dem Suchvorgang werden die Daten für die Analyse in einer recht simplen Webanwendung dargestellt, die über den Webserver Sinatra lokal ausgeliefert werden. In Tests fand der Entwickler unter anderem private Schlüssel für SSH oder Amazons EC2, Bash-Profile-Dateien mit Hinweise auf die Netzwerktopologie oder sogar die Datenbank eines Passwortmanagers. Die etwa 170 Einträge von Letzterem sind zwar verschlüsselt hinterlegt, ein Brute-Force-Angriff auf das Masterpasswort hätte sich bei dem betroffenen Unternehmen wohl aber sehr gelohnt, vermutet Henriksen.

Komplett passive Angriffsvorbereitung

Zwar kann mit Gitrob periodisch gesucht werden, um die eigene Sicherheit zu erhöhen oder auch weiterhin zu gewährleisten. Aber auch ein simulierter Angriff, wie dieser etwa beim sogenannten Penetration Testing durchgeführt wird, lässt sich damit vorbereiten, worauf Henriksen auch hinweist.

Immerhin lassen sich mit dem Werkzeug oft sehr viele der Informationen sammeln, die für einen Angriff notwendig sind. Doch anders als oft üblich kann diese Phase komplett passiv ablaufen. Benutzernamen, E-Mail-Adressen sowie Namen interner Systeme könnten direkt in Phishing-Kampagne umgesetzt werden. Zudem sei es möglich, dass eine vollständige Systemübernahme gelinge, ohne dass zuvor je ein bösartiges Paket verschickt werden müsse.

Das Werkzeug entstand als Teil der Arbeit von Henriksen im Sicherheitsteam von Soundcloud und steht im Quellcode bereit. Es ist in Ruby geschrieben und steht als Gem zur Verfügung. Noch bezeichnet der Entwickler sein Tool als Beta, weshalb er zur Mitarbeit aufruft. Insbesondere sollen die Anzahl der sicherheitsrelevanten Dateien erhöht werden, nach denen gesucht wird.



Anzeige
Hardware-Angebote
  1. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...

snores 15. Jan 2015

Mein absoluter Favorit bei pastebin: google salt base64 smtp

chrulri 15. Jan 2015

Interessanter wäre eher noch, dass die Repositories nicht nur geklont sondern auch deren...

Nyx 15. Jan 2015

Da hat Ron schon 2013 gesagt was für ein "Spass" man haben kann wenn man bei Github nach...


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /