研究表明,网络攻击者正在继续GitHub搜索开发人员在公共代码存储库中可能留下的任何小错误都可他们利用。
安全研究员Craig Hays疫情期间进行了实验。SSH泄露用户名和密码GitHub在存储库中,看看是否有网络攻击者可能会找到它。他认为有人可能需要等几天才能注意到。事实证明,第一次未经授权的登录发生在用户名和密码泄露后的34分钟内。“对我来说,最让我大开眼界的是它被利用得有多快。”
在最初的24小时内,六个不同的IP9次登录他的帐户。一名网络攻击者试图安装僵尸网络客户端,另一名网络攻击者试图使用其服务器发起拒绝服务攻击。Hays还看到有人想从他的服务器上窃取敏感信息,有人只是查看信息。
实验表明,威胁行为者不断扫描GitHub和其他公共代码存储库,寻找开发人员留下的敏感数据。随着企业从内部部署软件过渡到云平台以及越来越多的开发人员在家工作,包括用户名、密码、Google密钥、开发工具或私钥等机密越来越多。法国安全初创企业GitGuardian公司联合创始人Eric Fourrier仅在今年,数据泄露就比去年增加了至少20%。该公司主要提供扫描公共存储库以识别网络攻击者可能使用的数据。
如何找到黑客?GitHub的秘密
黑客知道GitHub是查找敏感信息的好地方,联合国机构、Equifax、Codecov、星巴克、优步等机构和组织为此付出了代价。一些企业可能会争论说,他们不会面临风险,因为他们不使用开源代码,但实际上更微妙;开发人员经常在工作项目中使用他们的个人存储库。GitHub根据调查报告,85%的数据泄漏发生在开发人员的个人存储库中,其他15%的数据泄漏发生在企业拥有的存储库中。
开发人员会留下来shell命令历史、环境文件和受版权保护的内容。有时他们会犯错误,因为他们试图简化这个过程。例如,他们可能会在编写代码时包含他们的凭证,因为它更容易调试。然后,他们可能会忘记删除并提交它。即使他们以后删除提交或强制删除秘密,这些私人信息通常仍然可以Git历史记录中访问。
GitHub最常见的机密类型
Hays说,“我在旧版本的文件中发现了很多密码,它们已经被更新和更干净的版本所取代,而这些版本没有密码。”Git除非删除清楚,否则提交历史会记住所有内容。
初级开发人员和高级开发人员都可能犯错误。Fourrier说。,“即使你是一个优秀的开发人员,在安全问题上受过教育,在编码时也会犯错误,泄露秘密通常是人为的错误。”
在GitHub最常见的文件类型
任何开发人员都会犯错误,刚进入职场的开发人员通常会泄露更多的秘密。Crina Catalina Bucur多年前,当我还是软件工程专业的学生时,我开设了一个开发目的AWS账户,但很快就收到了2000美元的账单,其中只有0.01美元是她应该支付的费用。
她说,“我开发的项目是一个大约10种云存储服务的聚合文件管理平台,包括亚马逊S3。这发生在GitHub在提供免费的私人存储库之前,所以我的AWS访问密钥和相应的密钥和代码一起发布到我的公共存储库。当时我没怎么想。”
几天后,她开始收到它AWS电子邮件警告她的账户被盗,但直到收到账单,她才仔细阅读。对她来说,幸运的是AWS公司免除其他额外费用。Bucur或者犯了一些被黑客使用的错误,包括硬编码密钥,并将其发布到公共代码存储库。
Hays他说,现在只需要很少的资源客只需要很少的资源。他是业余时间的赏金猎人,经常依赖开源情报(OSINT),这些都是可以在网上找到的信息。“我选择的方法是使用标准Github.com界面手动搜索,我使用搜索操作符来限制特定的文件类型、关键字、用户和组织,这取决于目标公司。”
一些工具可以使过程更快、更有效。HUMAN公司安全研究员Gabriel Cirlig说:“运行自动机器人抓取网络攻击者GitHub并提取敏感信息。这些机器人可以一直运行,这意味着黑客可以在几秒钟或几分钟内检测到错误。”
网络攻击者一旦发现秘密,就可以轻松使用。Fourrier说,“例如,如果找到了AWS密钥可以访问公司的所有云计算基础设施。对于为特定公司工作的开发人员来说,检查公司的一些资产非常简单。”根据秘密的性质,黑客可以做很多事情,包括发起供应链攻击和危害企业安全。
随着机密数量的增加,企业需要在为时已晚之前更好地发现它们。GitHub有自己的“秘密扫描合作伙伴程序”,它可以找到类似的密码,SSH密钥或API令牌的文字字符串。GitHub与40多家云计算服务提供商合作,在公共存储库中自动修复公共存储API密钥。
GitHub发言人说,“为了更好地保护生态系统,我们一直在寻求扩大这些合作伙伴关系。目前,我们每天取消100多个公开项目GitHub API当我们这样做时,密钥通常会安全地向新开发人员介绍凭证安全的重要性。”
Hays表示,“秘密扫描合作伙伴程序”这是朝着正确方向迈进的一步,因为它使网络攻击者更难找到有效的证据。但他说这个计划并不完美。“当人们不小心检查自己时,SSH当密钥、密码、令牌或任何其他敏感的东西时,仍然会留下空白。由于没有合作的凭证提供商可以提出这因此更难检测和管理‘这是真的吗?想撤销吗?我们中的一方应该告诉所有者吗?’等等。”
同时,他建议开发人员注意他们编写和部署代码的方式。“首先要做的是添加正确的设置.gitignore文件告诉我Git和GitHub.com不应跟踪和上传到互联网上的文件。”
一些安全初创企业也试图填补这一空白。GittyLeaks、SecretOps、gitLeaks和GitGuardian旨在为商业用户和独立专业人士提供更多的保护。有些人可以在几秒钟内检测到泄漏的秘密,这样开发人员和公司就可以立即采取行动。Fourrier说,“在整个生命周期的发展中,Docker在不同类型的数据中扫描软件上的所有代码,我们找到并试图取消它们。”
理想情况下,最好的策略是根本不泄露数据或尽可能少地泄露数据,这有助于提高对这个问题的理解。Cirlig说:“教育开发人员编据泄露事件,不如教育开发人员编写安全代码,主动防止攻击。”