zurück zur Übersicht

Was steckt alles in Ihrem Quellcode?

csm_iStock_000011797171Large_orange_f3ae134530Im Rahmen des prominenten Sicherheitsvorfalles bei Ashley Madison wurde in den 25 GB Datenverlust auch eine Menge Quellcode entdeckt. Es handelt sich um einen eigenen Quellcode, der von internen Entwicklern geschrieben wurde.

Security Consultant Gabor Szathmari konnte zahlreiche sensible Informationen wie Passwörter, private SSH-Schlüssel und API Tokens in dem Quellcode ausfindig machen. Es ist bekannt, dass die hart codierten Passwörter zwar bequem für die Entwickler sind, dennoch massiv die Anwendung und ihre Umgebung gefährden.

Prinzipiell könnte man dieses Problem auf zwei Weise beheben: Zum einen User Security Awareness aufbauen und bereits in der Design-Phase entscheiden, wo und wie solche sensitiven Informationen abgelegt werden sollen. Zum anderen sollten Security und Code Quality Scans regelmäßig ausgeführt werden.

In diesem Fall würde es sogar reichen nach Stichwörtern wie “Secret”, “pass”, ”token” mit Tools wie grep zu suchen. Eine erweiterte Möglichkeit wäre, den Quellcode mit Software Code Security Analyzer durchzuscannen und dabei auch weitreichende Probleme, wie SQL Injection oder Cross-Site Scripting auf einmal zu entdecken. Eine manuelle Source Code Review kann zwar Fehler im Design ermitteln, ist aber so nicht vollständig. Versteckte Passwörter kann sie außerdem gar nicht entdecken, solange nicht alle Dateien mit Quellcode in Scope sind.

Wir empfehlen statische Analysen mit Code Analyzers regelmäßig und zeitnah durchzuführen, damit die potenziellen Probleme möglichst früh behoben werden können. Wenn die Anwendung finalisiert ist und kurz vor dem Release mehr als 1000 Schwachstellen gefunden werden, ist es schon spät. Noch gefährlicher wird es aber, wenn der Quellcode erst nach dem Sicherheitsvorfall in der Produktionsumgebung überprüft wird. Dann kann es sogar zu der Situation kommen, dass die ursprünglichen Entwickler überhaupt nicht mehr in der Firma arbeiten! So werden die Auswirkungen noch schwerwiegender.

Ob Quellcode oder Binärcode, in der Cloud oder vor Ort, C#, Java oder eine andere der 20 Programmiersprachen – sprechen Sie uns an, um den optimalen Weg zu finden Ihre oder externe Anwendungen auf ihren Sicherheitsgrad zu prüfen.


Links:

https://blog.gaborszathmari.me/2015/09/07/credentials-in-the-ashley-madison-sources/

Schreibe einen Kommentar