HyperAI
الرئيسيةالأخبارأحدث الأوراق البحثيةالدروسمجموعات البياناتالموسوعةSOTAنماذج LLMلوحة الأداء GPUالفعاليات
البحث
حول
HyperAI
Back to Headlines

كيف اكتشفت سرقات بيانات بقيمة 25 ألف دولار على GitHub باستخدام أدوات جديدة للمسح الإلكتروني للم-commits المحذوفة

منذ 2 أيام

ملخص البحث: كيف استكشفت جميع عمليات الإرسال الخطأ على GitHub للعثور على بيانات سرية مسربة خلفية اسمي شارون برزينوف، وأنا باحث في الثغرات الأمنية والقرصنة الأخلاقية. في بحث سابق لي، تمكنت من استعادة الملفات المحذوفة من مستودعات GitHub باستخدام أدوات مثل TruffleHog. بعد ذلك، تواصلت مع ديylan، الرئيس التنفيذي لشركة Truffle Security، التي قدمت لي بعض الأفكار الجديدة لاستكشاف طرق جديدة للبحث عن البيانات السرية على نطاق واسع. ما يعنيه حذف التزام في GitHub عندما يقوم المطورون بحذف التزام (commit) باستخدام الأمر git reset --hard HEAD~1 ثم git push --force، فإنهم يحذفون المرجع إلى هذا التزام من الفرع (branch)، مما يجعله غير قابل للوصول عبر الأوامر العادية مثل git log. ومع ذلك، لا يزال GitHub يحتفظ بهذه التزامات المحذوفة في سجلاته الداخلية (reflogs). استخراج التزامات المحذوفة يتيح API الأحداث لGitHub للمستخدمين استرجاع المعلومات حول الأحداث المختلفة التي تحدث داخل GitHub، مثل عمليات الإرسال (push events). عند البحث عن الأحداث التي تحتوي على صفر التزامات (Zero-Commit Push-Events)، يمكننا تحديد التزامات المحذوفة التي تم إرسالها بواسطة force-push. هذه الأحداث تشير إلى إعادة تعيين الفرع دون إضافة التزامات جديدة. مشروع GH Archive مشروع GH Archive، الذي بدأه المطور إيليا غريغوريك، يستمع إلى تيار الأحداث الخاص بGitHub ويوثقها بشكل منهجي. يمكن تحميل هذه البيانات من الموقع الرسمي لGH Archive، مما يوفر لنا الوصول إلى جميع الأحداث العامة لGitHub. بناء الأتمتة في إطار البحث هذا، قمنا بإنشاء أداة جديدة مفتوحة المصدر تسمى Force Push Scanner، تتعاون فيها شركة Truffle Security مع فريقي البحث. هذه الأداة تفحص البيانات الكاملة لـ GH Archive بحثًا عن الأحداث التي تحتوي على صفر التزامات، تستخرج التزامات المحذوفة، وتفحصها للعثور على بيانات سرية باستخدام TruffleHog. تم تصميم هذه الأداة لمساعدة فرق الأمن (blue teamers) في تقييم المخاطر المحتملة. الصيد للعثور على بيانات سرية ذات تأثير بعد تشغيل الأتمتة، تمكنت من العثور على آلاف البيانات السرية النشطة. لتحديد البيانات الأكثر أهمية، اتبعت خطوات ثلاثية: البحث اليدوي: قمت بفحص البيانات يدويًا وركزت على التزامات الم pushed بواسطة مطورين ذوي بريد إلكتروني رسمي. منصة تقييم البيانات السرية: قمت بإنشاء منصة بسيطة لتقييم البيانات السرية باستخدام Vercel v0. هذه المنصة تقدم بيانات السرية في جدول سهل الاستخدام ويمكن تصفية البيانات بسرعة. استخدام الذكاء الاصطناعي: بدأنا العمل على وكيل قائم على الذكاء الاصطناعي لتحليل البيانات السرية تلقائيًا، ولكن المشروع لا يزال قيد التطوير. دراسة حالة - منع هجوم سلسلة التوريد الضخم واحدة من البيانات السرية التي عثرت عليها كانت رمز الوصول الشخصي لـ GitHub (PAT) ينتمي إلى مطور. كان هذا المطور قد أرسل ملفات التكوين الخفية (dot files) التي تحتوي على هذا الرمز بالخطأ. قمت بتحليل الرمز واكتشفت أنه يمتلك صلاحيات المسؤول (admin) على جميع مستودعات Istio. Istio هو شبكة خدمات مفتوحة المصدر تدير الاتصال بين الخدمات الدقيقة في تطبيقات موزعة معقدة. يستخدمه العديد من الشركات الكبرى مثل Google وIBM وRed Hat، ولديه أكثر من 36 ألف نجمة و8 آلاف نسخة شوكية (forks) على GitHub. كانت لدي صلاحيات التعديل على جميع هذه المستودعات، مما يشكل خطورة كبيرة على سلسلة التوريد. بفضل صفحة التقارير الجيدة لدى Istio، قام الفريق بسرعة بسحب رموز الوصول الشخصية بمجرد إبلاغهم بالمشكلة، مما منع حدوث هجوم ضخم محتمل. خلاصة كان هذا البحث مشوقًا ومفيدًا. تمكنت من ربط بعض الاكتشافات المعروفة وإنشاء أتمتة موثوقة للبحث عن البيانات السرية النشطة، بما في ذلك تلك التي كانت مدفونة لسنوات. كما قمت بإنشاء منصة للبحث عن البيانات السرية ببعض الميزات الجيدة، مما مكنني من العثور على البيانات الأكثر أهمية وكسب حوالي 25 ألف دولار من المكافآت. يجب إعادة النظر في الافتراض الشائع بأن حذف التزام في GitHub يوفر أمانًا. بمجرد إرسال سرية إلى مستودع، يجب اعتبارها مسربة وسحبها على الفور. تقييم الحدث من قبل مختصين يشدد الخبراء في مجال الأمن السيبراني على أهمية هذا البحث، حيث يوفر أدوات وممارسات جديدة لمنع تسرب البيانات السرية. أداة Force Push Scanner تعد خطوة مهمة في هذا الإطار، حيث تساعد الفرق الأمنية على الكشف عن التزامات المحذوفة بسهولة وفعالية. نبذة عن Truffle Security Truffle Security هي شركة متخصصة في الأمان السيبراني لمستودعات البرمجيات. تهدف إلى توفير أدوات وأبحاث مفتوحة المصدر لمساعدة الفرق التقنية في حماية بياناتها وتطبيقاتها من الهجمات الأمنية. من خلال برنامجها للبحث (Research CFP)، تتعاون الشركة مع الباحثين الأمنيين لتطوير حلول مبتكرة في مجال الأمن السيبراني.

Related Links

Guest Post: How I Scanned all of GitHub’s “Oops Commits” for Leaked Secrets ◆ Truffle Security Co.
Hacker News