×
180702-github-example-page.jpg
Una scansione di miliardi di file dal 13 per cento di tutti GitHub depositi pubblici, per un periodo di sei mesi, ha rivelato che più di 100.000 repos sono trapelate token delle API e le chiavi di crittografia, con migliaia di nuovi repository per perdite nuovi segreti su una base quotidiana.
La scansione è stata oggetto di ricerca accademica condotta da un team della North Carolina State University (NCSU), e i risultati dello studio sono stati condivisi con GitHub, che ha agito sui risultati di accelerare il suo lavoro su una nuova funzionalità di protezione chiamato Token di Scansione, attualmente in versione beta.
Accademici acquisita miliardi di GitHub file
Il NCSU studio è la più completa e approfondita GitHub scansione per data e supera ogni precedente ricerca del suo genere.
NCSU accademici acquisita GitHub conti per un periodo di circa sei mesi, tra il 31 ottobre, 2017 e 20 aprile, 2018 e per cercare stringhe di testo formattato come token delle API e le chiavi di crittografia.
Non basta usare GitHub API di Ricerca per cercare questi modelli di testo, come altri precedenti sforzi di ricerca, ma anche guardato repository GitHub istantanee registrate in Google BigQuery database.
In tutto il periodo di sei mesi, i ricercatori hanno analizzato miliardi di file da milioni di repository GitHub.
In un documento di ricerca pubblicato il mese scorso, i tre uomini NCSU squadra ha detto che acquisiti e analizzati 4,394,476 file che rappresentano 681,784 repos tramite GitHub API di Ricerca, e un altro 2,312,763,353 file da 3,374,973 repos che era stato registrato in Google BigQuery database.
NCSU team acquisita per API gettoni da 11 imprese
All’interno di questo gigantesco mucchio di file, i ricercatori hanno esaminato per le stringhe di testo che sono stati nel formato di particolare API gettoni o le chiavi di crittografia.
Poiché non tutti i token delle API e chiavi di crittografia sono nello stesso formato, la NCSU team ha deciso il 15 API formati di token (dal 15 servizi appartenenti a 11 compagnie, cinque dei quali sono stati da Alexa Top 50), e quattro di chiavi crittografiche formati.
Ciò ha incluso la chiave API formati utilizzati da Google, Amazon, Twitter, Facebook, Mailchimp, MailGun, Striscia, Twilio, Piazza, Braintree, e Picatic.
Immagine: Meli et. al
×
ncsu-github-scansione-testato-api.png
Risultati tornato subito, con migliaia di API e chiavi di crittografia fuoriuscita di essere ogni giorno del progetto di ricerca.
In totale, il NCSU squadra ha detto che ha trovato 575,456 API e le chiavi di crittografia, di cui 201,642 erano unici, distribuiti su più di 100.000 GitHub progetti.
Immagine: Meli et. al
×
ncsu-github-scansione-risultati.png
Un’osservazione che il team di ricerca ha fatto nel loro tesi era che i “segreti” rilevato utilizzando le API di Google Search e quelli tramite Google BigQuery dataset aveva poco in comune.
“Dopo l’adesione sia di collezioni, abbiamo determinato che 7,044 segreti, o 3.49% del totale, sono stati osservati in entrambi i dataset. Questo indica che i nostri approcci sono in gran parte complementari,” i ricercatori hanno detto.
Inoltre, la maggior parte delle API gettoni e chiavi di crittografia –93.58 per cento-è venuto dal singolo proprietario conti, piuttosto che multi-proprietario repository.
Che cosa questo significa è che la stragrande maggioranza di API e di chiavi di crittografia trovato il NCSU team sono stati molto probabilmente valido gettoni e tasti utilizzati nel mondo reale, come multi-proprietario di account di solito tendono a contenere test gettoni usati per condiviso-ambienti di test e con dev codice.
Trapelate API e chiavi di cifratura per appendere in giro per settimane
Perché il progetto di ricerca, inoltre, ha avuto luogo nel corso di un periodo di sei mesi, i ricercatori hanno anche avuto la possibilità di osservare se e quando i proprietari di account renderebbe conto che hai perso API e le chiavi di crittografia, e rimuovere i dati sensibili dal loro codice.
La squadra ha detto che il sei per cento delle API e le chiavi di crittografia sono monitorati sono stati rimossi entro un’ora dopo che sono trapelate, suggerendo che questi GitHub proprietari resi conto del loro errore.
Oltre il 12 per cento delle chiavi e dei gettoni erano andati dopo un giorno, mentre il 19% ha soggiornato per ben 16 giorni.
“Questo significa che anche il 81% dei segreti scopriamo che non sono stati rimossi,” i ricercatori hanno detto. “È probabile che gli sviluppatori per questo l’ 81% non conoscere i segreti che sono impegnati o sono sottovalutando il rischio di compromessi”.
Immagine: Meli et. al
×
ncsu-github-scansione temporale.png
Team di ricerca, scopre alcuni di alto profilo perdite
La straordinaria qualità delle scansioni è stato evidente quando i ricercatori hanno cominciato a guardare cosa e dove sono state alcune di queste perdite erano originari.
“In un caso, abbiamo trovato ciò che crediamo di essere AWS credenziali per un sito importante invocata da milioni di college candidati negli Stati Uniti, forse trapelato da un imprenditore,” il NCSU squadra ha detto.
“Abbiamo anche trovato AWS credenziali per il sito web di un importante agenzia di stato in un paese dell’europa Occidentale. In questo caso, siamo stati in grado di verificare la validità dell’account, e anche le specifiche sviluppatore che ha commesso i segreti. Questo sviluppatore afferma in loro presenza online per avere quasi 10 anni di esperienza di sviluppo.”
In un altro caso, i ricercatori hanno anche trovato 564 API di Google tasti che sono stati utilizzati da un sito online per la gonna YouTube limiti di velocità e scaricare i video di YouTube che avevano seguito host su un altro portale di condivisione video.
“Perché il numero di chiavi è così alta, abbiamo il sospetto (ma non può confermare) che questi tasti sono stati ottenuti in modo fraudolento,” NCSU i ricercatori hanno detto.
Ultimo, ma non meno importante, i ricercatori hanno anche trovato 7,280 chiavi RSA all’interno del file di configurazione di OpenVPN. Guardando le altre impostazioni che si trovano all’interno di questi file di configurazione, i ricercatori hanno detto che la maggior parte degli utenti aveva disattivato la password di autenticazione e si sono basati esclusivamente sulle chiavi RSA per l’autenticazione, il che significa chiunque trovato queste chiavi hanno guadagnato l’accesso a migliaia di reti private.
L’alta qualità dei risultati della scansione è stata evidente anche quando i ricercatori hanno utilizzato altre API, token-strumenti di analisi per analizzare la loro set di dati, per determinare l’efficienza del loro sistema di scansione.
“I nostri risultati mostrano che TruffleHog è in gran parte inefficace la rilevazione di segreti, come il suo algoritmo rilevato solo 25.236% dei segreti nella nostra Ricerca del set di dati e 29.39% nel BigQuery set di dati”, il team di ricerca ha detto.
GitHub è a conoscenza e sul lavoro
In un’intervista a ZDNet oggi, Brad Reaves, Assistant Professor presso il Dipartimento di Computer Science presso la North Carolina State University, ha detto che hanno condiviso i risultati dello studio con GitHub nel 2018.
“Abbiamo discusso i risultati con GitHub. Hanno avviato un progetto interno per rilevare e notificare gli sviluppatori su trapelare segreti a destra tutto il tempo siamo stati conclusioni il nostro studio. Questo progetto è stato pubblicamente riconosciuto nel mese di ottobre 2018,” Reaves detto.
“Ci hanno detto che il monitoraggio di ulteriori segreti al di là di quelli elencati nella documentazione, ma non siamo stati forniti ulteriori dettagli.
“Perché la dispersione di questo tipo è così pervasivo, sarebbe stato molto difficile per noi per informare tutti gli interessati che gli sviluppatori. Una delle tante sfide che abbiamo di fronte è che noi semplicemente non hanno un modo per ottenere sicuro informazioni di contatto per GitHub, gli sviluppatori scala,” Reaves aggiunto.
“Al momento il nostro giornale è andato in stampa, abbiamo cercato di lavorare con GitHub per fare le notifiche, ma data la sovrapposizione tra i nostri token scansione e la loro, si sono sentiti un ulteriore notifica non era necessario.”
API key perdite –un problema noto
Il problema di sviluppatori di lasciare le loro API e chiavi di crittografia in applicazioni e siti web il codice sorgente non è nuovo. Amazon ha esortato web sviluppatori per cercare il loro codice e rimuovere qualsiasi AWS chiavi pubbliche repos quanto riguarda il 2014, e ha anche rilasciato uno strumento per la loro scansione repos prima di commettere qualsiasi codice di un repository pubblico.
Alcune aziende hanno preso su di sé per eseguire la scansione di GitHub e altro codice di condivisione di archivi di accidentaly esposto chiavi API, e revocare il token anche prima di API key proprietari di notare che la perdita o l’abuso.
Ciò che il NCSU studio ha fatto è stato quello di fornire la più approfondito sguardo a questo problema.
La carta che Reaves scritto insieme a Michele Meli e Matteo R. McNiece è intitolato “Come il Male Può Git? La caratterizzazione Segreto di Perdita in Pubblico Repository GitHub,” ed è disponibile per il download in formato PDF.
“I nostri risultati mostrano che la gestione delle credenziali nel software open source repository è ancora difficile per esperti e principianti,” Reaves ci ha detto.
Relative la copertura di sicurezza:
Microsoft rilascia l’Applicazione Guardia di estensione per Chrome e FirefoxGoogle open-sources progetto per il sandboxing delle librerie C/C++ su LinuxMicrosoft per risolvere romanzo di bug classe’ scoperto da Google engineerKaspersky file antitrust denuncia contro Apple in RussiaAT&T, Comcast con successo la prova di SCOSSA/MESCOLARE protocollo per la lotta robocallsNokia firmware gaffe inviato alcuni dati dell’utente per la Cina
Slack, enterprise-grade strumento di sicurezza che consente di aggiungere chiavi di crittografia TechRepublicAmazon del Rekognition software consente di poliziotti traccia facce CNET
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati