20. Januar 2015
Tool Gitrob findet Daten bei GitHub
Oft landen private Daten ungewollt bei GitHub. Das neue Tool Gitrob, findet diese; der Nutzer entscheidet, ob im eigenen Code oder dem anderer Nutzer gesucht wird.
Immer wieder werden von Entwicklern unbeabsichtigt Daten auf GitHub hochgeladen. Vor allem SSH-Schlüssel und Zugangsdaten für AWS-Konten wurden entdeckt. Aber auch Firmendaten sind dort ungewollt verfügbar. Um das zu verhindern, hat Michael Henriksen vom Sicherheitsdienst bei SoundCloud Gitrob entwickelt.
Gitrob findet Daten in Quellcode von Programmen und Skripten die auf GitHub gelagert werden. Das Tool besteht aus einem lokalen Webserver und einer Kommando Zeilen-Komponente. Dieses Ruby-Programm sucht den Zielquellcode nach gewissen Muster ab, welche meist mit Daten verbunden sind. Bei einer großen Organisation kann der Scan-Vorgang längere Zeit beanspruchen. Nach Beendigung der Suche, wird der Webserver gestartet und zeigt seine Suchergebnisse geordnet in einem Browser an. Die Ergebnisse werden anschließend in einer PostgreSQL-Datenbank gespeichert.
Gitrob hat jedoch auch Nachteile. Entwickler können das Tool zum Durchsuchen des eigenen Codes nutzen, dennoch kann es ebenso für Angriffe auf den öffentlichen Quellcode anderer GitHub-Nutzer-Konten genutzt werden. Auch wenn keine direkten SSH-Schlüssel erbeutet werden, sind die in Erfahrung gebrachten Informationen vielleicht dennoch von Nutzen. Wie Henriksen erläutert, ist es möglich, dass ein Angreifer Erkenntnisse gewinnt, welcher Mitarbeiter einer Firma wichtige Passwörter und Zugang zum internen Quellcode hat. Mit diesem Wissen können gezielte Phishing-Angriffe gestartet werden.
(TJ)
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.