GitHub hat mitgeteilt, dass unbekannte Angreifer verschlüsselte Code-Signatur-Zertifikate für seine Desktop- und Atom-Anwendungen gestohlen haben, nachdem sie sich Zugang zu einigen der Entwicklungs- und Release-Planungs-Repositories verschafft hatten.
Bislang hat der Anbieter keine Beweise dafür gefunden, dass die passwortgeschützten Zertifikate (ein Apple Developer ID-Zertifikat und zwei Digicert Code Signing-Zertifikate, die für Windows-Anwendungen verwendet werden) für bösartige Zwecke verwendet wurden. Die ersten Berichte wie auf BleepingComputer lassen also darauf schließen, dass bisher nichts Wesentliches passiert ist.
Die Plattform selbst ist für Entwickler enorm wertvoll: Über 100 Millionen Entwickler nutzen sie und die Fortune 500 sowie alle großen Softwareentwickler von Microsoft bis Google verlassen sich auf sie. Es überrascht daher nicht, dass sie auch ins Visier von Angreifern geraten ist. Unbekannte Bedrohungsakteure haben nun Code-Signing-Maschinenidentitäten gestohlen. Sie ermöglichen es Angreifern, ihre Software als von GitHub stammend auszugeben.
In den falschen Händen könnten diese Maschinenidentitäten dazu verwendet werden, sich als vertrauenswürdig auszugeben, sodass ein Angreifer bösartige Inhalte signieren und versenden kann, die von anderen Maschinen als von GitHub stammend authentifiziert werden. Dies ist eine mächtige Waffe, die Supply-Chain-Angriffe auf andere Softwareentwickler sowohl unmittelbar als auch bei verspäteter Entdeckung ermöglichen kann.
Der Vorfall ist ein weiteres Beispiel dafür, wie schnell agierende Teams neue Angriffsmöglichkeiten schaffen können. Die Verwaltung von Maschinenidentitäten ist nicht mehr optional und schon gar nicht manuell sinnvoll. Maschinenidentitäten, die mit Code signiert werden, können nicht unbeaufsichtigt bleiben. Im Gegenteil, sie müssen ständig überwacht und kontrolliert werden. Das schnelle Auffinden und erneute Ausstellen von Maschinenidentitäten ist manuell mit Excel-Tabellen nicht zu bewerkstelligen. Um sich vor solchen Ereignissen zu schützen, müssen Cybersicherheits- und IT-Teams eine Steuerungsebene für die Automatisierung der Maschinenidentitätsverwaltung einsetzen. Auf diese Weise schützen sie Maschinenidentitäten kontinuierlich vor Diebstahl und vermeiden die manuelle Rotation, den Austausch und den Entzug. Entwicklerteams hemt dies und sorgt dafür, dass sie sich unsichere Short Cuts suchen, die wiederum zu Sicherheitsverletzungen führen.
Automatisierte Lösungen wie ein „Control Plane“ funktionieren wie eine einzige Steuerungsebene für das Maschinenidentitätsmanagement. Sie sorgen die für Beobachtbarkeit, Konsistenz, Zuverlässigkeit und Wahlfreiheit in Clouds, hybriden Umgebungen, Rechenzentren und am Rande des Netzwerks. Die Lösung liefert Kernfunktionen direkt, verteilt sie oder delegiert sie innerhalb wiederverwendbarer Muster und Richtlinienkontrollen. Zusammen unterstützen diese Funktionen die Orchestrierung des Lebenszyklus von Maschinenidentitäten, Authentifizierung, Autorisierung und Governance.