Dies wahre Problem, aufwärts dasjenige niemand achtet

Am 6. zehnter Monat des Jahres um 22:30 Uhr PST veröffentlichte Twitch in seinem Unternehmensblog die folgende Hinweistext: „Wir nach sich ziehen routiniert, dass wenige Wissen aufgrund eines Fehlers in einer Konfigurationsänderung des Twitch-Servers, aufwärts die anschließend von einem böswilligen Benutzer zugegriffen wurde, im Netz verloren wurden dritte Seite.”

Dann, am 15. zehnter Monat des Jahres, veröffentlichte Twitch eine aktualisierte Version seiner Hinweistext, die weitere Finessen jenseits dasjenige Undicht enthüllte und bestätigte, dass „die offengelegten Wissen hauptsächlich Dokumente aus dem Quellcode-Repository von Twitch sowie eine Untermenge jener Auszahlungsdaten des Erstellers enthielten“. GitGuardian untersuchte die 6.000 durchgesickerten Git-Repositories aufwärts Geheimnisse und sensible Wissen, und obwohl die meiste Gabe aufwärts die Einnahmen jener durchgesickerten Ersteller gerichtet war, zeigen die Ergebnisse ein viel schwerwiegenderes Problem, dasjenige jenseits diesen Verstoß hinausgeht.

Dieses Undicht kann einer langen verkettete Liste hinzugefügt werden: Symantec im Jahr 2012, Adobe im Jahr 2013, Microsoft im Jahr 2017, Apple und Snapchat im Jahr 2018, Samsung im Jahr 2019 und Dutzende von Unternehmensunternehmen in einer einzigen hochkarätigen Operation, die von einem Schweizer Hacker in 2020. Es vergeht kein Jahr, ohne solche Horrorgeschichten aus jener Welt jener Cybersicherheit zu lauschen oder zu Vorlesung halten. Hingegen welches macht Quellcode zu einem so attraktiven Ziel für jedes Hacker?

Ist Quellcode mehr qua nur Codezeilen?
Quellcode ist ein Unternehmenswert wie jeder andere. Es dauert Tausende von Zahlungsfrist aufschieben, um zu errechnen, zu schreiben, zu testen, zu veröffentlichen, zu reparieren und zu verbessern. Unternehmen im Technologiesektor wie Twitch betrachten Quellcode qua Blaupause, die die Interna ihrer digitalen Plattformen und jener Produkte beschreibt, die sie konstruieren und feilbieten. Kennung ist wohl einer jener wertvollsten Vermögenswerte für jedes solche Unternehmen, da er die Quelle von Geschäftsmöglichkeiten und Wertschöpfung ist.

Eine Blaupause reicht jedoch, wie jede technische oder technische Zeichnung von physischen Gütern, nicht aus, um dieselben Waren zu reproduzieren, die darin beschrieben sind. Z. Hd. viele Cybersicherheitsanalysten gilt die gleiche Begründung für jedes Quellcode-Lecks. Ende technischer Sicht betrachten sie welche Lecks nicht qua dramatische Ereignisse, die die Geschäftskontinuität bedrohen. Tot wird davon ausgegangen, dass jener größte Teil des Quellcodes keinen wirklichen Zahl oder Ziel hat, es sei denn, die Angreifer verfügen jenseits andere Technologien und, welches noch wichtiger ist, jenseits die Volk und dasjenige Talent, um ihn zu verwenden. Darüber hinaus verliert gestohlener Quellcode ohne die Unterstützung und Verbesserung durch seine ursprünglichen Betreuer schnell an Zahl.

Dies ist wohnhaft bei weitem keine Fehlinformation für jedes Unternehmen, sich nicht mehr um die Sicherung ihres Quellcodes zu kümmern und strenge interne Sicherheits- und Zugriffsverwaltungsrichtlinien durchzusetzen. Dieser Quellcode bleibt ein wichtiges geistiges Eigentum, dasjenige es den Betrachtern ermöglicht, die Technologien und die Logik zu verstehen, die beim Erstellen jener Anwendungen verwendet wurden. Z. Hd. Hacker, die tieferen Schaden auftischen möchten, offenbart jener Quellcode genauso logische Fehler und Schwachstellen, die weiter ausgenutzt werden können. Darüber hinaus enthält es oftmals Geheimnisse und Anmeldeinformationen, die zusammenführen einfachen Zugriff aufwärts aufgebraucht oder Teile jener IT-Systeme eines Unternehmens zuteilen.

Dies größere Problem: Geheimnisse im Quellcode
Im Zusammenhang jener Diskussion von Geheimnissen im Zusammenhang mit jener Softwareentwicklung bezieht sich jener Fachterminus aufwärts digitale Authentifizierungsdaten, die Zugriff aufwärts Systeme oder Wissen gewähren.

Geheimnisse leben im Kontext von Webanwendungen, deren Unterprogramm aufwärts Hunderte von unabhängigen Bausteinen angewiesen ist. Geheimnisse verbinden welche verschiedenen Bausteine, während sie eine sichere Zusammenhang zwischen den einzelnen Komponenten herstellen.

Dieser Twitch-Quellcode-Leak offenbarte wichtige Mängel im Umgang mit Geheimnissen. Anmeldeinformationen und sensible Wissen, die regelmäßig von Entwicklern und Anwendungen verwendet werden, wurden in vielen jener 6.000 Git-Repositorys im Klartext gespeichert – unter Vernachlässigung jener Best Practices und Standards für jedes die Anwendungssicherheit.

Welches ist dasjenige Schlimmste, welches vorbeigehen könnte?
Die Hauptnarrative in den Medien ist, dass dies kein Sicherheitsrisiko darstellt und dass keine wesentlichen Kundendaten durchgesickert sind. Dies Vorhandensein von Geheimnissen im Quellcode stellt dies jedoch in Frage, und obwohl unter Umständen keine Kundeninformationen gerade heraus wohnhaft bei jener Verletzung kompromittiert wurden, zeigt die große Zahl offengelegter Geheimnisse, dass mit diesem Undicht Sicherheitsbedenken verbunden sind, die von Twitch behoben werden sollen.

Von den weitestgehend 6.000 Repositorys hatten mehr qua 1.100 mindestens ein Vorkommen von irgendetwas, dasjenige wie ein geheimer Kandidat aussieht. Es wurden verschiedene Arten von Geheimnissen gefunden, die von Cloud-Diensten von AWS oder Google solange bis hin zu Messaging-APIs wie Twilio oder Vonage Nexmo reichen. Vollständige Datenbankverbindungszeichenfolgen und GitHub-OAuth-Schlüssel gehörten ebenfalls zu den wichtigsten Ergebnissen unserer Untersuchung.

Wenn Geheimnisse aufwärts welche Weise verloren werden, dehnt sich die sogenannte „Angriffsfläche“ des Unternehmens weiter aus. Dies ist die Zahl jener Stellen, an denen ein nicht autorisierter Benutzer Zugriff aufwärts interne Systeme oder Wissen erlangen könnte. Welches im Kasus von Twitch qua “eine Tapetenwechsel jener Serverkonfiguration, die zusammenführen unzulässigen Zugriff durch zusammenführen nicht autorisierten Dritten ermöglichte”, begann, wie dasjenige Unternehmen es beschrieb, könnte sich mithilfe jener offengelegten Zugangsdaten in Hunderte, wenn nicht Tausende von neuen und ungesicherten Einstiegspunkten verwandeln.

Dies Sickern von Geheimnissen kann verhindert werden
Die massive und ungewollte Verbreitung von Geheimnissen wird gemeinhin qua “geheimer Sprawl” bezeichnet. Die Wahrheit ist, dass es aufgrund menschlicher Fehler und mangelnder Fachdisziplin total schwierig ist, dies vollwertig zu verhindern. Nur im Jahr 2020 fanden Recherchen aufwärts dem öffentlichen GitHub jenseits 2 Mio. Geheimnisse, die aufwärts jener Kennung-Sharing-Plattform enthüllt wurden.

Dies bedeutet jedoch nicht, dass Organisationen hilflos sind. Ein rigoroser Konzept wohnhaft bei jener Transformation jener Praktiken und Entwicklungstools von Software-Engineering-Teams kann letztendlich dazu resultieren, Geheimnisse im Kennung zu verhindern. Dieser erste Schrittgeschwindigkeit aufwärts diesem Weg beginnt mit jener Entwicklerschulung, um sicherzustellen, dass sich aufgebraucht Kennung-Mitwirkenden jener Risiken und Konsequenzen klar sind. Eine bessere Ausrüstung dank dieser Herausforderung ist ebenfalls willkommen. Werkzeuge wie Tresore für jedes die sichere Hinterlegung und Umgang von Geheimnissen offenstehen klare Anweisungen, die von allen an Bord befolgt werden sollen. Darüber hinaus können Unternehmen die Erkennung von Geheimnissen im Kennung für jedes eine ausfallsichere Problemlösung automatisieren und wohnhaft bei Richtlinienverstößen Echtzeitwarnungen erwecken.

Ganzheitliche Ansätze, die Sicherheitspraktiken in die Lebenszyklen jener Softwareentwicklung einbetten, vom ersten Vorlage solange bis zur Implementierung, sind die sicherste Methode, um den Schaden einzudämmen, wenn und wenn solche Quellcodelecks hervortreten.