Anzeige

Code

Wie unter anderem das Magazin Bleeping Computer berichtete, ist der Quellcode aus exponierten Repositories von Dutzenden von Unternehmen aus unterschiedlichen Branchen (Technologie, Finanzen, Einzelhandel, Lebensmittel, eCommerce, Fertigung) aufgrund von Fehlkonfigurationen in der Infrastruktur öffentlich zugänglich. 

Die öffentlichen Repositorien des durchgesickerten Codes listen einige klangvolle Namen wie Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (im Besitz von Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; und die Liste wächst weiter. Tillie Kottmann, Entwickler und Reverse-Engineer, hat mithilfe von verschiedenen Quellen und falsch konfigurierten Devops-Tools, die Zugang zum Quellcode erlauben, die Leaks identifiziert. Eine nicht unbeträchtliche Zahl von ihnen, ist unter dem Namen "exonfidential" oder dem eher augenzwinkernd gemeinten Label "Confidential & Proprietary" in einem öffentlichen Repository auf GitLab verfügbar. 

Schlüsselkomponenten jeder Cybersicherheitsinitiative

"DevOps, DevSecOps und Configuration as Code, um nur einige Schlagworte zu nennen, haben alle eines gemeinsam - sie speichern Quell- und möglicherweise Konfigurationsinformationen in Code-Repositories. Die zugrundeliegende Technologie, die bei vielen Repositories verwendet wird, wurde entwickelt, um verteilt arbeitenden Teams die Zusammenarbeit zu erleichtern. Eine Vorgehensweise, die beispielsweise in der Open Source Community üblich ist. Setzt man Code-Repositories im Geschäftsumfeld ein, haben sie die gleichen Vorteile. Allerdings sollte man sie ordnungsgemäß verwalten, um zu vermeiden, dass kritische Informationen nach außen dringen. 

So wird ein Mitarbeiter, der eine Reihe von QA-Tests entwickelt, seinen Code wahrscheinlich in einem Repository ablegen. Wenn dieser Code nur als Prototyp gedacht war, trifft der betreffende Entwickler möglicherweise keine Vorkehrungen, um Passwörter oder Zugriffstoken, die geheim bleiben sollten, ordnungsgemäß zu verwalten. Wenn dann noch die Identität und der Arbeitgeber des betreffenden Entwicklers bekannt sind, z.B. via LinkedIn, und auf ein Repository wie z.B. GitHub abgebildet werden können, lässt sich ein gezielter Angriff starten. 

Dieser Angriff würde dann etwa nach Beurteilungsfehlern suchen, wenn bei der Veröffentlichung des Prototyp-Codes Short Cuts verwendet worden sind. Code-Repositories enthalten oftmals auch zurückliegende Bearbeitungen. Selbst, wenn ein Fehler mittels eines Patchs bereits behoben wurde, kann es passieren, dass er in der Historie erhalten bleibt. 

Tatsächlich nutzt ein solches Angriffsmuster die Stärken der Technologie (historische Aufzeichnungen) als Hebel für eine potenziell ausnutzbare Schwachstelle (ein Fehler im menschlichen Urteilsvermögen). Dieses Repository of Code und das damit verbundene Angriffsmuster sollten IT- und Entwicklungsingenieure daran erinnern, Repositorykonfigurationen und Nutzung regelmässig zu überprüfen. Das sind Schlüsselkomponenten jeder Cybersicherheitsinitiative. Dazu gehört es auch, sämtliche Verzweigungsaktivitäten des Codes zu überprüfen und den Code rigide zu kontrollieren, bevor er implementiert wird. Diese Maßnahmen stellen sicher, dass Firmengeheimnisse nicht versehentlich in einem öffentlich zugänglichen Forum gepostet werden."

Mehr Informationen zum Vorfall finden Sie hier.

Tim Mackey, Synopsys, www.synopsys.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberrisk
Jul 27, 2020

Die fünf großen Gefahren für die IT-Sicherheit

Schwachstellen in der IT-Infrastruktur können zum Einfallstor für Hacker werden. Aber…
Open Source
Jun 23, 2020

Open Source-Risiken im Auge behalten

Es ist kaum anzunehmen, dass Oberstufenschüler ihrem Berufsberater „Chief Inventory…
Schwachstellen schneller finden
Jun 05, 2020

Software-Composition-Analyse beschleunigt Behebung von Open-Source-Schwachstellen

Aufsetzend auf den marktführenden Quellcode-Analyse- und Automatisierungstechnologien von…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!