GitHub piratejat, milions de projectes amb risc de ser modificats o suprimits

Octocat, GitHub

GitHub, un dels majors dipòsits de programari comercial i de codi obert de la web, ha estat piratejat. El cap de setmana, el desenvolupador Egor Homakov va explotar una enorme vulnerabilitat a GitHub que li permetia (o qualsevol altra persona amb coneixements bàsics sobre pirates informàtics) obtenir accés d'administrador a projectes com Ruby on Rails, Linux i milions d'altres. Homakov podria haver suprimit tota la història de projectes com jQuery, Node.js, Reddit i Redis.

Des del seu llançament el 2008, GitHub ha superat ràpidament a competidors com Codeplex i, depenent de la mètrica que utilitzeu, fins i tot ha superat Sourceforge de llarga durada. En essència, GitHub és un embolcall basat en web al voltant del sistema de control de revisions Git de Linus Torvalds (que inicialment va escriure per ajudar al desenvolupament de Linux), però és l’addició de funcions de xarxes socials com feeds, amics i tendències que han alimentat l’impressionant GitHub. creixement. En última instància, GitHub facilita la col·laboració dels desenvolupadors de manera fàcil i ràpida (a més, és gratuït per a projectes de codi obert) i, en conseqüència, uns 1,4 milions de desenvolupadors s’han vist atrets pel servei en només tres anys, creant més de 2,3 milions de repositoris. Una llista dels fitxers projectes més forquillats a GitHub gairebé es llegeix com un contemporani que és qui de projectes de codi obert reeixits.



Tot i la seva mida i importància, GitHub mai no ha estat piratejat, fins ara. GitHub utilitza el marc d’aplicacions Ruby on Rails i Rails ha estat feble pel que es coneix com a vulnerabilitat d'assignació massiva durant anys. Bàsicament, Homakov va aprofitar aquesta vulnerabilitat per afegir la seva clau pública al projecte Rails a GitHub, cosa que va significar que GitHub el va identificar com a administrador del projecte. A partir d’aquí, podria fer qualsevol cosa de manera efectiva, inclosa la supressió de tot el projecte del web; en el seu lloc, va publicar un compromís bastant còmic. GitHub va suspendre sumàriament Homakov, va arreglar el forat i, després de 'revisar la seva activitat', ha estat reincorporat.



Homakov GitHub hackDeixant de banda la manera com GitHub gestionava la situació (ràpidament i amb aplom), el principal problema és que GitHub era vulnerable a un hack Rails increïblement senzill i conegut que probablement ha existit. des dels inicis del lloc. Als experts de Ruby els agrada Michael Hartl i Eric Chapweske escriviu (i advertí) sobre la vulnerabilitat de l'assignació massiva des del 2008, quan es va llançar GitHub. En resum, és molt probable que Egor Homakov no fos la primera persona a explotar GitHub d’aquesta manera. Ens n’hauríem assabentat si s’hagués suprimit un gran projecte, però potser els pirates informàtics han estat modificant silenciosament les bases de codi per als seus propis fins nefastos.

Avançant, GitHub ha demanat disculpes per haver ofuscat la manera com els hackers de barrets blancs han de revelar les vulnerabilitats de seguretat i configurar una nova pàgina d'ajuda en què s'indiqui clarament com informar dels problemes. GitHub, juntament amb la gamma d'aplicacions web populars de 37signal (Basecamp i Campfire), és probablement el major desplegament de Ruby on Rails al web. Després de la llarga sèrie de pirates informàtics de l'any passat a empreses tecnològiques com Sony, RSA, LastPassi Google, probablement no ens hauria d’estranyar que GitHub fos vulnerable, però, tot i que, quan es tracta d’un servei en el qual depenen tants projectes importants, és sorprenent que no s’aconseguís una vulnerabilitat antiga en una auditoria de seguretat; si GitHub realitza auditories de seguretat, és a dir.



Per debatre sobre la vulnerabilitat utilitzada per Homakov, veure el seu bloc personal i El bloc de Chris Acky

Copyright © Tots Els Drets Reservats | 2007es.com