NCSC warnt: Viele Schweizer IT-Systeme weisen schlecht geschützte Git-Verzeichnisse auf

27. Oktober 2022, 13:02
  • security
  • lücke
  • developer
  • ncsc
image

Bei einer Erhebung in diesem Sommer fand das Nationale Zentrum für Cybersicherheit 1300 betroffene Systeme.

Schlecht geschützte und über das Internet zugängliche Git-Verzeichnisse wurden in den letzten Jahren immer wieder als eines der grösseren Security-Risiken für Unternehmen identifiziert. Sie waren auch die Ursache einiger aufsehenerregender Hacks.
Wie das Nationale Zentrum für Cybersicherheit (NCSC) nun warnt, gibt es offensichtlich auch weiterhin viele Schweizer Unternehmen, die bei der Sicherung ihrer Git-Repositories nachlässig sind. Man sei im Sommer dieses Jahres von externer Stelle auf die Problematik aufmerksam gemacht worden. In der Folge habe das NCSC eine Erhebung der öffentlich verfügbaren und zugänglichen Git-Verzeichnisse in der Schweiz durchgeführt. Es seien 1300 betroffene Systeme gefunden worden, bei denen potentiell sensitive Daten wie beispielsweise Quellcode, Zugangsdaten oder Passwörter über ungenügend geschützte Git-Ordner einsehbar waren. Im Oktober habe man 400 betroffene Firmen oder Website-Betreiber direkt per E-Mail informiert.
Aber das heisst natürlich nicht, dass das Problem damit dauerhaft beseitigt ist. Git-Verzeichnisse, so mahnt das NCSC, sollten regelmässig bezüglich ihrer Konfiguration oder ihres Inhalts überprüft werden.

Wo liegt das Problem?

Git-Verzeichnisse werden von vielen Software-Entwicklern benutzt, damit sie gemeinsam und von verschiedenen Orten aus an einem Code arbeiten können. Aktualisierungen am Code werden von Git (oder ähnlichen Kollaborations-Tools) nachvollziehbar protokolliert und die verschiedenen Versionen des Codes sind in einer Historie ersichtlich.
Werden Git-Verzeichnisse aber falsch konfiguriert oder ungenügend geschützt, so führt das NCSC aus, können die darin gespeicherten Datenbestände von Hackern via Internet mit wenigen Klicks eingesehen werden. Mögliche Ursachen für einen ungenügenden Schutz seien unter anderem menschliche Fehler durch IT-Administratoren oder Entwickler, aber auch Schwächen bei der Erstellung eines neuen Entwicklungsprojekts.
Durch den Zugriff auf Quellcode kann ein potentieller Angreifer gezielt nach Schwachstellen in einer Applikation oder im System suchen und eine Internetseite dadurch kompromittieren. Besonders heikel ist es, wenn in einem Git-Verzeichnis neben Code auch Konfigurationsdateien mit sensiblen Systeminformationen wie Passwörter von Datenbanken, API-Keys und Ähnliches gespeichert werden.

Was tun?

Das NCSC hat einige Empfehlungen für den Umgang mit Git-Verzeichnissen auf Lager. Der Git-Ordner sollte demnach auf einem produktiven System am besten nicht öffentlich im Internet zugänglich sein. Sei eine Entfernung des Ordners kurzfristig nicht möglich, sollte mindestens der Zugriff auf den Ordner eingeschränkt und entsprechend geschützt werden. Dies könne man beispielsweise durch .htaccess Regeln oder ähnliche technische Tools zur Zugriffsbeschränkung bewerkstelligen.
Noch zielführender seien aber präventive Massnahmen wie die Überprüfung und Anpassung des Entwicklungsprozesses. Dabei sollte sichergestellt werden, dass nur die dafür vorgesehenen Daten überhaupt abgelegt werden. Sensitive oder geheime Daten wie Passwörter oder API-Keys sollten niemals im Quellcode oder in der Applikation selbst abgelegt sein. Falls das nicht geht, sollte gemäss NCSC zumindest sichergestellt werden, dass diese nicht im Git-Verzeichnis abgelegt und ignoriert werden ("gitignore file"). In der Praxis zeige sich leider, dass diese grundlegenden Sicherheitsmassnahmen und Best Practices oftmals nicht eingehalten werden.


Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Soko Maier: Does one size fit all?

Ein agiles Vorgehen wird in Softwareprojekten oft als Wunderwaffe für das Erreichen komplexer Projektziele angepriesen. Agil wird's schon richten. Aber ist das wirklich so?

publiziert am 24.11.2022
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022