Anzeige

Code

Wie unter anderem das Magazin Bleeping Computer berichtete, ist der Quellcode aus exponierten Repositories von Dutzenden von Unternehmen aus unterschiedlichen Branchen (Technologie, Finanzen, Einzelhandel, Lebensmittel, eCommerce, Fertigung) aufgrund von Fehlkonfigurationen in der Infrastruktur öffentlich zugänglich. 

Die öffentlichen Repositorien des durchgesickerten Codes listen einige klangvolle Namen wie Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (im Besitz von Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; und die Liste wächst weiter. Tillie Kottmann, Entwickler und Reverse-Engineer, hat mithilfe von verschiedenen Quellen und falsch konfigurierten Devops-Tools, die Zugang zum Quellcode erlauben, die Leaks identifiziert. Eine nicht unbeträchtliche Zahl von ihnen, ist unter dem Namen "exonfidential" oder dem eher augenzwinkernd gemeinten Label "Confidential & Proprietary" in einem öffentlichen Repository auf GitLab verfügbar. 

Schlüsselkomponenten jeder Cybersicherheitsinitiative

"DevOps, DevSecOps und Configuration as Code, um nur einige Schlagworte zu nennen, haben alle eines gemeinsam - sie speichern Quell- und möglicherweise Konfigurationsinformationen in Code-Repositories. Die zugrundeliegende Technologie, die bei vielen Repositories verwendet wird, wurde entwickelt, um verteilt arbeitenden Teams die Zusammenarbeit zu erleichtern. Eine Vorgehensweise, die beispielsweise in der Open Source Community üblich ist. Setzt man Code-Repositories im Geschäftsumfeld ein, haben sie die gleichen Vorteile. Allerdings sollte man sie ordnungsgemäß verwalten, um zu vermeiden, dass kritische Informationen nach außen dringen. 

So wird ein Mitarbeiter, der eine Reihe von QA-Tests entwickelt, seinen Code wahrscheinlich in einem Repository ablegen. Wenn dieser Code nur als Prototyp gedacht war, trifft der betreffende Entwickler möglicherweise keine Vorkehrungen, um Passwörter oder Zugriffstoken, die geheim bleiben sollten, ordnungsgemäß zu verwalten. Wenn dann noch die Identität und der Arbeitgeber des betreffenden Entwicklers bekannt sind, z.B. via LinkedIn, und auf ein Repository wie z.B. GitHub abgebildet werden können, lässt sich ein gezielter Angriff starten. 

Dieser Angriff würde dann etwa nach Beurteilungsfehlern suchen, wenn bei der Veröffentlichung des Prototyp-Codes Short Cuts verwendet worden sind. Code-Repositories enthalten oftmals auch zurückliegende Bearbeitungen. Selbst, wenn ein Fehler mittels eines Patchs bereits behoben wurde, kann es passieren, dass er in der Historie erhalten bleibt. 

Tatsächlich nutzt ein solches Angriffsmuster die Stärken der Technologie (historische Aufzeichnungen) als Hebel für eine potenziell ausnutzbare Schwachstelle (ein Fehler im menschlichen Urteilsvermögen). Dieses Repository of Code und das damit verbundene Angriffsmuster sollten IT- und Entwicklungsingenieure daran erinnern, Repositorykonfigurationen und Nutzung regelmässig zu überprüfen. Das sind Schlüsselkomponenten jeder Cybersicherheitsinitiative. Dazu gehört es auch, sämtliche Verzweigungsaktivitäten des Codes zu überprüfen und den Code rigide zu kontrollieren, bevor er implementiert wird. Diese Maßnahmen stellen sicher, dass Firmengeheimnisse nicht versehentlich in einem öffentlich zugänglichen Forum gepostet werden."

Mehr Informationen zum Vorfall finden Sie hier.

Tim Mackey, Synopsys, www.synopsys.com


Artikel zu diesem Thema

Cyberrisk
Jul 27, 2020

Die fünf großen Gefahren für die IT-Sicherheit

Schwachstellen in der IT-Infrastruktur können zum Einfallstor für Hacker werden. Aber…
Open Source
Jun 23, 2020

Open Source-Risiken im Auge behalten

Es ist kaum anzunehmen, dass Oberstufenschüler ihrem Berufsberater „Chief Inventory…
Schwachstellen schneller finden
Jun 05, 2020

Software-Composition-Analyse beschleunigt Behebung von Open-Source-Schwachstellen

Aufsetzend auf den marktführenden Quellcode-Analyse- und Automatisierungstechnologien von…

Weitere Artikel

Bug Bounty

Post-Corona-Cybersecurity: CISOs sollten auf Bug Bounty setzen

Eine steigende Anzahl an Cyberattacken, neue Angriffspunkte durch eine immer schneller werdende digitale Transformation, wachsende Kosten bei knappem Sicherheitsbudget und ein immer größer werdender Mangel an Cybersecurity-Experten: CISOs stehen heute vor…
E-Mail Sicherheit

Für drei von vier Kleinunternehmern ist rechtssichere E-Mail-Archivierung Neuland

Drei Viertel der Beschäftigten in deutschen Kleinunternehmen (73 Prozent) kennen die gesetzlichen Vorgaben der rechtssicheren E-Mail-Archivierung nicht.
Security Awareness

Mitarbeiter stellen die IT-Sicherheit im deutschen Mittelstand immer wieder auf die Probe

Jedes zweite Unternehmen im deutschen Mittelstand kennt die Situation, wenn ein Cyberangriff erfolgreich war. Ungeschulte Mitarbeiter spielen dabei häufig eine wichtige Rolle.
Home Office

6 Tipps für effektives und sicheres Arbeiten im Homeoffice

Im Kampf gegen steigende Infektionszahlen verschlägt es immer mehr Menschen ins Homeoffice. Die neue Situation bringt jedoch auch neue Herausforderungen mit sich. Mit diesen konkreten Tipps gelingt die reibungslose Umstellung.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.