如何防止企業(yè)的數據和機密從GitHub存儲庫泄露

隨著(zhù)企業(yè)從內部部署軟件過(guò)渡到云平臺以及越來(lái)越多的開(kāi)發(fā)人員在家工作，包括用戶(hù)名、密碼、Google密鑰、開(kāi)發(fā)工具或私鑰在內的機密不斷增加。

研究表明，網(wǎng)絡(luò )攻擊者不斷在等公共代碼存儲庫中搜索開(kāi)發(fā)人員可能留下的秘密，任何微小的錯誤都可能被他們利用。

安全研究員Craig Hays在疫情期間進(jìn)行了一個(gè)實(shí)驗。他將其SSH用戶(hù)名和密碼泄露到GitHub存儲庫中，看看是否有網(wǎng)絡(luò )攻擊者可能會(huì )找到它。他認為可能需要等待幾天才會(huì )有人注意到。事實(shí)證明更加殘酷，第一次未經(jīng)授權的登錄發(fā)生在其泄露用戶(hù)名和密碼之后的34分鐘內。他說(shuō)：“對我來(lái)說(shuō)，最讓我大開(kāi)眼界的是它被利用的速度有多快?！?

在最初的24小時(shí)內，六個(gè)不同的IP地址9次登錄他的帳號。一名網(wǎng)絡(luò )攻擊者試圖安裝僵尸網(wǎng)絡(luò )客戶(hù)端，另一名網(wǎng)絡(luò )攻擊者試圖使用其服務(wù)器發(fā)起拒絕服務(wù)攻擊。Hays還看到有人想從他的服務(wù)器竊取敏感信息，也有人只是查看信息。

實(shí)驗表明，威脅行為者不斷掃描GitHub和其他公共代碼存儲庫，尋找開(kāi)發(fā)人員留下的敏感數據。隨著(zhù)企業(yè)從內部部署軟件過(guò)渡到云平臺以及越來(lái)越多的開(kāi)發(fā)人員在家工作，包括用戶(hù)名、密碼、Google密鑰、開(kāi)發(fā)工具或私鑰在內的機密不斷增加。法國安全初創(chuàng )廠(chǎng)商GitGuardian公司的聯(lián)合創(chuàng )始人Eric Fourrier表示，僅在今年，數據泄露就比去年至少增加了20%，該公司主要提供掃描公共存儲庫以識別網(wǎng)絡(luò )攻擊者可能利用的數據的服務(wù)。

黑客如何找到GitHub的秘密

黑客知道GitHub是查找敏感信息的好地方，聯(lián)合國機構、Equifax、Codecov、星巴克和優(yōu)步等機構和組織為此付出了代價(jià)。一些企業(yè)可能會(huì )爭辯說(shuō)他們不會(huì )面臨風(fēng)險，因為他們不使用開(kāi)源代碼，但事實(shí)上更微妙;開(kāi)發(fā)人員經(jīng)常將他們的個(gè)人存儲庫用于工作項目。根據針對GitHub的調查報告，85%的數據泄漏發(fā)生在開(kāi)發(fā)人員的個(gè)人存儲庫中，其他15%的數據泄漏發(fā)生在企業(yè)擁有的存儲庫中。

開(kāi)發(fā)人員會(huì )留下shell命令歷史、環(huán)境文件和受版權保護的內容。有時(shí)他們也會(huì )犯錯誤，因為試圖簡(jiǎn)化流程。例如，他們在編寫(xiě)代碼時(shí)可能會(huì )包含他們的憑據，因為這樣更容易調試。然后，他們可能會(huì )忘記刪除并提交。即使他們稍后執行刪除提交或強制刪除機密，這些私人信息通常仍然可以在Git歷史記錄中訪(fǎng)問(wèn)。

GitHub上最常見(jiàn)的機密類(lèi)型

Hays說(shuō)，“我在舊版本的文件中發(fā)現了很多密碼，而這些密碼已被更新的、更干凈的版本替換，而這些版本中沒(méi)有密碼?！盙it提交歷史會(huì )記住所有內容，除非明確刪除它。

無(wú)論是初級開(kāi)發(fā)人員還是高級開(kāi)發(fā)人員都可能犯錯誤。Fourrier說(shuō)。，“即使你是一位出色的開(kāi)發(fā)人員，并且在安全問(wèn)題上受過(guò)教育，在某些時(shí)候編碼時(shí)，可能會(huì )犯錯誤，而泄露秘密通常是人為的錯誤?！?

在GitHub上發(fā)現的最常見(jiàn)的文件類(lèi)型

任何開(kāi)發(fā)人員都會(huì )出錯，那些剛進(jìn)入職場(chǎng)的開(kāi)發(fā)人員通常會(huì )泄露更多的機密。當Crina Catalina Bucur多年前還是一名軟件工程專(zhuān)業(yè)的學(xué)生時(shí)，就開(kāi)設了一個(gè)用于開(kāi)發(fā)目的的AWS賬戶(hù)，但不久收到了2000美元的賬單，其中只有0.01美元是她應該支付的費用。

她說(shuō)，“我開(kāi)發(fā)的項目是一個(gè)聚合文件管理平臺，用于大約10種云存儲服務(wù)，包括亞馬遜的S3。這發(fā)生在GitHub提供免費私有存儲庫之前，所以我的AWS訪(fǎng)問(wèn)密鑰和相應的密鑰與代碼一起發(fā)布到我的公共存儲庫。而我當時(shí)并沒(méi)有考慮太多?！?

幾天后，她開(kāi)始收到來(lái)自AWS的電子郵件，警告她的賬戶(hù)已被盜用，但她沒(méi)有仔細閱讀這些郵件，直到收到賬單。對她來(lái)說(shuō)，幸運的是AWS公司免除了其他額外費用。但Bucur還是犯了一些被黑客利用的錯誤，包括為方便起見(jiàn)對密鑰進(jìn)行硬編碼并將它們發(fā)布到公共代碼存儲庫中。

Hays表示，如今想要發(fā)現此類(lèi)錯誤的黑客只需要很少的資源。他在業(yè)余時(shí)間是一名漏洞的賞金獵人，并且經(jīng)常依賴(lài)開(kāi)源情報(OSINT)，這些都是可以在網(wǎng)上找到的信息。他說(shuō)，“我選擇的方法是使用標準的Github.com界面人工搜索，我使用搜索運算符限制特定的文件類(lèi)型、關(guān)鍵字、用戶(hù)和組織，具體取決于針對的公司?！?

一些工具可以使過(guò)程更快、更有效。HUMAN公司的安全研究員Gabriel Cirlig說(shuō)：“網(wǎng)絡(luò )攻擊者運行自動(dòng)機器人來(lái)抓取GitHub內容并提取敏感信息。這些機器人可以一直運行，這意味著(zhù)黑客可以在幾秒鐘或幾分鐘內檢測到錯誤?！?

一旦發(fā)現秘密，網(wǎng)絡(luò )攻擊者就可以輕松利用它。Fourrier說(shuō)，“例如，如果找到AWS密鑰，就可以訪(fǎng)問(wèn)某公司的所有基礎設施。而針對為特定公司工作的開(kāi)發(fā)人員并嘗試查看該公司的一些資產(chǎn)非常簡(jiǎn)單?！备鶕C密的性質(zhì)，黑客可以做很多事情，其中包括發(fā)起供應鏈攻擊和危害企業(yè)的安全。

隨著(zhù)機密數量的增加，企業(yè)需要在為時(shí)已晚之前更好地發(fā)現它們。GitHub有自己的“秘密掃描合作伙伴程序”，它可以查找類(lèi)似密碼、SSH密鑰或API令牌的文本字符串。GitHub與40多家云計算服務(wù)提供商合作，自動(dòng)修復公共存儲庫中公開(kāi)的API密鑰。

GitHub發(fā)言人表示，“我們一直在尋求擴大這些合作伙伴關(guān)系，以更好地保護生態(tài)系統。我們目前每天注銷(xiāo)100多個(gè)公開(kāi)的GitHub API密鑰，在我們這樣做時(shí)，通常會(huì )安全地向新開(kāi)發(fā)人員介紹憑證安全的重要性?！?

Hays表示，“秘密掃描合作伙伴程序”是朝著(zhù)正確方向邁出的一步，因為它使網(wǎng)絡(luò )攻擊者更難找到有效憑據。不過(guò)他表示，該計劃并不完美。他說(shuō)，“當人們不小心檢查他們自己的SSH密鑰、密碼、令牌或任何其他敏感的東西時(shí)，仍然留下了空白。這更難以檢測和管理，因為沒(méi)有合作的憑證提供者可以提出諸如‘這是真的嗎?想撤銷(xiāo)它嗎?我們中的一方應該告訴所有者嗎?’之類(lèi)的問(wèn)題?！?

與此同時(shí)，他建議開(kāi)發(fā)人員注意他們編寫(xiě)和部署代碼的方式。他說(shuō)，“首先要做的事情之一是將正確的設置添加到.gitignore文件中，這個(gè)文件告訴Git和GitHub.com哪些文件不應該被跟蹤和上傳到互聯(lián)網(wǎng)?！?

一些安全初創(chuàng )廠(chǎng)商也在試圖填補這一空白。GittyLeaks、SecretOps、gitLeaks和GitGuardian旨在為業(yè)務(wù)用戶(hù)和獨立專(zhuān)業(yè)人士提供更多的保護層。有些人可以在幾秒鐘內檢測到泄露的機密，從而使開(kāi)發(fā)人員和公司能夠立即采取行動(dòng)。Fourrier說(shuō)，“我們在整個(gè)開(kāi)發(fā)生命周期、Docker容器、不同類(lèi)型的數據中掃描軟件上的所有代碼，我們找到并試圖撤銷(xiāo)它們?！?

在理想情況下，最好的策略是根本不泄露數據或盡可能少地泄露，提高對這一問(wèn)題的認識有助于做到這一點(diǎn)。Cirlig說(shuō)：“教育開(kāi)發(fā)人員編寫(xiě)安全代碼并主動(dòng)阻止攻擊總比事后應對數據泄露事件要好得多?！?