Jeśli wiesz, gdzie szukać, wiele tajemnic można znaleźć w Internecie. Od jesieni 2021 r. niezależny badacz bezpieczeństwa Bill Demirkapi pracuje nad sposobami wykorzystania ogromnych źródeł danych, często pomijanych przez badaczy, w celu znalezienia masowych problemów związanych z bezpieczeństwem. Obejmuje to automatyczne znajdowanie sekretów programistów — takich jak hasła, klucze API i tokeny uwierzytelniające — które mogą zapewnić cyberprzestępcom dostęp do systemów firmowych i możliwość kradzieży danych.
Dziś na konferencji bezpieczeństwa Defcon w Las Vegas Demirkapi ujawnia wyniki tej pracy, opisując szczegółowo ogromną kolekcję ujawnionych tajemnic i szerszych luk w zabezpieczeniach witryny. Wśród co najmniej 15 000 tajemnic programistów zakodowanych na stałe w oprogramowaniu znalazł setki szczegółów dotyczących nazw użytkowników i haseł powiązanych z Sądem Najwyższym Nebraski i jego systemami informatycznymi; szczegóły potrzebne do uzyskania dostępu do kanałów Slack Uniwersytetu Stanforda; i ponad tysiąc kluczy API należących do klientów OpenAI.
Duży producent smartfonów, klienci firmy fintech i wielomiliardowa firma zajmująca się cyberbezpieczeństwem zaliczają się do tysięcy organizacji, które nieumyślnie ujawniły tajemnice. W ramach wysiłków mających na celu powstrzymanie fali Demirkapi opracował sposób automatycznego unieważniania szczegółów, przez co stają się one bezużyteczne dla hakerów.
W drugim nurcie badania Demirkapi przeskanował także źródła danych i znalazł 66 000 stron internetowych z wiszącymi problemy z subdomenamico czyni je podatnymi na różne ataki, w tym porwanie. Niektóre z największych stron internetowych na świecie, w tym domena rozwojowa należąca do The New York Times, miały słabe strony.
Chociaż dwa kwestie bezpieczeństwa, którymi się zajmował, są dobrze znane badaczom, Demirkapi twierdzi, że przejście do niekonwencjonalnych zbiorów danych, które zwykle są zarezerwowane do innych celów, umożliwiło masową identyfikację tysięcy problemów, a jeśli zostaną rozszerzone, mogą pomóc chronić całą sieć. „Celem było znalezienie sposobów na odkrycie na dużą skalę prostych klas podatności” – Demirkapi mówi WIRED. „Myślę, że istnieje luka w zakresie kreatywnych rozwiązań”.
Rozlane tajemnice; Wrażliwe strony internetowe
Dla programisty przypadkowe umieszczenie tajemnic firmy w oprogramowaniu lub kodzie jest stosunkowo trywialne. Alon Schindel, wiceprezes ds. sztucznej inteligencji i badań nad zagrożeniami w firmie Wiz zajmującej się bezpieczeństwem w chmurze, twierdzi, że istnieje ogromna różnorodność tajemnic, które programiści mogą nieumyślnie zakodować na stałe lub ujawnić na każdym etapie tworzenia oprogramowania. Mogą one obejmować hasła, klucze szyfrowania, tokeny dostępu API, klucze tajne dostawcy usług w chmurze i certyfikaty TLS.
„Najpoważniejsze ryzyko pozostawienia tajemnic na stałe zakodowanych polega na tym, że ujawnienie danych uwierzytelniających i sekretów uwierzytelniania cyfrowego może zapewnić przeciwnikom nieautoryzowany dostęp do baz kodów firmy, baz danych i innej wrażliwej infrastruktury cyfrowej” – mówi Schindel.
Ryzyko jest wysokie: ujawnione tajemnice mogą skutkować naruszeniami danych, włamaniem się hakerów do sieci i atakami na łańcuch dostaw – dodaje Schindel. Poprzedni badania w 2019r odkrył, że każdego dnia na GitHubie wyciekały tysiące sekretów. I podczas gdy istnieją różne tajne narzędzia do skanowaniasą one w dużej mierze skupione na konkretnych celach, a nie na szerszej sieci, mówi Demirkapi.
Podczas swoich badań Demirkapi, który po raz pierwszy zyskał sławę dzięki swoim nastoletnim hakerom pięć lat temu, szukał tych tajnych kluczy na dużą skalę – zamiast wybierać firmę i szukać konkretnie jej sekretów. W tym celu odwiedził VirusTotal, witrynę należącą do Google, która umożliwia programistom przesyłanie plików – np. aplikacji – i skanowanie ich w poszukiwaniu potencjalnego złośliwego oprogramowania.