Abo
  • Services:
Anzeige
Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

Private Schlüssel: Gitrob sucht sensible Daten bei Github

Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

Immer wieder tauchen Daten wie private Schlüssel oder Passwörter in Github-Repositories auf. Mit Hilfe von Gitrob sollen diese gefunden werden können, um sich besser zu schützen. Das öffnet aber auch die Möglichkeiten für einen interessanten Angriff.

Anzeige

In dem Code, der von Unternehmen oder Privatpersonen bei Github gehostet wird, tauchten manchmal Informationen auf, die eigentliche nicht öffentlich sein sollten, schreibt Michael Henriksen. Das könne aus Versehen oder Unwissenheit geschehen. Das von Henriksen geschriebene Werkzeug Gitrob soll beim Auffinden dieser potentiellen Sicherheitsrisiken eines Projekts helfen.

Langwierige Suche mit erschreckenden Ergebnissen

Dazu verwendet Gitrob aber nicht etwa die Suchfunktion von Github selbst, über welche in der Vergangenheit solche Informationen gefunden worden. Vielmehr konzentriert sich das Werkzeug auf die Arbeit einer einzelnen Organisationseinheit. Zunächst werden sämtliche öffentliche Quellen sowie eine Liste der öffentlichen Quellen der Team-Mitglieder dieser Einheit gesammelt.

Aus dieser Liste der Repositories werden sämtliche enthaltenen Dateinamen nach Auffälligkeiten durchsucht. Dateien, die möglicherweise kritische Informationen enthalten, werden entsprechend markiert. Die so gesammelten Daten werden in einer PostgreSQL-Datenbank gespeichert. Henriksen weist daraufhin, dass dieser Vorgang bei einer großen Organisation sehr viel Zeit erfordern kann.

Nach dem Suchvorgang werden die Daten für die Analyse in einer recht simplen Webanwendung dargestellt, die über den Webserver Sinatra lokal ausgeliefert werden. In Tests fand der Entwickler unter anderem private Schlüssel für SSH oder Amazons EC2, Bash-Profile-Dateien mit Hinweise auf die Netzwerktopologie oder sogar die Datenbank eines Passwortmanagers. Die etwa 170 Einträge von Letzterem sind zwar verschlüsselt hinterlegt, ein Brute-Force-Angriff auf das Masterpasswort hätte sich bei dem betroffenen Unternehmen wohl aber sehr gelohnt, vermutet Henriksen.

Komplett passive Angriffsvorbereitung

Zwar kann mit Gitrob periodisch gesucht werden, um die eigene Sicherheit zu erhöhen oder auch weiterhin zu gewährleisten. Aber auch ein simulierter Angriff, wie dieser etwa beim sogenannten Penetration Testing durchgeführt wird, lässt sich damit vorbereiten, worauf Henriksen auch hinweist.

Immerhin lassen sich mit dem Werkzeug oft sehr viele der Informationen sammeln, die für einen Angriff notwendig sind. Doch anders als oft üblich kann diese Phase komplett passiv ablaufen. Benutzernamen, E-Mail-Adressen sowie Namen interner Systeme könnten direkt in Phishing-Kampagne umgesetzt werden. Zudem sei es möglich, dass eine vollständige Systemübernahme gelinge, ohne dass zuvor je ein bösartiges Paket verschickt werden müsse.

Das Werkzeug entstand als Teil der Arbeit von Henriksen im Sicherheitsteam von Soundcloud und steht im Quellcode bereit. Es ist in Ruby geschrieben und steht als Gem zur Verfügung. Noch bezeichnet der Entwickler sein Tool als Beta, weshalb er zur Mitarbeit aufruft. Insbesondere sollen die Anzahl der sicherheitsrelevanten Dateien erhöht werden, nach denen gesucht wird.


eye home zur Startseite
snores 15. Jan 2015

Mein absoluter Favorit bei pastebin: google salt base64 smtp

chrulri 15. Jan 2015

Interessanter wäre eher noch, dass die Repositories nicht nur geklont sondern auch deren...

Nyx 15. Jan 2015

Da hat Ron schon 2013 gesagt was für ein "Spass" man haben kann wenn man bei Github nach...



Anzeige

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. Carl Büttner GmbH & Co. KG, Bremen
  3. ARI-Armaturen Albert Richter GmbH & Co. KG, Schloß Holte-Stukenbrock
  4. Schaeffler Technologies AG & Co. KG, Nürnberg


Anzeige
Top-Angebote
  1. 99,90€ statt 149,90€
  2. und Destiny 2 gratis erhalten
  3. 9,49€ + Versandkosten (Steam Link einzeln kostet sonst 54,99€ und das Spiel regulär 11,99€)

Folgen Sie uns
       


  1. Windows 10

    Fall Creators Update macht Ryzen schneller

  2. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  3. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  4. Jaxa

    Japanische Forscher finden riesige Höhle im Mond

  5. Deep Descent

    Aquanox lädt in Tiefsee-Beta

  6. Android-Apps

    Google belohnt Fehlersuche im Play Store

  7. Depublizierung

    7-Tage-Löschfrist für ARD und ZDF im Internet fällt weg

  8. Netzneutralität

    Telekom darf Auflagen zu Stream On länger prüfen

  9. Spielebranche

    Kopf-an-Kopf-Rennen zwischen Pro und X erwartet

  10. Thunderobot ST-Plus im Praxistest

    Da gehe ich doch lieber wieder draußen spielen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Re: bei mir genau umgekehrt ...

    dirk_hamm | 04:37

  2. Re: Der naechste aufgekochte Zombie

    bernstein | 03:46

  3. Re: Das wird den privaten Medienkonzeren aber stinken

    mambokurt | 03:30

  4. Re: Ich will möglichst viele Quellen nutzen können!

    mambokurt | 03:25

  5. Re: Edge GUI extrem Langsam seit 1709

    Baertiger1980 | 03:19


  1. 22:38

  2. 18:00

  3. 17:47

  4. 16:54

  5. 16:10

  6. 15:50

  7. 15:05

  8. 14:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel