{"id":17116,"date":"2019-04-01T15:56:09","date_gmt":"2019-04-01T13:56:09","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17116"},"modified":"2020-06-19T17:25:57","modified_gmt":"2020-06-19T15:25:57","slug":"tokens-on-github","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/tokens-on-github\/17116\/","title":{"rendered":"Filtrate su GitHub migliaia di chiavi di cifratura: come evitare altri casi simili"},"content":{"rendered":"<p>Di recente, i ricercatori della North Carolina State University hanno scoperto <a href=\"https:\/\/www.zdnet.com\/article\/over-100000-github-repos-have-leaked-api-or-cryptographic-keys\/\" target=\"_blank\" rel=\"noopener nofollow\">oltre 100 mila progetti su GitHub<\/a> dove sono stati salvati in chiaro <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/token\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">token<\/a>, chiavi di cifratura e altri dati riservati. In totale, oltre mezzo milione di questi oggetti erano di pubblico dominio e oltre 200 mila erano dati unici. Inoltre, i token appartenevano a grandi aziende come Google, Amazon, MSW, Twitter, Facebook, MailChimp, MailGun, Stripe, Twilio, Square, Braintree e Picatic.<\/p>\n<p>GitHub \u00e8 una risorsa molto utilizzata per lo sviluppo di software aziendali. Si usa per custodire codici in repository con accesso pi\u00f9 o meno limitato, per collaborare con i colleghi e coinvolgerli nel programma di test e per utilizzare risorse gi\u00e0 pronte e open-source. GitHub rende pi\u00f9 semplice e pi\u00f9 veloce il processo di creazione di app e servizi, per questo molti programmatori sono contenti di utilizzarlo. Le aziende che creano i propri software basati su moduli open-source si avvalgono di GitHub continuamente; inoltre, se ne servono quelle aziende per le quali la trasparenza \u00e8 una priorit\u00e0.<\/p>\n<p>In ogni caso, quando si carica un codice su GitHub bisogna fare molta attenzione, e questo \u00e8 un consiglio che alcuni sviluppatori non seguono.<\/p>\n<h3>Quali sono i dati diventati di dominio pubblico<\/h3>\n<p>\u00c8 stato scoperto che GitHub ospitava blocchi di codice aperti a tutti che comprendevano token e chiavi di cifratura, grazie alle quali era possibile accedere a certe azioni ed eseguirle al posto di app e utenti. Tra le informazioni che non dovevano essere disponibili c\u2019erano:<\/p>\n<ul>\n<li>Credenziali d\u2019accesso degli account di amministratore di siti importanti;<\/li>\n<li>Chiavi API o token che permettono di utilizzare funzionalit\u00e0 <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/api-application-program-interface\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">API<\/a> in-app: si tratta di una serie di tool per l\u2019interazione tra diversi componenti di sistema (ad esempio tra un programma e un sito);<\/li>\n<li>Chiavi di cifratura, molte delle quali servivano per l\u2019accesso al posto di una password e per varie risorse, comprese reti privati;<\/li>\n<\/ul>\n<h3>Perch\u00e9 sono a rischio i token e le chiavi di cifratura filtrati<\/h3>\n<p>L\u2019accesso non autorizzato, anche se limitato, ai vostri account rappresenta una seria minaccia per il vostro business. Ecco perch\u00e9 in qualche esempio.<\/p>\n<p>Un modo per utilizzare i token in maniera inappropriata su GitHub \u00e8 pubblicando mail a raffica e post che sembrano provenire dall\u2019azienda che ha pubblicato questi token. Ad esempio, un intruso pu\u00f2 ottenere accesso a un sito aziendale o al suo account Facebook e di Twitter dove pubblicher\u00e0 un post dannoso o un link di phishing. Dal momento che i siti e gli account ufficiali di solito sono considerati una fonte affidabile di informazioni, \u00e8 molto probabile che vari utenti o lettori considerino sicuro il post o il link in questione.<\/p>\n<p>Oppure, i cybercriminali possono mandare messaggi di phishing alla vostra lista di iscritti (se utilizzate MailChimp ad esempio). Come nel caso precedente, ci si aspetta che gli utenti abbiamo piena fiducia in ci\u00f2 che contiene un\u2019e-mail inviata da un\u2019azienda affidabile. Attacchi di questo tipo possono minare seriamente la reputazione di un\u2019azienda, il che porta a perdere clienti e a dover investire risorse ingenti per il ripristino della normale attivit\u00e0.<\/p>\n<p>Infine, i cybercriminali possono semplicemente utilizzare delle funzionalit\u00e0 a pagamento di un servizio a vostre spese (come Amazon AWS). Ad esempio, il blogger <a href=\"http:\/\/vertis.io\/2013\/12\/16\/unauthorised-litecoin-mining.html\" target=\"_blank\" rel=\"noopener nofollow\">Luke Chadwick<\/a> ha ricevuto un messaggio da Amazon in cui veniva avvertito che la sua chiave su GitHub era di pubblico dominio. Facendo le dovute ricerche \u00e8 risalito a un vecchio progetto che, per un qualche motivo, si era dimenticato di chiudere; quando si \u00e8 collegato al suo account Amazon, ha scoperto di avere una fattura in sospeso da pagare di 3.493 dollari. Un utente non autorizzato si era appropriato di quella chiave di pubblico dominio e si era dedicato al mining di criptovalute con il suo account. Alla fine, Amazon ha rimborsato Chadwick ma ricordate che non tutte le storie hanno un lieto fine.<\/p>\n<h3>Com\u2019\u00e8 possibile che questi dati cos\u00ec privati siano andati a finire su GitHub?<\/h3>\n<p>L\u2019analisi dei risultati di ricerca mostra che non solo programmatori giovani e senza esperienza hanno lasciato informazioni riservate di dominio pubblico. Ad esempio, sono stati pubblicati su GitHub dei dati che consentivano l\u2019accesso a un sito di una grande istituzione governativa da uno sviluppatore con 10 anni di lavoro all\u2019attivo.<\/p>\n<p>I token e tutte le altre tipologie di chiavi sono stati pubblicati sui repository GitHub per varie ragioni. I tool di autorizzazione possono essere richiesti per integrare una app con un determinato servizio. Quando si pubblica il codice per fare delle prove, alcuni programmatori utilizzano le chiavi realmente valide al posto delle chiavi di debug e poi si dimenticano di eliminare queste informazioni dall\u2019accesso pubblico.<\/p>\n<p>Ad esempio, <a href=\"https:\/\/securosis.com\/blog\/my-500-cloud-security-screwup\" target=\"_blank\" rel=\"noopener nofollow\">il CEO di Securois e analista Rich Mogull<\/a> ha caricato su GitHub una app che stava sviluppando per una presentazione di una conferenza. Il programma ha inviato chiamate a Amazon AWS e Mogull ha immagazzinato in locale tutti i dati per le autorizzazioni. Tuttavia, per il debug di blocchi individuali di codici, ha creato un file di prova contenente diverse chiavi di accesso. Dopo il debugging, Mogull si \u00e8 semplicemente dimenticato di eliminarle dal file. I cybercriminali le hanno trovate e hanno cos\u00ec \u201cscroccato\u201d 500 dollari in servizi Amazon prima che qualcuno se ne accorgesse.<\/p>\n<p>Inoltre, gli sviluppatori possono anche non conoscere i rischi di lasciare i token validi sui repository GitHub e devono localizzare ed eliminarli (o sostituirli) prima di caricare il codice su GitHub.<\/p>\n<h3>Come proteggere le vostre risorse<\/h3>\n<ul>\n<li>Accertatevi che i vostri sviluppatori siano consapevoli del fatto che caricare chiavi e token validi per aprire repository pu\u00f2 essere dannoso e pericoloso. I programmatori dovrebbero capire che, prima di collocare un codice, devono verificare che non contenga dati riservati;<\/li>\n<li>Il Product Manager deve verificare che i progetti della compagnia su GitHub non contengano dati riservati e, in caso contrario, eliminarli in maniera scrupolosa, affinch\u00e9 non rimanga alcuna traccia nella cronologia delle modifiche;<\/li>\n<li>Se i dati che l\u2019azienda custodisce su GitHub contengono delle password, assicuratevi di cambiarle. Non c\u2019\u00e8 modo di sapere se qualcuno ha gi\u00e0 visto e salvato il codice;<\/li>\n<li>Fate in modo che i vostri dipendenti siano consapevoli naturalmente delle norme di sicurezza informatica, affinch\u00e9 facciano un uso responsabile di GitHub e di altri tool o risorse. La nostra piattaforma pu\u00f2 aiutarvi in questo, <a href=\"https:\/\/www.kaspersky.com\/blog\/building-cybersecurity-culture\/25729\/\" target=\"_blank\" rel=\"noopener nofollow\">in modo pratico ed efficace, e senza ostacolare l\u2019operativit\u00e0<\/a>.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Su GitHub sono state scoperti centinaia di migliaia di token e chiavi di cifratura. Ecco perch\u00e9 \u00e8 cos\u00ec grave e come evitare altre fughe di dati simili. <\/p>\n","protected":false},"author":2509,"featured_media":17117,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[3100,3099,1205,3098,111,45,2719],"class_list":{"0":"post-17116","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-chiavi-api","10":"tag-chiavi-di-cifratura","11":"tag-fughe-di-dati","12":"tag-github","13":"tag-privacy","14":"tag-sicurezza","15":"tag-token"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tokens-on-github\/17116\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tokens-on-github\/15529\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tokens-on-github\/13075\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/tokens-on-github\/17453\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tokens-on-github\/15602\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tokens-on-github\/14281\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tokens-on-github\/18148\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tokens-on-github\/22522\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tokens-on-github\/5831\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tokens-on-github\/26238\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tokens-on-github\/11702\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/tokens-on-github\/22922\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/tokens-on-github\/18205\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tokens-on-github\/22383\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tokens-on-github\/22319\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/fughe-di-dati\/","name":"fughe di dati"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2509"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17116"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17116\/revisions"}],"predecessor-version":[{"id":18480,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17116\/revisions\/18480"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17117"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}