zurück zur Übersicht

Was steckt alles in Ihrem Quellcode?

csm_iStock_000011797171Large_orange_f3ae134530Im Rahmen des prominenten Sicherheitsvorfalles bei Ashley Madison wurde in den 25 GB Datenverlust auch eine Menge Quellcode entdeckt. Es handelt sich um einen eigenen Quellcode, der von internen Entwicklern geschrieben wurde.

Security Consultant Gabor Szathmari konnte zahlreiche sensible Informationen wie Passwörter, private SSH-Schlüssel und API Tokens in dem Quellcode ausfindig machen. Es ist bekannt, dass die hart codierten Passwörter zwar bequem für die Entwickler sind, dennoch massiv die Anwendung und ihre Umgebung gefährden.

Prinzipiell könnte man dieses Problem auf zwei Weise beheben: Zum einen User Security Awareness aufbauen und bereits in der Design-Phase entscheiden, wo und wie solche sensitiven Informationen abgelegt werden sollen. Zum anderen sollten Security und Code Quality Scans regelmäßig ausgeführt werden.

In diesem Fall würde es sogar reichen nach Stichwörtern wie “Secret”, “pass”, ”token” mit Tools wie grep zu suchen. Eine erweiterte Möglichkeit wäre, den Quellcode mit Software Code Security Analyzer durchzuscannen und dabei auch weitreichende Probleme, wie SQL Injection oder Cross-Site Scripting auf einmal zu entdecken. Eine manuelle Source Code Review kann zwar Fehler im Design ermitteln, ist aber so nicht vollständig. Versteckte Passwörter kann sie außerdem gar nicht entdecken, solange nicht alle Dateien mit Quellcode in Scope sind.

Wir empfehlen statische Analysen mit Code Analyzers regelmäßig und zeitnah durchzuführen, damit die potenziellen Probleme möglichst früh behoben werden können. Wenn die Anwendung finalisiert ist und kurz vor dem Release mehr als 1000 Schwachstellen gefunden werden, ist es schon spät. Noch gefährlicher wird es aber, wenn der Quellcode erst nach dem Sicherheitsvorfall in der Produktionsumgebung überprüft wird. Dann kann es sogar zu der Situation kommen, dass die ursprünglichen Entwickler überhaupt nicht mehr in der Firma arbeiten! So werden die Auswirkungen noch schwerwiegender.

Ob Quellcode oder Binärcode, in der Cloud oder vor Ort, C#, Java oder eine andere der 20 Programmiersprachen – sprechen Sie uns an, um den optimalen Weg zu finden Ihre oder externe Anwendungen auf ihren Sicherheitsgrad zu prüfen.


Links:

https://blog.gaborszathmari.me/2015/09/07/credentials-in-the-ashley-madison-sources/

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer