In letzter Zeit gab es viele Neuigkeiten über zufällige Lecks verschiedener vertraulicher Daten aus einem Webdienst für das Hosting von IT-Projekten und deren gemeinsame Entwicklung durch GitHub.
Ich betone, dass es sich um zufällige Lecks handelt, d. H. durch Fahrlässigkeit und ohne Vorsatz der Täter der Vorfälle geschehen. Das Abschreiben solcher Lecks auf die Unerfahrenheit von Mitarbeitern in IT-Fragen wird nicht funktionieren, weil GitHub-Benutzer sind überwiegend Entwickler, d. H. voll qualifiziertes und kompetentes Personal. Leider machen selbst sehr gute Spezialisten manchmal triviale Fehler, insbesondere wenn es um Sicherheitsprobleme geht. Betrachten wir es als Nachlässigkeit.
Hier sind einige sehr berühmte Beispiele für GitHub:
- 2014 - Uber hat die persönlichen Daten von 50.000 seiner Fahrer durchgesickert. Der Grund war, dass Uber-Entwickler im öffentlichen GitHub-Repository Amazon Cloud Access Keys (AWS) gespeichert haben, in denen wiederum dieselben verlorenen Daten gespeichert wurden.
- 2017 - Es stellte sich heraus, dass die Entwickler des Herstellers von Quadrocoptern DJI im öffentlichen Repository GitHub den privaten Schlüssel des SSL-Zertifikats des Unternehmens und die AES-Schlüssel zur Verschlüsselung der Firmware gespeichert haben. Außerdem wurden dort Anmeldeinformationen für Amazon Web Services gespeichert, die wiederum Flugprotokolle, Passdaten und Informationen zu DJI-Kundenlizenzen enthielten.
- 2017 - DXC Technologies, Ingenieur bei einem großen US-amerikanischen IT-Outsourcer, hat AWS-Zugriffsschlüssel in das öffentliche GitHub-Repository hochgeladen.
- 2017 - Quellcodes, Berichte und Entwicklungspläne für mehrere große Finanzinstitute in Kanada, den USA und Japan, die von Mitarbeitern des indischen Outsourcing-Unternehmens Tata Consultancy Service, deren Kunden betroffene Finanzinstitute waren, dort platziert wurden, wurden im öffentlichen GitHub-Repository entdeckt.
Offensichtlich könnten all diese Fälle von unbeabsichtigten Lecks leicht verhindert werden, indem die auf GitHub hochgeladenen Daten überwacht werden. Niemand spricht von einem vollständigen Verbot des Zugriffs auf GitHub. Dies ist eine sinnlose und sogar schädliche Idee (wenn es ein Verbot gibt, der Dienst jedoch benötigt wird, umgehen die Entwickler dieses Verbot). Wir benötigen eine Lösung, die Informationslecks verhindert und über einen Echtzeit-Inhaltsanalysator verfügt, der verhindert, dass GitHub nur Daten hochlädt, die aus Sicherheitsgründen nicht vorhanden sein sollten (z. B. Amazon Cloud Access Keys).
Ich werde Ihnen am Beispiel des DeviceLock-DLP zeigen, wie Sie dieses spezielle Problem lösen können. Die anfänglichen Daten, die wir haben, sind wie folgt:
- GitHub Account,
- AWS-Schlüssel,
- DeviceLock DLP Version 8.3.
Zunächst stellen wir fest, dass der AWS-Schlüssel die geschützten Daten sind und dass verhindert werden muss, dass er zu GitHub gelangt.
Da der Schlüssel eine Reihe von Bytes ohne ausgeprägte Signaturen ist (ja, ich kenne den Text „BEGIN / END PRIVATE KEY“ am Anfang und am Ende, aber dies ist eine sehr schwache Signatur und es ist besser, sich nicht darauf zu verlassen), verwenden wir die Identifikation auf digitalen Fingerabdrücken .
Fügen Sie die Schlüsseldatei zur DeviceLock DLP-Fingerabdruckdatenbank hinzu, damit das Produkt unseren Schlüssel „persönlich“ „kennt“ und ihn später eindeutig identifizieren kann (und verwechseln Sie ihn beispielsweise nicht mit Testschlüsseln, die möglicherweise auf GitHub hochgeladen werden).
Erstellen wir nun eine Inhaltsfilterregel für Dateispeicher in DeviceLock DLP (GitHub fällt unter unsere Klassifizierung „Dateispeicher“, in der neben GitHub mehr als 15 verschiedene Dateiaustausch- und Synchronisierungsdienste unterstützt werden).
Gemäß dieser Regel ist es Benutzern untersagt, Daten mit digitalen Fingerabdrücken herunterzuladen, die mit den oben angegebenen übereinstimmen. Wenn verbotene Daten erkannt werden, sollten die entsprechenden Ereignisse (Ereignisaufzeichnungen) und Schattenkopien zusätzlich zur tatsächlichen Ausführung der Aktion mit dem Verbot des Herunterladens von Daten auf GitHub in den zentralen Archivprotokollen aufgezeichnet werden .
Versuchen wir nun, den AWS-Schlüssel in das GitHub-Repository zu laden.
Wie Sie sehen können, ist der Download-Vorgang "aus irgendeinem Grund" fehlgeschlagen, und DeviceLock DLP hat uns gewarnt, dass er diesen Vorgang blockiert hat (die Nachricht ist natürlich anpassbar und deaktiviert).
Wenn Sie sich das DeviceLock DLP-Schattenkopieprotokoll ansehen, finden Sie dort denselben Schlüssel.
In diesem Beispiel wurde gezeigt, wie DeviceLock DLP verwendet wird, um das spezielle Problem der Verhinderung des Verlusts vertraulicher Daten (digitale Fingerabdrücke können aus nahezu jeder Datei entnommen werden) in den Cloud-Speicher zu lösen.
Natürlich können Sie nicht nur Datenlecks auf GitHub verhindern, sondern auch regelmäßig Repositorys inventarisieren und Informationen darin identifizieren, die nicht vorhanden sein sollten. Zum Scannen von GitHub-Repositorys wurden die kostenlosen Dienstprogramme Gittyleaks, Git Secrets, Git Hound, Truffle Hog und viele andere erstellt.