Offensive Services

HIBP – Code Base wird nun Open Source

Aktualisiert am

Die bekannte Webseite have i been pwned (HIBP) wird nun Open Source. Auf dieser Webseite können Menschen unter anderem nachschauen ob eine Email-Adresse in einem öffentlichen Datendiebstahl vorgekommen ist. Der Gründer Troy Hunt teilte, auf seinem persönlichen Blog, Anfang August mit, dass der Quellcode des Projekts jetzt öffentlich werden soll.

HIBP soll nicht vergessen werden

Troy Hunt referenziert in seinem Blogbeitrag einen Twitter-Beitrag von Junade Ali. In diesem Beitrag wird erläutert das der Passwort-Manager Last Pass nun eine API-Schnittstelle verwendet um den Nutzern automatisch mitzuteilen, wenn ein verwendeter Account in einem Datendiebstahl vorkommt.

Twitter
https://twitter.com/IcyApril/status/1291012838836899842

Die k-Anonymity, die in dem oben aufgeführten Twitter-Beitrag erwähnt wird, ist eine Idee die Junade laut Troy Hunt, für die HIBP Pwned Passwörter implementiert hat. Dieser Programmteil wird nun ebenfalls in anderen Apps und Programmen verwendet, die teilweise Open Source sind.

Troy Hunt sieht nun den einzigen logischen Schritt darin, die Code Base von HIBP Open Source zu machen. Dieser Schritt würde mit der Philosophie von HIBP einhergehen, denn bislang sollte HIBP der Community helfen, von nun an soll die Community HIBP helfen.

Ein Grund für diesen Schritt nennt Troy Hunt darin, dass er viele gute Ideen für das Projekt HIBP bekommt, allerdings diese nicht alleine umsetzen kann. Damit HIBP weiterhin benutzt wird muss es neue Ideen und Funktionen implementieren und das schafft der Troy Hunt nicht, ohne das Projekt Open Source zu machen. Denn dadurch kann jeder der eine Idee hat diese selbstständig umsetzen und weitere Ideen mit der Community entwickeln.

Ein weiterer Grund der genannt wurde lautet, dass HIBP zum großen Teil bereits Open Source war. 128 Blogbeiträge befinden sich auf der Webseite von Troy Hunt die sich alleine mit der Funktionsweise von der Webseite handeln. Dadurch das nun die Code Base veröffentlicht wird möchte Troy Hunt zeigen, dass er nichts versteckt oder eine “Geheimsauce” verwendet hat.

Zusammenfassend sagt Troy Hunt, dass immer mehr Open Source wird und befürwortet diesen Schritt der Entwicklung. HIBP ist ein Projekt, welches genau auf die Open Source Mentalität passt und daher ist dies der einzige logische Schritt.

HIBP search
Ob Troy Hunt die Eingaben mitloggt, wird sich zeigen wenn die Code Base veröffentlicht wird.

Noch ein langer Weg bis HIBP Open Source ist

Das Ziel, dass HIBP komplett Open Source wird, ist klar gesetzt und wird nun versucht zu erreichen. Troy Hunt schreibt jedoch, dass dieser Schritt nicht von heute auf morgen durchgeführt werden kann. Dies liegt daran, dass die Software einfach noch nicht bereit ist um komplett veröffentlicht zu werden. Gestartet hat die Entwicklung von HIBP 2013 auf den Philipinen. In den nun vergangenen 7 Jahren hat Troy Hunt nahezu alleine diese Webseite programmiert.

Jeder Entwickler weiß, dass ein Programm, welches nur von einer Person verwaltet wird, viele Dinge beinhaltet die nicht für ein öffentliches Projekt geeignet sind. Dazu zählen Kommentare die sensible Informationen beinhalten, aber auch Funktionen die gar nicht genutzt werden etc. Wenn man der einzige Programmierer ist kann man mit solchen “Fehlern” gut leben, aber bevor das Projekt veröffentlicht wird, sollten diese Fehler entfernt werden.

Damit diese Fehlerbehebung möglichst schnell vonstatten geht, hat sich Troy Hunt Unterstützung von Kollegen geholt die in unterschiedlichen Bereichen Experten sind und Erfahrung mit Open Source Projekten haben.

Eine andere problematische Frage im Zusammenhang mit der Offenlegung von HIBP ist der Umgang mit den verwendeten Daten. Da diese Daten zum Großteil aus kriminellen Aktivitäten resultieren und persönliche Daten von vielen Personen beinhalten, wäre eine Veröffentlichung dieser Datenbanken rechtlich problematisch und ein IT-Sicherheitsrisiko!

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.