GitGuardian, 2022’de 1.027 milyar yeni GitHub taahhüdünü taradı (2021’e kıyasla +%20) ve 10.000.000 gizli olay buldu (2022’ye kıyasla +%67). Her geçen gün artan bu sayının ötesinde ilginç olan, 10 kod yazarının 1’inin 2022’de bir sırrı ifşa etmesi.
Sabit kodlama sırları
Sabit kodlanmış sırların öncelikle küçük geliştiriciler tarafından işlendiğine dair yaygın inanç bir yanılgıdır. Gerçekte, deneyim düzeyi veya kıdem düzeyi ne olursa olsun herhangi bir geliştirici bu uygulamaya düşebilir.
Sıklıkla, sabit kodlama sırları, bilgi veya beceri eksikliğinden ziyade daha uygun olduğu için ortaya çıkar. Yalnızca bir veritabanı bağlantısını veya bir uç noktayı test ediyor olabilecek üst düzey geliştiriciler, iş gereksinimlerini karşılamak için görevleri hızlı bir şekilde tamamlama konusunda önemli bir baskı yaşarlar.
Sırlar, kimlik bilgilerinden daha fazlasını temsil eder; koddan buluta uzanan modern yazılım tedarik zincirlerinin çeşitli unsurlarını birbirine bağlayan güvenli bir bağlayıcı güç olarak hizmet ederler. Kritik rolleri nedeniyle, saldırganlar için en gıpta edilen bilgiler haline geldiler. Önemlerine rağmen, 2022’de meydana gelen birkaç veri ihlali, korumalarının yetersizliğini vurguladı.
“Açığa çıkan sırların türüyle ilgili olarak, daha fazla bulut sağlayıcı anahtarı sızdırılıyor. Genel olarak, analizlerimizde gördüğümüzden çok fazla pozitif yok, ancak AWS’den bir pozitif geliyor. Kimlik bilgileri için GitHub’ı tarıyorlar ve buldukları kimlik bilgilerini karantinaya alıyorlar. Bu, AWS kimlik bilgilerinin GitHub’da kullanıma sunulma süresinde azalmaya neden oldu. GitGuardian’da Geliştirici Avukatı olan Mackenzie Jackson, bir sohbette Help Net Security’ye bu model geniş çapta benimsenirse işe yarar,” dedi.
Sırları kullanmak
Yakın tarihli iki örnek, bir saldırıda sırların nasıl kullanılabileceğini göstermektedir:
- uber Bir saldırgan, Uber’i ihlal etti ve firmanın Ayrıcalıklı Erişim Yönetimi platformu Thycotic’te oturum açmak için sabit kodlanmış yönetici kimlik bilgilerini kullandı. Çeşitli dahili araçlarda ve üretkenlik uygulamalarında tam bir hesap devralma gerçekleştirdiler.
- ÇemberCI Saldırgan, geçerli, 2FA destekli bir SSO oturumunu çalmak için CircleCI mühendisinin dizüstü bilgisayarına dağıtılan kötü amaçlı yazılımdan yararlandı. Daha sonra müşteri ortamı değişkenleri, belirteçleri ve anahtarları dahil olmak üzere müşteri verilerini dışarı sızdırabilirler.
GitHub’ı gerçek zamanlı olarak izleme
GitHub’daki canlı izleme, açığa çıkan tüm sırların %80’inden fazlasının geliştiricilerin kişisel depolarında bulunduğunu ve bunların önemli bir kısmının aslında kurumsal sırlar olarak sınıflandırıldığını tespit etti.
Bu fenomeni açıklamak için çeşitli teoriler öne sürülmüştür. Elbette, kurumsal kaynakların çalınması ve diğer şaibeli amaçlar da dahil olmak üzere kötü niyetli davranışlar göz ardı edilemez. Ancak fenomenin katıksız ölçeği başka bir şeye işaret ediyor: Bunun çoğu hatanın insan kaynaklı olması ve Git’i yanlış yapılandırmanın kolay olması nedeniyle oluyor.
Diğer güvenlik sorunları gibi, kötü sır yönetimi de tipik insan, süreç ve araç üçlüsünü içerir. Kuruluşlar, dağınık sırlar sorununu etkili bir şekilde ele almayı planlıyorsa, üç alanı da aynı anda ele almalıdırlar.