Immer wieder laden Entwickler aus Versehen sensible Daten wie etwa geheime Schlüssel auf GitHub hoch. Vor allem SSH-Schlüssel und Zugangsdaten für AWS-Konten wurden dort in der Vergangenheit entdeckt. Aber dort werden oft auch andere Daten über Firmen und deren Mitarbeiter ungewollt offenbart. Michael Henriksen vom Sicherheitsteam bei SoundCloud hat ein Werkzeug namens Gitrob, das dazu benutzt werden kann Daten dieser Art in Quellcode auf GitHub zu finden, entwickelt um das zu verhindern.

Gitrob ist ein Ruby-Programm, das aus einem lokalen Webserver und einer Kommandozeilen-Komponente und besteht. Mit dem Kommandozeilen-Skript wird Quellcode des Ziels nach bestimmten Mustern abgesucht, die oft mit sensiblen Daten in Verbindung stehen, was bei einer großen Organisation allerdings mitunter sehr lange dauern kann. Nach Abschluss der Suche startet es den Webserver und zeigt seine Ergebnisse im Browser übersichtlich geordnet an. Die Ergebnisse werden in einer PostgreSQL-Datenbank gespeichert.

Gitrob ist allerdings ein zweischneidiges Schwert. Entwickler können das Tool zum einen nutzen, um den eigenen Code im Rahmen von Pentesting zu durchsuchen, es kann zum andern aber auch für Angriffe auf den öffentlichen Quellcode fremder GitHub-Konten benutzt werden. Die gewonnenen Informationen können, selbst wenn man dabei nicht direkt SSH-Schlüssel erbeutet, dennoch nützlich sein. Ein Angreifer kann zum Beispiel Erkenntnisse darüber gewinnen, welcher Mitarbeiter einer Organisation Zugang zu internem Quellcode und Admin-Passwörter hat, wie Henriksen selbst beschreibt. Dieses Wissen kann dann missbraucht werden, um gezielte Phishing-Angriffe durchzuführen.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE