Neue GitHub-Suchfunktion offenbart geheime SSH-SchlĂĽssel

Noch am Mittwoch verkündete GitHub mit sehr viel Stolz seine neue Suchfunktionen – kurze Zeit später offenbarte der Dienst, wie vertrauensselig manch geheime Daten bei GitHub hochgeladen wurden.

In Pocket speichern vorlesen Druckansicht 92 Kommentare lesen
Lesezeit: 2 Min.

Die am Mittwoch vorgestellte neue Suchfunktion in GitHub sollte den Nutzern die Suche nach Datensätzen [–] Code, Forks, Verzeichnissen und Mitgliedern – erheblich erleichtern, allerdings offenbarte sie auch ein sehr vertrauensseliges Nutzerverhalten: Einige Entwickler luden in ihren GitHub-Repositories auch ihre geheimen SSH-Schlüssel.

Mit der Aktivierung der Suchfunktion – realisiert mit Elasticsearch – wurden diese auch gleich aufgespürt und von Findern unter anderem bei Twitter veröffentlicht. Einige Entwickler sprachen sich schnell dafür aus, dass Verzeichnisse wie .ssh/ und .gnupg/ von der Suche ausgenommen werden sollten. GitHub hat diese Suche mittlerweile gesperrt, kurzzeitig wurde die gerade erst eingeführte Suchfunktion dafür deaktiviert. Allerdings gibt es nach wie vor Möglichkeiten die SSH-Keys aufzuspüren.

Die SSH-Keys lieĂźen sich ĂĽber die Suchfunktion einfach lokalisieren.

SSH wird häufig verwendet, um Zugang zu externen Server übers Netz durch starke Authentifizierung und Verschlüsselung abzusichern. Je nachdem, für was diese Schlüssel konkret genutzt wurden und wie gut die Passphrase ist, mit der sie – hoffentlich – noch vor unberechtigter Nutzung geschützt sind, kann dies zu massiven Sicherheitsproblemen führen.

Neben den SSH-Schlüsseln wurden auch weitere, unter Umständen sicherheitsrelevante Dateien exponiert. So findet man etwa in den aufgezeichneten Kommandozeilenbefehlen der Bash-History gelegentlich Passwörter, die an Tools als Parameter übergeben wurden.

Update, 25.1.2013, 16:15: falschen Verweis auf Amazon bei der Search-Engine ElasticSearch entfernt.

Update, 28.1.2013, 18:30: Die Suche steht wieder in vollem Umfang zur Verfügung. Wer seinen Key oder andere unerwünschte Inhalte in seinem Repository entdeckt, dem erklärt eine kurze Anleitung, wie man versehentlich bei GitHub hochgeladene Inhalte rückstandsfrei entsorgen und solche Fehler zuküntig vermeiden kann. (kbe)