Das neue Tool Gitrob

Tool Gitrob findet Daten bei GitHub

| Autor / Redakteur: Thomas Joos / Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

Oft landen ungewollt private Daten bei GitHub. Das neue Tool Gitrob, findet diese verloren gegangenen Daten. Der Nutzer entscheidet, ob im eigenen Code oder dem anderer Nutzer gesucht wird. Immer wieder werden von Entwicklern unbeabsichtigt Daten auf GitHub hochgeladen. Vor allem SSH-Schlüssel und Zugangsdaten für AWS-Konten wurden des Öfteren entdeckt.

Oft landen ungewollt private Daten bei GitHub. Das neue Tool Gitrob, findet diese verloren gegangenen Daten. Der Nutzer entscheidet, ob im eigenen Code oder dem anderer Nutzer gesucht wird.

Immer wieder werden von Entwicklern unbeabsichtigt Daten auf GitHub hochgeladen. Vor allem SSH-Schlüssel und Zugangsdaten für AWS-Konten wurden des Öfteren entdeckt. Aber auch Firmendaten sind dort oft ungewollt verfügbar. Um das zu verhindern, hat Michael Henriksen vom Sicherheitsdienst bei SoundCloud Gitrob entwickelt. Gitrob findet Daten in Quellcode von Programmen und Skripten die auf GitHub gelagert werden.

Das Tool besteht aus einem lokalen Webserver und einer Kommando Zeilen-Komponente. Dieses Ruby-Programm sucht den Zielquellcode nach gewissen Muster ab, welche meist mit Daten verbunden sind. Bei einer großen Organisation kann der Scan-Vorgang längere Zeit beanspruchen. Nach Beendigung der Suche, wird der Webserver gestartet und zeigt seine Suchergebnisse geordnet in einem Browser an. Die Ergebnisse werden anschließend in einer PostgreSQL-Datenbank gespeichert.

Gitrob hat jedoch auch große Nachteile. Entwickler können das Tool zum Durchsuchen des eigenen Codes nutzen, dennoch kann es ebenso für Angriffe auf den öffentlichen Quellcode anderer GitHub-Nutzer-Konten genutzt werden. Auch wenn keine direkten SSH-Schlüssel erbeutet werden, sind die in Erfahrung gebrachten Informationen vielleicht dennoch von Nutzen. Wie Henriksen erläutert, ist es möglich, dass ein Angreifer Erkenntnisse gewinnt, welcher Mitarbeiter einer Firma wichtige Passwörter und Zugang zum internen Quellcode hat. Mit diesem Wissen können gezielte Phishing-Angriffe gestartet werden.