Abo
  • Services:
Anzeige
Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

Private Schlüssel: Gitrob sucht sensible Daten bei Github

Eine von Gitrob als kritisch eingestufte Datei.
Eine von Gitrob als kritisch eingestufte Datei. (Bild: Michael Henriksen)

Immer wieder tauchen Daten wie private Schlüssel oder Passwörter in Github-Repositories auf. Mit Hilfe von Gitrob sollen diese gefunden werden können, um sich besser zu schützen. Das öffnet aber auch die Möglichkeiten für einen interessanten Angriff.

Anzeige

In dem Code, der von Unternehmen oder Privatpersonen bei Github gehostet wird, tauchten manchmal Informationen auf, die eigentliche nicht öffentlich sein sollten, schreibt Michael Henriksen. Das könne aus Versehen oder Unwissenheit geschehen. Das von Henriksen geschriebene Werkzeug Gitrob soll beim Auffinden dieser potentiellen Sicherheitsrisiken eines Projekts helfen.

Langwierige Suche mit erschreckenden Ergebnissen

Dazu verwendet Gitrob aber nicht etwa die Suchfunktion von Github selbst, über welche in der Vergangenheit solche Informationen gefunden worden. Vielmehr konzentriert sich das Werkzeug auf die Arbeit einer einzelnen Organisationseinheit. Zunächst werden sämtliche öffentliche Quellen sowie eine Liste der öffentlichen Quellen der Team-Mitglieder dieser Einheit gesammelt.

Aus dieser Liste der Repositories werden sämtliche enthaltenen Dateinamen nach Auffälligkeiten durchsucht. Dateien, die möglicherweise kritische Informationen enthalten, werden entsprechend markiert. Die so gesammelten Daten werden in einer PostgreSQL-Datenbank gespeichert. Henriksen weist daraufhin, dass dieser Vorgang bei einer großen Organisation sehr viel Zeit erfordern kann.

Nach dem Suchvorgang werden die Daten für die Analyse in einer recht simplen Webanwendung dargestellt, die über den Webserver Sinatra lokal ausgeliefert werden. In Tests fand der Entwickler unter anderem private Schlüssel für SSH oder Amazons EC2, Bash-Profile-Dateien mit Hinweise auf die Netzwerktopologie oder sogar die Datenbank eines Passwortmanagers. Die etwa 170 Einträge von Letzterem sind zwar verschlüsselt hinterlegt, ein Brute-Force-Angriff auf das Masterpasswort hätte sich bei dem betroffenen Unternehmen wohl aber sehr gelohnt, vermutet Henriksen.

Komplett passive Angriffsvorbereitung

Zwar kann mit Gitrob periodisch gesucht werden, um die eigene Sicherheit zu erhöhen oder auch weiterhin zu gewährleisten. Aber auch ein simulierter Angriff, wie dieser etwa beim sogenannten Penetration Testing durchgeführt wird, lässt sich damit vorbereiten, worauf Henriksen auch hinweist.

Immerhin lassen sich mit dem Werkzeug oft sehr viele der Informationen sammeln, die für einen Angriff notwendig sind. Doch anders als oft üblich kann diese Phase komplett passiv ablaufen. Benutzernamen, E-Mail-Adressen sowie Namen interner Systeme könnten direkt in Phishing-Kampagne umgesetzt werden. Zudem sei es möglich, dass eine vollständige Systemübernahme gelinge, ohne dass zuvor je ein bösartiges Paket verschickt werden müsse.

Das Werkzeug entstand als Teil der Arbeit von Henriksen im Sicherheitsteam von Soundcloud und steht im Quellcode bereit. Es ist in Ruby geschrieben und steht als Gem zur Verfügung. Noch bezeichnet der Entwickler sein Tool als Beta, weshalb er zur Mitarbeit aufruft. Insbesondere sollen die Anzahl der sicherheitsrelevanten Dateien erhöht werden, nach denen gesucht wird.


eye home zur Startseite
snores 15. Jan 2015

Mein absoluter Favorit bei pastebin: google salt base64 smtp

chrulri 15. Jan 2015

Interessanter wäre eher noch, dass die Repositories nicht nur geklont sondern auch deren...

Nyx 15. Jan 2015

Da hat Ron schon 2013 gesagt was für ein "Spass" man haben kann wenn man bei Github nach...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Raum Gießen (Home-Office möglich)
  2. BG-Phoenics GmbH, München
  3. OPTIMA Business Information Technology GmbH, München
  4. Experis GmbH, Frankfurt am Main


Anzeige
Top-Angebote
  1. (u. a. John Wick, Bastille Day, Sicario, Leon der Profi)
  2. 556,03€
  3. (u. a. Technikprodukte & Gadgets von Start-ups reduziert, Sport & Outdoor-Produkte günstiger)

Folgen Sie uns
       


  1. Datenschutzverordnung im Bundestag

    "Für uns ist jeden Tag der Tag der inneren Sicherheit"

  2. Aspire-Serie

    Acer stellt Notebooks für jeden Geldbeutel vor

  3. Acer Predator Triton 700

    Das Fenster oberhalb der Tastatur ist ein Clickpad

  4. Kollaborationsserver

    Owncloud 10 verbessert Gruppen- und Gästenutzung

  5. Panoramafreiheit

    Aidas Kussmund darf im Internet veröffentlicht werden

  6. id Software

    Nächste id Tech setzt massiv auf FP16-Berechnungen

  7. Broadcom-Sicherheitslücken

    Samsung schützt Nutzer nicht vor WLAN-Angriffen

  8. Star Citizen

    Transparenz im All

  9. Hikey 960

    Huawei bringt Entwicklerboard mit Mate-9-Chip

  10. Samsung

    Chip-Sparte bringt Gewinnanstieg



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto VW testet E-Trucks
  2. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  3. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren

Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen

  1. Re: Damit sind wir jetzt in einem Preisbereich...

    ArcherV | 20:52

  2. Re: was für ein AMD?

    rabatz | 20:52

  3. Re: !!! Nur 100 Km Reichweite? !!!

    bobb | 20:50

  4. Re: So mancher Bauer war da schon schlauer

    luzipha | 20:49

  5. Re: In 20 Jahren...

    matok | 20:44


  1. 20:24

  2. 18:00

  3. 18:00

  4. 17:42

  5. 17:23

  6. 16:33

  7. 16:05

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel