Sikkerhetsblogg

GITHUB – er det trygt?

For de fleste som jobber med IT, er det utenkelig å laste ned og kjøre en exe-fil med mindre den er hentet fra en anerkjent leverandør man stoler på.

GitHub, en plattform der utviklere kan lagre, dele og samarbeide om kodeprosjekter, inneholder gratis, åpen kildekode-applikasjoner og skript fra store aktører som Linux, Apache, Facebook og Microsoft, samt mange små prosjekter og et stort antall enkeltutviklere. Hvem som helst kan opprette en GitHub-konto og dele sin kode på plattformen.

Fordi GitHub er en bransjestandard som huser et enormt antall respekterte prosjekter, overvurderer mange sikkerheten til det som ligger der. Vi ser at folk som jobber med IT, ukritisk laster ned skript og verktøy, og at utviklere henter kode fra mange forskjellige GitHub-prosjekter og integrerer denne i sine applikasjoner. Hvis en bruker på GitHub deler et skript som hun hevder løser en bestemt Windows-driftsoppgave, ser det ut til at mange stoler langt mer på dette enn om det hadde vært tilbudt som et skript eller en exe-fil fra egen hjemmeside. Hvor kommer denne tilliten fra?

Bare fordi det ligger på GitHub, betyr det ikke at det er trygt. Mange skadelige elementer finnes på GitHub, blant annet hackerverktøy (opprinnelig laget for sikkerhetstesting), theZoo (en database med mange virus og skadelige programmer) og PoC exploits. Trusselaktører har også brukt GitHub til å lagre deler av sin verktøykasse, som de trekker ned til de berørte systemene under et angrep.

Bare fordi det er åpen kildekode, betyr det ikke at det er ufarlig. Hvis ikke du eller noen andre gjør en grundig kodegjennomgang, kan ondsinnede elementer skjule seg i kildekoden eller skriptet. Innholdet på GitHub kan endres når som helst. Hvis du foretar en kodegjennomgang i dag og laster ned skriptet på nytt om noen uker, kan det hende at noe skadelig har blitt introdusert siden sist.

Når man kjører kode fra GitHub, stoler man ikke bare på kontoen eller prosjektet som publiserte koden, men også på at tilgangen til kontoen (som ofte administreres av én person) ikke havner i feil hender. Det er en risiko for at noen prosjekter eller enkeltutviklere kan bli lurt av phishing-angrep, noe som gir en trusselaktør muligheten til å modifisere koden. Det er også en betydelig risiko for at enkelte utviklere kan selge sin GitHub-konto hvis de får et fristende tilbud, og på denne måten kan trusselaktører påvirke hundrevis, kanskje flere tusen brukere.

De som jobber med IT-sikkerhet er også svært utsatt. Ironisk nok kan penetrasjonstestere, som har som oppgave å avdekke sikkerhetsmangler, ende opp med å infisere kundens systemer hvis de bruker verktøy, skript og exploits fra GitHub uten tilstrekkelig kompetanse. Trusselaktører har flere ganger opprettet GitHub-kontoer med navnet og bildet til kjente sikkerhetsforskere for å dele modifiserte verktøy eller exploits som inneholder (uønskede) skadelige elementer.

Før kode lastes ned og kjøres, bør du forsikre deg om at kontoen er ekte og at prosjektet har et godt omdømme. Sjekk aktivitet og historikk, følgere og stjerner, samt issues og pull requests. Google utvikleren og prosjektet for å finne mer informasjon. Hvis du finner et prosjekt som ser ut til å løse en utfordring, men det er lite tilgjengelig data for å ta en beslutning, bør koden analyseres grundig før kjøring.

En annen utfordring er vedlikeholdsnivået til prosjekter. Noen prosjekter har ikke blitt oppdatert på lang tid og kan inneholde alvorlige sårbarheter og bruke utdaterte biblioteker og komponenter.

Vil du ta en prat med oss? Fyll ut skjema så tar vi kontakt med deg