Το GitHub παραβίασε, εκατομμύρια έργα που κινδυνεύουν να τροποποιηθούν ή να διαγραφούν

Octocat, GitHub

Το GitHub, ένα από τα μεγαλύτερα αποθετήρια εμπορικού και ανοιχτού λογισμικού στον ιστό, έχει παραβιαστεί. Κατά τη διάρκεια του Σαββατοκύριακου, ο προγραμματιστής Egor Homakov εκμεταλλεύτηκε μια κενή ευπάθεια στο GitHub που του επέτρεψε (ή οποιονδήποτε άλλον με βασική τεχνογνωσία χάκερ) να αποκτήσει πρόσβαση διαχειριστή σε έργα όπως το Ruby on Rails, το Linux και εκατομμύρια άλλα. Ο Homakov θα μπορούσε να έχει διαγράψει ολόκληρο το ιστορικό έργων, όπως jQuery, Node.js, Reddit και Redis.



Από την κυκλοφορία του το 2008, το GitHub ξεπέρασε γρήγορα τους ανταγωνιστές όπως το Codeplex και, ανάλογα με τη μέτρηση που χρησιμοποιείτε, έχει ξεπεράσει ακόμη και το μακροχρόνιο κατεστημένο Sourceforge. Στην ουσία, το GitHub είναι ένα web wrapper γύρω από το σύστημα ελέγχου αναθεώρησης Git του Linus Torvalds (το οποίο αρχικά έγραψε για να βοηθήσει την ανάπτυξη του Linux), αλλά είναι η προσθήκη λειτουργιών κοινωνικού δικτύου όπως τροφοδοσίες, φίλοι και τάσεις που τροφοδότησαν το εντυπωσιακό GitHub ανάπτυξη. Τελικά, το GitHub το καθιστά πολύ εύκολο και γρήγορο για τη συνεργασία των προγραμματιστών - επιπλέον είναι δωρεάν για έργα ανοιχτού κώδικα - και ως αποτέλεσμα, περίπου 1,4 εκατομμύρια προγραμματιστές έχουν προσελκύσει την υπηρεσία σε μόλις τρία χρόνια, δημιουργώντας περισσότερα από 2,3 εκατομμύρια αποθετήρια. Μια λίστα με το περισσότερα δίκρανα έργα στο GitHub διαβάζει σχεδόν σαν έναν σύγχρονο ποιος είναι επιτυχής έργων ανοιχτού κώδικα.

Παρά το μέγεθος και τη σημασία του, το GitHub δεν έχει παραβιαστεί ποτέ - μέχρι τώρα. Το GitHub χρησιμοποιεί το πλαίσιο εφαρμογής Ruby on Rails και το Rails ήταν αδύναμο σε αυτό που είναι γνωστό ως ευπάθεια μαζικής ανάθεσης για χρόνια. Βασικά, ο Homakov εκμεταλλεύτηκε αυτήν την ευπάθεια για να προσθέσει το δημόσιο κλειδί του στο έργο Rails στο GitHub, το οποίο τότε σήμαινε ότι ο GitHub τον αναγνώρισε ως διαχειριστή του έργου. Από εδώ, θα μπορούσε αποτελεσματικά να κάνει οτιδήποτε, συμπεριλαμβανομένης της διαγραφής ολόκληρου του έργου από τον Ιστό. Αντ 'αυτού, δημοσίευσε μια αρκετά κωμική δέσμευση . Ο GitHub ανέστειλε συνοπτικά τον Homakov, διόρθωσε την τρύπα και, μετά από «επανεξέταση της δραστηριότητάς του», αποκαταστάθηκε.



Χάμα του Homakov GitHubΑπορρίπτοντας τον τρόπο με τον οποίο το GitHub χειρίστηκε την κατάσταση (γρήγορα και με έκπληξη), το κύριο ζήτημα είναι ότι το GitHub ήταν ευάλωτο σε ένα απίστευτα απλό και γνωστό hack Rails που πιθανότατα υπήρχε από την έναρξη του ιστότοπου . Εμπειρογνώμονες ρουμπίνι Μάικλ Χάρτλ και Eric Chapweske γράφουν (και προειδοποιούν) σχετικά με την ευπάθεια μαζικής ανάθεσης από το 2008, όταν κυκλοφόρησε για πρώτη φορά το GitHub. Εν ολίγοις, είναι πολύ πιθανό ότι ο Egor Homakov δεν ήταν το πρώτο άτομο που εκμεταλλεύτηκε το GitHub με αυτόν τον τρόπο. Θα το είχαμε ακούσει αν ένα μεγάλο έργο είχε διαγραφεί από το μπλε - αλλά ίσως οι χάκερ τροποποιούν ήσυχα τις βάσεις κώδικα για τους δικούς τους, άθλιους σκοπούς.



Προχωρώντας προς τα εμπρός, GitHub ζήτησε συγγνώμη για τη συγκαλυμμένη τον τρόπο με τον οποίο οι χάκερ λευκών καπέλων θα πρέπει να αποκαλύπτουν τρωτά σημεία ασφαλείας και να δημιουργούν μια νέα σελίδα βοήθειας που αναφέρει με σαφήνεια πώς να αναφέρουν ζητήματα. Το GitHub, μαζί με τη σειρά δημοφιλών εφαρμογών ιστού του 37signal (Basecamp και Campfire), είναι πιθανώς η μεγαλύτερη ανάπτυξη του Ruby on Rails στον ιστό. Μετά από μια μακρά σειρά από hacks υψηλού προφίλ σε εταιρείες τεχνολογίας όπως Sony , RSA , LastPass και Google, πιθανότατα δεν θα πρέπει να εκπλαγούμε από το ότι το GitHub ήταν ευάλωτο - αλλά ακόμα, όταν είναι μια υπηρεσία στην οποία βασίζονται τόσα πολλά σημαντικά έργα, είναι σοκαριστικό το γεγονός ότι μια παλαιά ευπάθεια δεν είχε ληφθεί υπόψη σε έλεγχο ασφαλείας. εάν το GitHub εκτελεί ελέγχους ασφαλείας, δηλαδή.

Για συζήτηση σχετικά με την ευπάθεια που χρησιμοποιεί ο Homakov, δείτε το προσωπικό του blog και Το blog του Chris Acky

Copyright © Ολα Τα Δικαιώματα Διατηρούνται | 2007es.com