Neue GitHub-Suchfunktion offenbart geheime SSH-Schlüssel

Die am Mittwoch vorgestellte neue Suchfunktion in GitHub sollte den Nutzern die Suche nach Datensätzen [–] Code, Forks, Verzeichnissen und Mitgliedern – erheblich erleichtern, allerdings offenbarte sie auch ein sehr vertrauensseliges Nutzerverhalten: Einige Entwickler luden in ihren GitHub-Repositories auch ihre geheimen SSH-Schlüssel.

Mit der Aktivierung der Suchfunktion – realisiert mit Elasticsearch – wurden diese auch gleich aufgespürt und von Findern unter anderem bei Twitter veröffentlicht. Einige Entwickler sprachen sich schnell dafür aus, dass Verzeichnisse wie .ssh/ und .gnupg/ von der Suche ausgenommen werden sollten. GitHub hat diese Suche mittlerweile gesperrt, kurzzeitig wurde die gerade erst eingeführte Suchfunktion dafür deaktiviert. Allerdings gibt es nach wie vor Möglichkeiten die SSH-Keys aufzuspüren.

SSH wird häufig verwendet, um Zugang zu externen Server übers Netz durch starke Authentifizierung und Verschlüsselung abzusichern. Je nachdem, für was diese Schlüssel konkret genutzt wurden und wie gut die Passphrase ist, mit der sie – hoffentlich – noch vor unberechtigter Nutzung geschützt sind, kann dies zu massiven Sicherheitsproblemen führen.

Neben den SSH-Schlüsseln wurden auch weitere, unter Umständen sicherheitsrelevante Dateien exponiert. So findet man etwa in den aufgezeichneten Kommandozeilenbefehlen der Bash-History gelegentlich Passwörter, die an Tools als Parameter übergeben wurden.

Update, 25.1.2013, 16:15: falschen Verweis auf Amazon bei der Search-Engine ElasticSearch entfernt.

Update, 28.1.2013, 18:30: Die Suche steht wieder in vollem Umfang zur Verfügung. Wer seinen Key oder andere unerwünschte Inhalte in seinem Repository entdeckt, dem erklärt eine kurze Anleitung, wie man versehentlich bei GitHub hochgeladene Inhalte rückstandsfrei entsorgen und solche Fehler zuküntig vermeiden kann. (kbe)