- Enorme Datensätze können aufgedeckt werden, wenn man weiß, wo man suchen muss. Seit Herbst 2021 entwickelt Bill Demirkapi Methoden, um vernachlässigte Datenquellen zu durchsuchen und Sicherheitsprobleme aufzudecken. Demirkapi fand mehr als 15.000 aktive Entwicklergeheimnisse, die Cyberkriminellen Zugang zu Firmensystemen verschaffen könnten. Er entwickelte eine Methode, um diese Details automatisch zurückzuziehen und sie für Hacker unbrauchbar zu machen. VirusTotal’s Retrohunt ermöglichte ihm das Scannen von über 1,5 Millionen Proben, um aktive Schlüssel zu identifizieren.
- Demirkapi fand 66.000 Webseiten mit schwebenden Domains, die für Angriffe wie Hijacking anfällig sind. Bedeutende Organisationen enthüllten unbeabsichtigt ihre Geheimnisse durch hartcodierte Details in ihrem Code. Offengelegte Geheimnisse können zu Datenverletzungen, Netzwerkunterbrechungen und Angriffen auf die Lieferkette führen. Demirkapi meldete mehr als 1.000 offengelegte OpenAI-API-Schlüssel an das Unternehmen, um die offengelegten Details automatisch zurückzuziehen. GitHub bot keine öffentliche Schnittstelle, um tausende gefundene Geheimnisse schnell zu melden.
- Die Herausforderungen liegen nicht nur im Finden, sondern auch im Beheben enthüllter Geheimnisse und Schwachstellen. Schwebende Domains können für Angriffe wie Malware-Verteilung und Phishing genutzt werden. Einige Probleme konnten schnell behoben werden, während andere nicht reibungslos liefen. Es besteht weiterer Bedarf, umfassende Datenquellen auf unkonventionelle Weise zu nutzen. Entwickler müssen vorsichtiger sein, um zu vermeiden, dass Unternehmensgeheimnisse unbeabsichtigt hartkodiert werden.
Wenn man weiß, wo man suchen muss, können enorme Datensätze aufgedeckt werden. Seit Herbst 2021 hat der unabhängige Sicherheitsforscher Bill Demirkapi Wege entwickelt, um in oft übersehene Datenquellen einzutauchen, um eine Vielzahl von Sicherheitsproblemen aufzudecken. Hierzu gehört das automatische Finden von Entwicklergeheimnissen — wie Passwörter, API-Schlüssel und Authentifizierungs-Token — die Cyberkriminellen Zugang zu Firmensystemen und die Möglichkeit zum Datenklau verschaffen könnten. Heute, auf der Sicherheitskonferenz in Las Vegas, präsentiert Demirkapi die Ergebnisse seiner Arbeit, die eine riesige Sammlung von geleakten Geheimnissen und weit verbreiteten Website-Schwachstellen detailliert beschreibt.
Unzugängliche Geheimnisse
Unter mindestens 15.000 fest im Code verankerten Entwicklergeheimnissen fand er Hunderte von Benutzer- und Passwortdetails, die mit dem obersten Gerichtshof von Nebraska und dessen IT-Systemen verknüpft waren; die benötigten Details, um auf die Slack-Kanäle der Stanford University zuzugreifen; sowie mehr als tausend API-Schlüssel von OpenAI-Kunden. Ein bedeutender Smartphone-Hersteller, Kunden eines Fintech-Unternehmens und ein milliardenschweres Cybersicherheitsunternehmen gehören zu den tausenden Organisationen, deren Geheimnisse unbeabsichtigt offengelegt wurden.
Um dem entgegenzuwirken, entwickelte Demirkapi eine Methode, um diese Details automatisch zurückzuziehen und sie für Hacker unbrauchbar zu machen. Im Rahmen seiner Forschung fand er zudem 66.000 Webseiten mit schwebenden Domains, die für Angriffe wie Hijacking anfällig sind. Einige der größten Webseiten der Welt, darunter eine Entwicklungs-Domain der New York Times, wiesen diese Schwachstellen auf.
Auf Datenquellen fokussiert
Während die beiden untersuchten Sicherheitsprobleme unter Forschern wohlbekannt sind, behauptet Demirkapi, dass die Nutzung unkonventioneller Datensätze, die normalerweise für andere Zwecke verwendet werden, es ermöglichte, tausende Probleme massenhaft zu identifizieren. Dadurch wurde das Potenzial aufgezeigt, das Web großflächig zu schützen. “Das Ziel war es, Wege zu finden, triviale Schwachstellenklassen im großen Maßstab zu entdecken”, sagt Demirkapi. “Ich denke, dass es hier Raum für kreative Lösungen gibt.” Für Entwickler ist es relativ einfach, unabsichtlich ihre Unternehmensgeheimnisse in Software oder Code einzubetten. Alon Schindel, Vizepräsident für KI und Bedrohungsforschung beim Cloud-Sicherheitsunternehmen Wiz, warnt vor einer großen Vielfalt an Geheimnissen, die Entwickler unbeabsichtigt hartkodieren oder während der Softwareentwicklungs-Pipeline preisgeben können.
Die Gefahren sind hoch: Offengelegte Geheimnisse können zu Datenverletzungen, Netzwerkunterbrechungen und Angriffen auf die Lieferkette führen. Frühere Untersuchungen zeigten, dass täglich tausende Geheimnisse auf GitHub geleakt werden. Demirkapi suchte diese geheimen Schlüssel großflächig durch die Nutzung von VirusTotal, einer Google-eigenen Webseite, die es Entwicklern ermöglicht, Dateien hochzuladen und auf potenzielle Malware zu scannen.
Aktive Schlüssel identifiziert
VirusTotal’s Retrohunt ermöglicht es, Dateien zu scannen, die innerhalb eines Jahres hochgeladen wurden, und dabei YARA-Regeln anzuwenden, die nach spezifischen Mustern in den Daten suchen. “Was wäre, wenn wir diese Werkzeuge und die Petabytes an Daten von VirusTotal verwenden, um nach Geheimnissen zu suchen?” fragt Demirkapi. Mit einem komplexen serverlosen Setup durchsuchte er über 1,5 Millionen Proben nach Geheimnissen und validierte, dass die gefundenen Muster aktive Schlüssel darstellten. Insgesamt fand Demirkapi mehr als 15.000 aktive Geheimnisse aller Art.
Binnen der großen Anzahl enthüllter Schlüssel befanden sich solche, die einem Angreifer Zugang zu den digitalen Vermögenswerten von Unternehmen und Organisationen ermöglichen könnten, einschließlich der Möglichkeit, sensible Daten zu erhalten. Zum Beispiel hatte ein Mitglied des Obersten Gerichtshofs von Nebraska Details zu Benutzernamen und Passwörtern hochgeladen, die mit dessen IT-Systemen verknüpft waren, und die Slack-Kanäle der Stanford University konnten mit API-Schlüsseln erreicht werden.
Reaktionsstrategien
Der Staatsgerichtsadministrator von Nebraska, Corey R. Steel, sagt, dass alle offengelegten Details sofort geändert wurden, dass es keine Hinweise auf einen Missbrauch der Details gibt und dass Richtlinien geändert wurden, um ähnliche zukünftige Vorfälle zu verhindern. Die Stanford University reagierte nicht auf eine Anfrage zur Stellungnahme; Korrespondenz, die WIRED vorliegt, zeigt jedoch, dass die Probleme schnell behoben wurden, nachdem sie gemeldet wurden.
Demirkapi durchsuchte auch Daten passiver DNS-Replikation, um Webseiten mit schwebenden Domains zu finden. Verwundbare Webseiten können imitiert, zur Verteilung von Malware oder Phishing-Seiten genutzt, Cookies gestohlen und mehr können. “Schwebende Domains sind weit verbreitet und es ist ziemlich einfach für Angreifer, hochwertige Ziele zu finden”, sagt Daiping Liu, leitender Forschungsmanager bei Palo Alto Networks.
Systematische Ansätze fehlen
Das Finden von tausenden verwundbaren Webseiten und enthüllten Geheimnissen ist das eine — deren Behebung ist etwas anderes. Während Demirkapi sagt, dass es nicht möglich war, alle Webseiten mit Problemen durch schwebende Domains zu benachrichtigen, fand er Wege, die 15.000 hartcodierten Geheimnisse zu bereinigen. Einige meldete er direkt an die betroffenen Unternehmen. Er wandte sich auch an diejenigen, die ihre Kunden Zugangsdaten zur Verfügung stellen, um zu sehen, ob es effizientere Wege gibt, die offengelegten Geheimnisse zu melden.
Im Februar meldete der Forscher mehr als 1.000 offengelegte OpenAI-API-Schlüssel. Das Unternehmen stellte ihm einen öffentlichen Self-Service-API-Schlüssel zur Verfügung, mit dem die offengelegten Details automatisch zurückgezogen werden können. Andere Instanzen verliefen weniger reibungslos. GitHub betreibt seit Jahren sein eigenes Werkzeug zum Erkennen von hochgeladenen Tokens und Schlüsseln in externen Unternehmen. Demirkapi bat GitHub um eine öffentlich verfügbare Schnittstelle, um Geheimnisse zu melden, damit er die tausenden gefundene schnell kennzeichnen konnte. Die Antwort war negativ.
Schließlich, Demirkapi zufolge, besteht weiterer Bedarf, diese umfassenden Datenquellen auf unkonventionelle Weise zu nutzen.
