{"id":18892,"date":"2019-03-29T14:38:14","date_gmt":"2019-03-29T12:38:14","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18892"},"modified":"2019-11-22T12:08:23","modified_gmt":"2019-11-22T10:08:23","slug":"token-on-github","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/token-on-github\/18892\/","title":{"rendered":"Schl\u00fcssel-Leaks auf GitHub &amp; wie sie verhindert werden k\u00f6nnen"},"content":{"rendered":"<p>Vor kurzem haben Forscher der North Carolina State University mehr als <a href=\"https:\/\/www.zdnet.com\/article\/over-100000-github-repos-have-leaked-api-or-cryptographic-keys\/\" target=\"_blank\" rel=\"noopener nofollow\">100.000 Projekte auf GitHub<\/a>, die Token, kryptographische Schl\u00fcssel und andere vertrauliche Daten enthielten, gefunden, die in offener Form gespeichert worden waren. Insgesamt konnten mehr als eine halbe Million dieser Objekte, von denen mehr als 200.000 einzigartig sind, in der Public Domain gefunden werden. Die betroffenen Token geh\u00f6rten zu gro\u00dfen Unternehmen wie Google, Amazon MWS, Twitter, Facebook, MailChimp, MailGun, Stripe, Twilio, Square, Braintree und Picatic.<\/p>\n<p>GitHub ist eine bekannte und beliebte Ressource im Bereich der kooperativen Softwareentwicklung. Die Plattform wird verwendet, um Code in Repositories mit offenem oder eingeschr\u00e4nktem Zugriff zu speichern, mit Kollegen zu teilen, sie in Programmtests einzubeziehen oder gebrauchsfertige Open-Source-Entwicklungen zu verwenden. Der Onlinedienst vereinfacht und beschleunigt die Erstellung von Apps und Diensten erheblich, weshalb er vor allem bei Programmierern besonders beliebt ist. Unternehmen, die ihre Software basierend auf Open-Source-Modulen erstellen, verwenden GitHub aktiv und auch Firmen, die Wert auf Transparenz legen, greifen h\u00e4ufig auf die Plattform zur\u00fcck.<\/p>\n<p>Trotzdem ist immer Vorsicht geboten, wenn Code auf GitHub hochgeladen wird \u2013 ein gut gemeinter Rat, den Entwickler nicht immer befolgen.<\/p>\n<h2><strong>Welche Daten wurden ver\u00f6ffentlicht?<\/strong><\/h2>\n<p>Die Forscher hatten bei ihrer Untersuchung festgestellt, dass GitHub Bl\u00f6cke mit frei verf\u00fcgbarem Code hostet, der Token und Schl\u00fcssel enth\u00e4lt, die zur Autorisierung und somit zur Ausf\u00fchrung bestimmter Aktionen im Namen von Nutzern oder Apps ausreichen. Zu diesen unwissentlich freigegebenen Informationen geh\u00f6rten:<\/p>\n<ul>\n<li>Anmeldeinformationen f\u00fcr Administratorkonten auf wichtigen Websites;<\/li>\n<li>API-Schl\u00fcssel oder -Token, die die Verwendung von In-App-<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/api-application-program-interface\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">API<\/a>-Funktionen erm\u00f6glichen \u2013 eine Reihe von Tools, die der Interaktion zwischen verschiedenen Systemkomponenten, z. B. einem Programm und einer Website dienen;<\/li>\n<li>Kryptographische Schl\u00fcssel von denen viele zur Authentifizierung <em>anstelle<\/em> eines Passworts verwendet werden; die Kenntnis eines einzigen Schl\u00fcssels reicht aus, um Zugriff auf eine Reihe von Ressourcen zu erhalten, einschlie\u00dflich privater Netzwerke.<\/li>\n<\/ul>\n<h3><strong>Deshalb stellen geleakte Token und kryptographische Schl\u00fcssel eine Gefahr dar<\/strong><\/h3>\n<p>Der nicht autorisierte Zugriff auf Ihre Konten stellt eine ernsthafte Bedrohung f\u00fcr Ihr Unternehmen dar. Warum, erkl\u00e4ren wir Ihnen an den folgenden Beispielen.<\/p>\n<p>Eine M\u00f6glichkeit, Token zu missbrauchen, die auf GitHub ver\u00f6ffentlicht wurden, ist der Versand von E-Mail-Nachrichten oder die Ver\u00f6ffentlichungen von Beitr\u00e4gen, die angeblich von dem Unternehmen stammen, das diese Token zur Verf\u00fcgung gestellt hat. So k\u00f6nnte ein Eindringling beispielsweise Zugriff auf eine Unternehmens-Website oder ein Facebook- oder Twitter-Konto erhalten und dort einen sch\u00e4dlichen Post- oder Phishing-Link platzieren. Da offizielle Webseiten und Konten oftmals als zuverl\u00e4ssige Informationsquellen angesehen werden, ist die Wahrscheinlichkeit gro\u00df, dass viele Leser davon ausgehen, dass der Beitrag oder Link vollkommen sicher ist und keine Gefahren birgt.<\/p>\n<p>Dar\u00fcber hinaus k\u00f6nnen Cyberkriminelle Ihre Abonnenten-Liste (wenn Sie beispielsweise MailChimp verwenden) zu Phishing-Zwecken verwenden. Wie im vorherigen Szenario hoffen die Kriminellen auch in diesem Fall darauf, dass die Nutzer einer E-Mail vertrauen, die von einem legitimen Unternehmen stammt. Derartige Angriffe k\u00f6nnen den Ruf eines Unternehmens enorm sch\u00e4digen und aufgrund der verlorenen Kunden und vor allem der Zeit, die f\u00fcr die Wiederherstellung des normalen Unternehmensbetriebs ben\u00f6tigt wird, gro\u00dfen Schaden anrichten.<\/p>\n<p>Zudem k\u00f6nnen Cyberkriminelle die kostenpflichtigen Features eines Dienstes \u2013 wie\u00a0 Amazon AWS \u2013 auf Ihre Kosten nutzen. So erhielt der Blogger <a href=\"http:\/\/vertis.io\/2013\/12\/16\/unauthorised-litecoin-mining.html\" target=\"_blank\" rel=\"noopener nofollow\">Luke Chadwick<\/a> beispielsweise eine Nachricht von Amazon, in der ihm mitgeteilt wurde, dass sein Schl\u00fcssel \u00f6ffentlich auf GitHub verf\u00fcgbar war. Eine Suche f\u00fchrte ihn zu einem alten Projekt, das er aus irgendeinem Grund vergessen hatte zu schlie\u00dfen. Als Chadwick sich in sein Amazon-Konto einloggte, staunte er nicht schlecht, als er sah, dass noch ganze 3.493 US-Dollar zur Zahlung ausstanden. Wie sich herausstellte, hatte ein unbefugter Nutzer den \u00f6ffentlich verf\u00fcgbaren Schl\u00fcssel in die H\u00e4nde bekommen und angefangen unter Verwendung von Lukes Konto Kryptow\u00e4hrung zu sch\u00fcrfen. Letztendlich wurden dem Blogger die Kosten von Amazon erstattet. Denken Sie jedoch daran, dass die Geschichte nicht immer so gl\u00fccklich ausgeht wie in diesem Fall.<\/p>\n<h3><strong>So landeten die privaten Daten auf GitHub<\/strong><\/h3>\n<p>Die Analyse der Forschungsergebnisse zeigt, dass nicht nur junge und unerfahrene Programmierer vertrauliche Informationen in der Public Domain vergessen. So wurden beispielsweise Daten, die den Zugriff auf die Website einer gro\u00dfen Regierungseinrichtung bereitstellten, von einem Entwickler mit 10-j\u00e4hriger Erfolgsgeschichte auf GitHub ver\u00f6ffentlicht.<\/p>\n<p>Token und Schl\u00fcssel aller Art werden in GitHub-Repositories aus zahlreichen Gr\u00fcnden ver\u00f6ffentlicht. Um eine App in einen bestimmten Service zu integrieren sind m\u00f6glicherweise Autorisierungstools erforderlich. Bei der Ver\u00f6ffentlichung von Test-Code verwenden einige Programmierer g\u00fcltige Schl\u00fcssel anstelle von Debug-Schl\u00fcsseln und vergessen dann, diese erneut zu entfernen.<\/p>\n<p>Der <a href=\"https:\/\/securosis.com\/blog\/my-500-cloud-security-screwup\" target=\"_blank\" rel=\"noopener nofollow\">Securosis-Analyst und CEO Rich Mogull<\/a> ver\u00f6ffentlichte unter anderem eine App auf GitHub, die er f\u00fcr einen Konferenzbericht entwickelte. Alle Daten zur Autorisierung wurden lokal gespeichert. Um jedoch einzelne Codebl\u00f6cke debuggen zu k\u00f6nnen, erstellte er eine Testdatei mit mehreren Zugriffsschl\u00fcsseln. Nach dem Debuggen hatte Mogull einfach vergessen, die Schl\u00fcssel wieder aus dieser Datei zu entfernen. Sie wurden anschlie\u00dfend von Kriminellen gefunden, die Amazon-Dienste im Wert von 500 US-Dollar f\u00fcr sich verbuchen konnten, bevor der Vorfall bemerkt wurde.<\/p>\n<p>M\u00f6glicherweise sind sich viele Entwickler auch einfach nicht der Gefahr bewusst, die das Hinterlassen g\u00fcltiger Token in GitHub-Repositories birgt.<\/p>\n<h3><strong>So sch\u00fctzen Sie Ihre Ressourcen<\/strong><\/h3>\n<ul>\n<li>Machen Sie Ihre Entwickler darauf aufmerksam, dass der Upload g\u00fcltiger Token und Schl\u00fcssel zum \u00d6ffnen von Repositories sch\u00e4dlich und gef\u00e4hrlich sein kann; Programmierer sollten verstehen, dass sie vor dem Platzieren von Code sicherstellen m\u00fcssen, dass dieser keine geheimen Daten enth\u00e4lt.<\/li>\n<li>Alle Produktmanager sollten die Projekte Ihres Unternehmens auf GitHub \u00fcberpr\u00fcfen, um herauszufinden, ob sie vertrauliche Informationen enthalten. Wenn dies der Fall ist, sollten diese umgehend gel\u00f6scht werden.<\/li>\n<li>Wenn Daten, die Ihr Unternehmen auf GitHub speichert, Passw\u00f6rter enthalten, sollten Sie die jeweiligen Kennw\u00f6rter umgehend \u00e4ndern. Es gibt keine M\u00f6glichkeit herauszufinden, ob der Code bereits angesehen und gespeichert wurde.<\/li>\n<li>Steigern Sie die Sicherheits-Awareness der Mitarbeiter, damit der verantwortungsbewusste Umgang mit GitHub und anderen Tools und Ressourcen zur Selbstverst\u00e4ndlichkeit wird. <a href=\"https:\/\/www.kaspersky.com\/blog\/building-cybersecurity-culture\/25729\/\" target=\"_blank\" rel=\"noopener nofollow\">Unsere Plattform hilft Ihnen dabei, dies effektiv und praktisch zu tun, ohne den Unternehmensbetrieb zu beeinflussen.<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Auf GitHub befinden sich hunderttausende Token und kryptographische Schl\u00fcssel. Wir erkl\u00e4ren, welche Risiken dies birgt und wie ein Leck vermieden werden kann.<\/p>\n","protected":false},"author":2509,"featured_media":18890,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3257,1624,3256,3258,1604,130,1653,3115],"class_list":{"0":"post-18892","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-api-schlussel","9":"tag-github","10":"tag-kryptographische-schlussel","11":"tag-leaks","12":"tag-leck","13":"tag-privatsphare","14":"tag-security","15":"tag-token"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/token-on-github\/18892\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/leaks\/","name":"Leaks"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18892","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2509"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18892"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18892\/revisions"}],"predecessor-version":[{"id":20875,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18892\/revisions\/20875"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18890"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18892"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18892"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18892"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}