in

Fugas de cookies de Github: miles de archivos de cookies de Firefox cargados accidentalmente – Naked Security


¿Recuerda cuando la gente subió accidentalmente sus claves SSH a Github y sitios similares para compartir código?

Hace dos años escribimos sobre desarrolladores de software descuidados que subían sin darse cuenta cientos de miles de claves de control de acceso privadas junto con archivos de código fuente que querían publicar.

Por lo general, este tipo de error ocurre porque las computadoras Linux y Unix por defecto no muestran directorios o nombres de archivos que comienzan con un punto (punto, punto, ASCII 46, hexadecimal 0x2E).

Es fácil olvidar que estos archivos y directorios «ocultos» incluso existen porque rara vez se notan.

Uno de los directorios «ocultos» más importantes para los usuarios de Unix es .sshque suele ser invisible.

Una lista de directorio simple podría verse así:

$ ls -lR
.:
total 4
drwxr-xr-x 2 lua  lua  4096 2021-11-18 20:52 lua-utils/

./lua-utils:
total 32
-rw-r--r-- 1 lua  lua   5107 2021-11-18 20:45 args.lua
-rw-r--r-- 1 lua  lua  12384 2021-11-18 20:45 base.lua
-rw-r--r-- 1 lua  lua   4628 2021-11-18 20:45 socks5.lua

Empacar a ciegas todos estos archivos en un archivo para cargarlos en su repositorio público preferido parece bastante inofensivo, ya que todos los archivos en el lua La cuenta debe ser pública.

Sin embargo, si insiste en que la utilidad de lista de archivos muestre todos los archivos (agregue la opción -a al Todo el mundo al ls Command), incluidos los archivos ocultos que comienzan con un punto, es posible que tenga un árbol de directorios que se parezca a esto:

$ ls -alR
.:
total 28
drwxr-xr-x  4 lua  lua   4096 2021-11-18 20:46 ./
drwxr-xr-x 27 lua  lua  16384 2021-11-18 20:42 ../
drwxr-xr-x  2 lua  lua   4096 2021-11-18 20:44 .ssh/
drwxr-xr-x  2 lua  lua   4096 2021-11-18 20:52 lua-utils/

./.ssh:
total 16
drwxr-xr-x 2 lua  lua  4096 2021-11-18 20:44 ./
drwxr-xr-x 4 lua  lua  4096 2021-11-18 20:46 ../
-r-------- 1 lua  lua    74 2021-11-18 20:45 id_rsa
-rw------- 1 lua  lua  1993 2021-11-18 20:45 known_hosts

./lua-utils:
total 40
drwxr-xr-x 2 lua  lua   4096 2021-11-18 20:52 ./
drwxr-xr-x 4 lua  lua   4096 2021-11-18 20:46 ../
-rw-r--r-- 1 lua  lua   5107 2021-11-18 20:45 args.lua
-rw-r--r-- 1 lua  lua  12384 2021-11-18 20:45 base.lua
-rw-r--r-- 1 lua  lua   4628 2021-11-18 20:45 socks5.lua

Como puede ver, el árbol de directorios completo contiene uno oculto .ssh Directorio que tiene un archivo llamado. contiene id_rsa, un archivo de clave privada que generalmente contiene las credenciales de uno o más servidores en línea a los que se conecta de forma regular:


$ cat .ssh/id_rsa 
-----BEGIN RSA PRIVATE KEY-----

[. . . .]

-----END RSA PRIVATE KEY-----