ハッカーはどのようにしてキーとパスワードを盗みますか？

さまざまなセキュリティシステムの脆弱性を探しています。ある時点で、私のクライアントは「ハッキング」の基本的なテクニックに十分に精通していないことが明らかになりました。 APIキー、パスワード、SSHキー、証明書はすべて優れたセキュリティメカニズムです。しかし、これは彼らが秘密にされている限りです。そのようなデータにアクセスするべきではない人々がそのようなデータを利用できるようになると、パスワードの複雑さとハッシュアルゴリズムの高度さはもはや重要ではないことがわかります。この投稿では、セキュリティ研究者が分類された情報を見つけるために使用する概念、方法、およびツールについて説明したいと思います。このようなデータは、システムをハッキングするために使用されます。また、ハッカー攻撃が成功するリスクを減らすのに役立ついくつかの簡単なワークフローもここで共有します。







ハッカーやコンピューターシステムの所有者が行う攻撃と防御の「ゲーム」は不正なゲームであることに注意することが重要です。攻撃者がシステムに侵入し、1回だけ勝つだけで十分です。そして、防御する人は常に勝つことによってのみ勝つことができます。ここでの主な難しさは、何を探すべきかを知ることです。しかし、防御側がハッカーが自分のシステムに侵入できる仮想の「ドア」の種類を知った後、これらの「ドア」はかなり単純なメカニズムを使用して保護できます。私は、これらのメカニズムの単純さがそれらの重要性を低下させることがあり、多くのコンピューターシステムの擁護者がこれらのメカニズムを見落としている理由であると信じています。



これが、この記事で開示するシステムを保護するための基本的なルールです。それらは単純ですが、これはあなたが免責でそれらを忘れることができるという意味ではありません：

• (multi-factor authentication, MFA) , . Google GitHub, , VPN-. MFA — .
• , .
• , . .
• . , .

機密情報の漏えいやセキュリティシステムの「穴」の出現を防ぐという点では、パレートの原則が機能し、20％の努力が80％の結果をもたらします。



ハッカーがパスワードと秘密鍵を見つけたとき、どのように機能しますか？彼らはどのようなツールを使用していますか？

ハッカーはJavaScriptファイルで秘密のデータを見つけます

APIキーはインターネット全体に散らばっています。どなたでもご利用いただけます。事実です。多くの場合、キーが公開されている特別な理由はありません。開発者はどこでもそれらを単に忘れます。たとえば、キーは次の理由でコードに入ります。

• デバッグの目的で。
• ローカル開発の目的で。
• 後でプロジェクトをサポートする人を対象としたコメントの形で。

次のようなコードのブロックは、インターネット上で非常に頻繁に見つかります。

// DEBUG ONLY
// TODO: remove -->
API_KEY=t0psecr3tkey00237948

多くのハッカーは自分でJavaScriptファイルを読み取りますが、ほとんどの場合、megなどのツールを使用してそのようなファイルを検索し、一致するパターンがないかどうかを確認します。



どうやってやっているの？スキャナーを使用した後、megさまざまなパターンに一致するファイル内の文字列を探しているようです。作成した人はmeg、別の優れたプログラムを作成しました。これはまさに意図されたものです。これはgfと呼ばれ、改良版grepです。この場合、起動時にgfオプションを使用するtruffleHogか、その記述の別の変形でtrufflehog、ツールがAPIのキーである高エントロピー文字列を見つけることができます。文字列検索についても同じことが言えますAPI_KEY..。このような文字列の検索結果は、多くの場合（あまりにも頻繁に）成功します。



多くの場合、キーがコードに表示されるのは完全に通常の理由ですが、そのようなキーは部外者から保護されていません。例を挙げましょう。私が一緒に働いたあるクライアントは、外部の地図情報サービスを使用していました。これは多くのプロジェクトで行われます。マップ情報をロードして操作するには、キーを使用して対応するAPIを呼び出す必要がありました。しかし、私のクライアントは、サービスがその特定のキーを使用して要求を受信できるソースを制限するために使用していたサービスを構成するのを忘れていました。マップサービスに多くのリクエストを送信することで、マップサービスのリソース使用量の割り当てを使い果たすという単純な攻撃を想像するのは難しいことではありません。これは、そのようなサービスのユーザーに多額の費用をかける可能性があります。または、（攻撃者の観点から）「より良い」場合でも、そのような攻撃は、カードに関連付けられているクライアントのプロジェクトの部分が単に「落ちる」という事実につながる可能性があります。



JSファイルは、秘密のデータを見つけるだけでなく、ハッカーによって使用されます。結局のところ、そのようなファイルはアプリケーションのコードであり、このコードに興味のある人なら誰でも見ることができます。優れたハッカーは、コードを注意深く読んだ後、コードで使用されているエンティティの命名方法を理解し、APIへのパスを見つけ、貴重なコメントを見つけることができます。このような結果は、自動スキャナーに渡される単語のリストとしてフォーマットされます。これはいわゆる「インテリジェント自動スキャン」であり、ハッカーは自動ツールと特定のプロジェクトに関して収集した情報を組み合わせます。



これは、あるプロジェクトのホームページからの実際のコメントです。これは、誰もがデータを取得できる安全でないAPIについてプレーンテキストで説明しています。

/* Debug ->
domain.com/api/v3 not yet in production 
and therefore not using auth guards yet 
use only for debugging purposes until approved */

▍どうする？

• . . , , .
• API. , . , .
• , , . , , , , , , . , .
• , . . , . grep gf . . , , .
• -. , - . 100% . - — .

, -

インターネットアーカイブ（「ウェイバックマシン」とも呼ばれます）には、Webサイトの定期的なスナップショットが保存されます。このプロジェクトでは、何年も前のインターネットの様子を見ることができます。アーカイブデータは、特定のプロジェクトに関する情報を収集する必要があるハッカーにとって非常に興味深いものです。あなたのようなツールを使用してウェブサイトの古い変種のためのファイルをスキャンすることができwaybackurlsを（に基づいてwaybackurls.py）。つまり、サイトコードでキーを見つけてそこから削除したが、キーをローテーションしなかった場合でも、ハッカーは古いバージョンのサイトでこのキーを見つけ、このキーを使用してシステムをハッキングできます。



あるべきではないキーを見つけた場合の対処方法は次のとおりです。

1. 侵害されたキーを置き換えるように設計されたキーを作成します。
2. 新しいキーを使用するコードの新しいバージョンをリリースします。このコードは、キーを簡単に識別できる行が含まれないように書き直す必要があります。
3. 古いキーを削除または非アクティブ化します。

▍鍵を見つける場所はインターネットアーカイブだけではありません

古いコードは、攻撃者に興味のあるさまざまな情報を提供します。

• APIシークレットパス。開発者が決して共有しないと考えていた、セキュリティで保護されていないAPIエンドポイントについて話しています。ハッカーが発見したパスは役に立たない場合がありますが、これらのパスは、プロジェクトのAPIの設計とそのAPI規則を理解するのに役立ちます。サイトコードが本番環境に移行した後、開発者はこのコードを詮索好きな目から隠す方法がありません。これを覚えておくことは非常に重要です。
• -. , API, . , . , , . , -. , , . , , . , s https.

GitHub

GitHubはハッカーのための金鉱です。どこを見ればよいかわかっていれば、簡単な検索ツールを使って面白いものをたくさん見つけることができます。組織のGitHubアカウントが多要素認証によって保護されていない場合、組織のすべての従業員は、例外なく、セキュリティホールを歩いています。一部の従業員がどこでも同じパスワードを使用している可能性があり、このパスワードは他のシステムを介してすでに盗まれている可能性があります。特定の組織に関心のあるハッカーは、侵害されたパスワードの検索を簡単に自動化できますが、私が言えることは、彼はそのようなパスワードを手動で見つけることができるということです。



組織の従業員名簿は、オープンソースインテリジェンス（OSINT）技術を使用して作成できます。 LinkedInまたはGitHubの会社の従業員の公開リストは、攻撃者がこれを行うのに役立ちます。



たとえば、誰かがテスラをハックすることに決めた場合、彼はこのページから会社の勉強を始めるかもしれません：

https://api.github.com/orgs/teslamotors/members

また、企業がGitHubをgitプラットフォームとして使用していなくても、GitHubには価値のあるものがあります。会社の従業員の少なくとも1人が、たとえばホームプロジェクトにこのプラットフォームを使用するだけで十分です。このプロジェクトのコード（またはgitの歴史）に会社の秘密が含まれている場合、これはこの会社のシステムに浸透するのに十分です。



各プロジェクトに加えられた変更の完全な履歴を追跡することは、gitの性質です。セキュリティの問題に照らして、この事実は大きな役割を果たします。言い換えれば、組織のシステムのいずれかにアクセスできる人がコードに加えるすべての変更は、その組織を危険にさらします。

▍なぜこれが起こっているのですか？

• 企業はシステムの脆弱性をチェックしません。
• , , .
• , , ( , , 1%), ( — git, , , ).
• , . .

▍ GitHub

「dorks」のようなものがあります。これは、検索エンジンのさまざまな機能を使用して特定のデータに関連するものを見つける特別な検索クエリです。これは、exploit-db.comによるGoogleの同様の検索の興味深いリストです。



このトピックをさらに深く掘り下げたい場合は、そうすることをお勧めします。GitHubでキーとパスワードを見つけるために使用される文字列の短いリストを提供する前に、才能のあるシステムセキュリティ研究者によって書かれたこの貴重な資料を読むことをお勧めします。彼は、GitHubで検索する方法、内容、場所、ドークの使用方法について説明し、秘密のデータを手動で見つけるプロセスの概要を説明します。



GitHubで使用される道路は、Googleで使用される道路ほど複雑ではありません。ここでのポイントは、GitHubがユーザーにGoogleと同じ高度な検索機能を提供していないということです。とにかく、GitHubリポジトリを正しく検索すると驚異的に機能します。興味のあるリポジトリで次の行を検索してみてください。

password
dbpassword
dbuser
access_key
secret_access_key
bucket_password
redis_password
root_password

また、filename:.npmrc _authやfilename:.htpasswdなどのクエリを使用して特定のファイルを検索しようとすると、データリークタイプで検索結果をフィルタリングできます。ここだ、このトピックに関する別の良い作品が。

▍GitHubに関連するリスク軽減策

• 脆弱性についてコードをスキャンすることをCIプロセスの一部にします。優れたGitRobツールがこれに役立ちます。
• . GitRob . , no-expand-orgs.
• . GitRob, , 500 , , -commit-depth <#number>.
• GitHub !
• , , , , . G Suite Active Directory. , .

この資料が公開された後、その読者の何人かは、パスワードの複雑さとそのローテーション、および情報のハードウェア保護の使用に関して貴重なコメントをしました。



これが@ codemouse92のコメントです：

パスワードログオンが使用される場合は常に、複雑で一意のパスワードを使用してください。ただし、複雑なパスワードは、必ずしも文字、数字、特殊文字の不思議な寄せ集めであるとは限らないことに注意してください。現在の最善の戦略は、長いフレーズをパスワードとして使用することです。パスワードマネージャーについて一言申し上げます。このようなプログラムを使用することは間違いなく価値がありますが、ユーザーが覚えていて自分で入力できるフレーズであるパスワードを使用することをお勧めします。

ユーザー@corymcdonaldのコメントは次のとおりです。

私が働いているところでは、誰もが多要素認証ハードウェアを与えられています。それぞれに2つのYubiKeyデバイスがあります。さらに、各チームは1Passwordパスワードマネージャーを使用し、各チームには独自のパスワードストアがあります。従業員が会社を辞めると、サポートチームは、従業員がアクセスしたすべてのボールトのパスワードをローテーションします。たとえば、個人的には、GitHubでAWSにアクセスするためのキーをアップロードして、許されない間違いを犯しました。コミットする前に、git-secretsを使用して資料を確認することをお勧めします。これにより、分類された情報のように見えるものが共有されなくなります。

ハッカーはGoogleを使用します

ドークの基本を理解したので、Googleでの特定の検索クエリの使用について説明します。ここであなたは彼らの助けを借りて信じられないほどのものを見つけることができます。 Googleは強力な検索エンジンであり、探しているデータに存在する必要がある文字列と存在しない文字列を説明するクエリを作成できます。 Googleでは、特に、特定の拡張子を持つファイルを検索したり、指定したドメインやURLを検索したりできます。次の検索文字列を見てください。

"MySQL_ROOT_PASSWORD:" "docker-compose" ext:yml

この文字列は、拡張子が付いたファイルを検索するように設計されていますyml。さらに、これらはdocker-compose開発者がパスワードを保存することが多いファイルである必要があります。特に一意のパスワードではありません。この文字列に対してGoogle検索を実行してみてください。あなたはあなたが見つけたものに驚かれることでしょう。



他の興味深い検索文字列は、RSAキーまたはAWS資格情報を探している可能性があります。別の例を次に示します。

"-----BEGIN RSA PRIVATE KEY-----" ext:key

ここでは、無限の可能性が私たちの前に開かれます。検索の質は、研究者の創造性のレベルと、彼がさまざまなシステムにどれだけ精通しているかにのみ依存します。ここだあなたは試してみたい場合は、Google Dorksの大きなリストが。

ハッカーは、関心のあるシステムを精査します

セキュリティ研究者（または意欲的なハッカー）が特定のシステムに非常に興味を持っているとき、彼はそのシステムを徹底的に研究し始めます。彼は彼女をよく知るようになる。彼は、APIエンドポイント、エンティティの命名規則、システムの内部部分の相互作用の機能、異なるバージョンのシステムが同時に使用されている場合の異なるバージョンのシステムへのアクセスに関心があります。



APIを保護するためのあまり良くないアプローチは、APIにアクセスするためのパスを複雑にし、ランダム文字ジェネレーターのようなものを使用してそれらを非表示にすることです。これは、実際のセキュリティメカニズムに代わるものではありません。セキュリティ研究者は、たとえば、脆弱性の「ファジー」検索用のツールを使用して、システム、APIエンドポイントへのセキュリティで保護されていないアクセスパスを見つけようとしています。このようなツールは、単語のリストを使用し、それらからパスを作成し、それらにアクセスしようとしたときに受信する応答を分析することによって、これらのパスを検証します。このようなスキャナーは、完全にランダムな文字のセットで表されるパスであるエンドポイントを検出しません。しかし、そのようなツールは、パターンを識別し、システムの所有者が忘れた、または知らなかったエンドポイントを見つけるのに優れています。



「あいまいさによるセキュリティ」はシステムを保護するための最良の方法ではないことを忘れないでください（ただし、完全に無視するべきではありません）。



ここで、上記で説明したGitHubドークがサイバー犯罪者の助けになります。システムのエンドポイントへのパス（たとえば、のようなものapi.mydomain.com/v1/payments/...）を構築するときに使用されるルールを知ることは、ハッカーにとって非常に役立ちます。会社のGitHubリポジトリ（およびその従業員のリポジトリ）でAPI関連の文字列を検索すると、ランダムな文字を含むパスが見つかることがよくあります。



しかし、それにもかかわらず、「ランダムな文字列」はシステム内でその位置を占めています。これらの使用は、常により良いようにリソース識別子、文字列からの配列を使用するよりもあるusersとAPIへのパスでorders。



ここでは、エンティティを命名する際に使用される多くの文字列を含む素晴らしいSecListsリポジトリは、あります。これは、データ保護業界のほぼすべての人に使用されています。多くの場合、これらの資料は特定のシステム用に変更されています。「暗号化された」パスを見つけるために使用できるもう1つのツールは、Goで記述された非常に高速なファジーロジックプログラムであるFFufです。

結果

セキュリティの問題は、スタートアップでは見過ごされがちです。プログラマーとマネージャーは通常、製品リリースの開発速度と頻度を優先し、品質と安全性を犠牲にします。ここでは、リポジトリに入るコードに秘密情報が含まれていること、システム内のさまざまな場所で同じキーを使用していること、他の何かを使用できるアクセスキーを使用していることがわかります。このようなことでプロジェクトの作業をスピードアップできるように見えることもありますが、時間の経過とともに、非常に悪い結果につながる可能性があります。



この投稿では、プライベートリポジトリに保存することで保護されているように見える文字列を簡単に公開する方法を紹介しました。同じことが、善意のある従業員によって作成され、詮索好きな目を意図していないが、公開されていることが判明したリポジトリのクローンにも当てはまります。ただし、安全なパスワード共有ツールを使用したり、シークレットの集中リポジトリを使用したり、パスワードセキュリティポリシーを構成したり、多要素認証を行ったりすることで、安全な操作の基盤を構築できます。これにより、セキュリティを無視することなく、プロジェクトの作業速度を低下させることがなくなります。



情報の保護に関しては、速度が最も重要であるという考えはここではうまく機能しません。



ハッカーがどのように機能するかについての知識を得ることが、通常、情報セキュリティとは何かを理解するための非常に良い第一歩です。これは、システムを保護するための最初のステップです。システムを保護するときは、システムに侵入する上記の方法と、ハッカーがそのような方法のかなり限られたセットを使用するという事実を考慮してください。セキュリティの観点から、外部メカニズムか内部メカニズムかに関係なく、何らかの形で特定のシステムに関連するすべてのものを完全に考慮することをお勧めします。



システムのセキュリティは、それほど重要ではないものの、時間がかかり、多忙であると見なされる場合があります。ただし、システムを保護するための簡単な手順で、多くの問題を回避できますので、ご安心ください。



システムをどのように保護しますか？