Anzeige

Code

Wie unter anderem das Magazin Bleeping Computer berichtete, ist der Quellcode aus exponierten Repositories von Dutzenden von Unternehmen aus unterschiedlichen Branchen (Technologie, Finanzen, Einzelhandel, Lebensmittel, eCommerce, Fertigung) aufgrund von Fehlkonfigurationen in der Infrastruktur öffentlich zugänglich. 

Die öffentlichen Repositorien des durchgesickerten Codes listen einige klangvolle Namen wie Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (im Besitz von Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; und die Liste wächst weiter. Tillie Kottmann, Entwickler und Reverse-Engineer, hat mithilfe von verschiedenen Quellen und falsch konfigurierten Devops-Tools, die Zugang zum Quellcode erlauben, die Leaks identifiziert. Eine nicht unbeträchtliche Zahl von ihnen, ist unter dem Namen "exonfidential" oder dem eher augenzwinkernd gemeinten Label "Confidential & Proprietary" in einem öffentlichen Repository auf GitLab verfügbar. 

Schlüsselkomponenten jeder Cybersicherheitsinitiative

"DevOps, DevSecOps und Configuration as Code, um nur einige Schlagworte zu nennen, haben alle eines gemeinsam - sie speichern Quell- und möglicherweise Konfigurationsinformationen in Code-Repositories. Die zugrundeliegende Technologie, die bei vielen Repositories verwendet wird, wurde entwickelt, um verteilt arbeitenden Teams die Zusammenarbeit zu erleichtern. Eine Vorgehensweise, die beispielsweise in der Open Source Community üblich ist. Setzt man Code-Repositories im Geschäftsumfeld ein, haben sie die gleichen Vorteile. Allerdings sollte man sie ordnungsgemäß verwalten, um zu vermeiden, dass kritische Informationen nach außen dringen. 

So wird ein Mitarbeiter, der eine Reihe von QA-Tests entwickelt, seinen Code wahrscheinlich in einem Repository ablegen. Wenn dieser Code nur als Prototyp gedacht war, trifft der betreffende Entwickler möglicherweise keine Vorkehrungen, um Passwörter oder Zugriffstoken, die geheim bleiben sollten, ordnungsgemäß zu verwalten. Wenn dann noch die Identität und der Arbeitgeber des betreffenden Entwicklers bekannt sind, z.B. via LinkedIn, und auf ein Repository wie z.B. GitHub abgebildet werden können, lässt sich ein gezielter Angriff starten. 

Dieser Angriff würde dann etwa nach Beurteilungsfehlern suchen, wenn bei der Veröffentlichung des Prototyp-Codes Short Cuts verwendet worden sind. Code-Repositories enthalten oftmals auch zurückliegende Bearbeitungen. Selbst, wenn ein Fehler mittels eines Patchs bereits behoben wurde, kann es passieren, dass er in der Historie erhalten bleibt. 

Tatsächlich nutzt ein solches Angriffsmuster die Stärken der Technologie (historische Aufzeichnungen) als Hebel für eine potenziell ausnutzbare Schwachstelle (ein Fehler im menschlichen Urteilsvermögen). Dieses Repository of Code und das damit verbundene Angriffsmuster sollten IT- und Entwicklungsingenieure daran erinnern, Repositorykonfigurationen und Nutzung regelmässig zu überprüfen. Das sind Schlüsselkomponenten jeder Cybersicherheitsinitiative. Dazu gehört es auch, sämtliche Verzweigungsaktivitäten des Codes zu überprüfen und den Code rigide zu kontrollieren, bevor er implementiert wird. Diese Maßnahmen stellen sicher, dass Firmengeheimnisse nicht versehentlich in einem öffentlich zugänglichen Forum gepostet werden."

Mehr Informationen zum Vorfall finden Sie hier.

Tim Mackey, Synopsys, www.synopsys.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberrisk
Jul 27, 2020

Die fünf großen Gefahren für die IT-Sicherheit

Schwachstellen in der IT-Infrastruktur können zum Einfallstor für Hacker werden. Aber…
Open Source
Jun 23, 2020

Open Source-Risiken im Auge behalten

Es ist kaum anzunehmen, dass Oberstufenschüler ihrem Berufsberater „Chief Inventory…
Schwachstellen schneller finden
Jun 05, 2020

Software-Composition-Analyse beschleunigt Behebung von Open-Source-Schwachstellen

Aufsetzend auf den marktführenden Quellcode-Analyse- und Automatisierungstechnologien von…

Weitere Artikel

USB

Risiko von USB-Bedrohungen verdoppelt

Laut dem neuesten Industrial USB Threat Report von Honeywell ist die Schwere der Bedrohungen für Systeme der Betriebstechnologie über einen Zeitraum von 12 Monaten erheblich gestiegen.
Cybersicherheit

Schwachstellen in kritischen IT-Schnittstellen für die Industrie 4.0

Trend Micro veröffentlicht Forschungsergebnisse, die eine neue Art von Sicherheitslücken in Protokoll-Gateway-Geräten aufzeigen, welche Industrie-4.0-Umgebungen kritischen Angriffen aussetzen könnten.
Cyber Resilience

5 Mythen über Cyber Resilience

Angesichts der wachsenden Bedrohung durch Cyber-Angriffe wird Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen haben bisher allerdings ein hohes Resilienz-Level erreicht – so eine aktuelle Studie von Frost & Sullivan und…
Cybersecurity

Schützen Sie Ihr IP vor Cyber-Bedrohungen

Geistiges Eigentum ist der wichtigste Wert eines jeden Unternehmens, denn es definiert und differenziert Unternehmen durch seine Ideen und Erfindungen und trägt wesentlich zur Unternehmensbewertung bei. Aufgrund seines hohen Wertes versuchen Kriminelle…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!