Gitrob erschnĂĽffelt private Daten bei GitHub
Sensible Daten landen oft ungewollt bei GitHub. Das Tool Gitrob hilft dabei, diese aufzuspĂĽren. Ob im eigenen Code oder dem von Fremden bleibt dabei dem Nutzer ĂĽberlassen.
(Bild: Michael Henriksen)
- Fabian A. Scherschel
Entwickler laden immer wieder sensible Daten wie etwa geheime SchlĂĽssel aus Versehen auf GitHub hoch. In der Vergangenheit wurden dort vor allem SSH-SchlĂĽssel und Zugangsdaten fĂĽr AWS-Konten entdeckt. Aber auch andere Daten ĂĽber Firmen und deren Mitarbeiter werden dort oft ungewollt offenbart. Um das zu verhindern hat Michael Henriksen vom Sicherheitsteam bei SoundCloud ein Werkzeug namens Gitrob entwickelt. Das kann dazu benutzt werden, Daten dieser Art in Quellcode zu finden, der auf GitHub lagert.
(Bild:Â Michael Henriksen)
Gitrob ist ein Ruby-Programm, das aus einer Kommandozeilen-Komponente und aus einem lokalen Webserver besteht. Das Kommandozeilen-Skript sucht den Quellcode des Ziels nach bestimmten Mustern ab, die oft mit sensiblen Daten in Verbindung stehen. Das kann bei einer groĂźen Organisation allerdings mitunter sehr lange dauern. Ist die Suche beendet, startet es den Webserver und zeigt seine Ergebnisse ĂĽbersichtlich geordnet im Browser an. Gespeichert werden die Ergebnisse in einer PostgreSQL-Datenbank.
Allerdings ist Gitrob ein zweischneidiges Schwert. Zum einen können Entwickler das Tool nutzen, um im Rahmen von Pentesting den eigenen Code zu durchsuchen, zum andern kann es aber auch für Angriffe auf den öffentlichen Quellcode fremder GitHub-Konten benutzt werden. Selbst wenn man dabei nicht direkt SSH-Schlüssel erbeutet, können die gewonnenen Informationen dennoch nützlich sein. Wie Henriksen selbst beschreibt, kann ein Angreifer zum Beispiel Erkenntnisse darüber gewinnen, welcher Mitarbeiter einer Organisation Admin-Passwörter und Zugang zu internem Quellcode hat. Dieses Wissen kann dann für gezielte Phishing-Angriffe missbraucht werden. (fab)
