Gitrob と呼ばれるオープンソース ツールが Github リポジトリをトロールして機密データを探します
セキュリティ研究者であり、SoundCloud セキュリティ チームのメンバーでもある Michael Henriksen は、GitHub リポジトリをクロールして機密情報を明らかにできるオープンソース コマンド ライン ツールを開発しました。
Henriksen 氏は SoundCloud から、会社の GitHub 組織 (つまりリポジトリ) に意図せず漏洩した機密情報がないか常にチェックするシステムを作成するよう依頼されました。ヘンリクソンはまさにそれをやった。
彼は、企業のセキュリティ担当者と、ターゲット組織のネットワークへの簡単な侵入方法を探しているプロのペネトレーション テスターの両方が、同じ性質の時折のチェックに使用できるオープン ソースのコマンド ライン ツールを開発しました。
開発者は通常、コードを他のユーザーと共有することを好みますが、その多くは、ソーシャル コード ホスティングおよびコラボレーション サービスである GitHub でコードをオープンソース化することによって実現します。多くの企業は、従業員が参加できる GitHub 組織を作成し、プライベート コード リポジトリとパブリック コード リポジトリの両方をホストする便利な場所として GitHub を使用しています。
場合によっては、従業員が一般に公開すべきではないものを公開することがあります。認証情報、秘密キー、秘密トークンなどの機密情報を公開する可能性があります。そのような情報はサイバー犯罪者によって収集される可能性があり、その結果、特定のリポジトリを所有する企業のシステムに直接侵害される可能性があります。これは偶然に起こることもあれば、従業員が情報の機密性を理解していないことが原因で起こることもあります。
Henriksen のツール Gitrob を使用すると、企業の GitHub 組織のすべてのパブリック リポジトリと、組織のメンバー (企業の従業員) のすべてのパブリック リポジトリを簡単に検索できます。
仕組み
Gitrob はまず、組織自体のすべてのパブリック リポジトリの収集を開始します。次に、組織に関連する可能性のあるリポジトリのリストを作成するために、組織のすべてのメンバーとそのパブリック リポジトリを収集します。
リポジトリのリストがコンパイルされると、各リポジトリ内のすべてのファイル名が収集され、既知の機密ファイルのパターンに一致する場合にファイルにフラグを付ける一連のオブザーバーを通してそれらのファイル名が実行されます。組織が大きい場合、またはメンバーが多数のパブリック リポジトリを持っている場合、この手順には時間がかかることがあります。
すべてのメンバー、リポジトリ、およびファイルは PostgreSQL データベースに保存されます。すべてがふるいにかけられると、Sinatra Web サーバーがマシン上でローカルに起動され、分析用に収集されたデータを提示する単純な Web アプリケーションが提供されます。
Henriksen 氏は、大企業および中小企業に属する多数の GitHub 組織に対してこのツールをテストし、驚くべき結果を発見しました。 「このツールは、低レベルから悪質なもの、そして企業を破滅させるような種類の情報開示に至るまで、いくつかの興味深いことを発見した」と同氏は述べ、問題の企業に情報を削除できるように通知したと付け加えた。質問。
Gitrob は次からダウンロードできます。ここインストール方法と使用方法に関する情報も含まれます。