GitHub hakkasi, miljoonat projektit ovat vaarassa muuttua tai poistaa

Octocat, GitHub

GitHub, yksi suurimmista kaupallisten ja avoimen lähdekoodin ohjelmistojen arkistoista verkossa, on hakkeroitu. Viikonloppuna kehittäjä Egor Homakov hyödynsi GitHubissa olevaa haavoittuvuutta, joka antoi hänelle (tai kenellekään muulle hakkereiden perustietotaidolla) mahdollisuuden saada järjestelmänvalvojan käyttöoikeudet projektiin, kuten Ruby on Rails, Linux ja miljoonat muut. Homakov olisi voinut poistaa koko projektin, kuten jQuery, Node.js, Reddit ja Redis, historian.



Lanseeraamisensa jälkeen vuonna 2008 GitHub on nopeasti ohittanut Codeplexin kaltaiset kilpailijat, ja käytetystä mittarista riippuen se on jopa kasvanut pitkäaikainen vakiintunut Sourceforge. Pohjimmiltaan GitHub on verkkopohjainen kääre Linus Torvaldsin Git-versionhallintajärjestelmän ympärille (jonka hän kirjoitti alun perin auttamaan Linux-kehitystä), mutta sosiaalisten verkostojen ominaisuuksien, kuten syötteiden, ystävien ja trendien lisääminen ovat ruokkineet GitHubin vaikuttavaa kasvu. Viime kädessä GitHub tekee kehittäjien yhteistyöstä erittäin helppoa ja nopeaa - ja se on ilmainen avoimen lähdekoodin projekteille - ja seurauksena noin 1,4 miljoonaa kehittäjää on houkutellut palvelua vain kolmen vuoden aikana, mikä on luonut yli 2,3 miljoonaa arkistoa. Luettelo eniten haarautuneet projektit GitHubissa melkein lukee kuin nykyajan kuka onnistuneista avoimen lähdekoodin projekteista.

GitHubia ei sen koosta ja tärkeydestä huolimatta ole koskaan hakkeroitu - tähän asti. GitHub käyttää Ruby on Rails -sovelluskehystä, ja Rails on ollut heikko ns joukkotehtävien haavoittuvuus vuosia. Pohjimmiltaan Homakov hyödynsi tätä haavoittuvuutta lisätäksesi julkisen avaimensa Rit-projektiin GitHubissa, mikä tarkoitti sitten, että GitHub tunnisti hänet projektin järjestelmänvalvojana. Sieltä hän voisi tehdä mitä tahansa, mukaan lukien poistaa koko projektin verkosta; sen sijaan hän lähetti melko koominen sitoutuminen . GitHub keskeytti Homakovin, korjasi reiän ja 'tarkasteltuaan toimintaansa' hänet palautettiin.



Homakov GitHub hakataKumoamalla tapa, jolla GitHub käsitteli tilannetta (nopeasti ja aplombilla), pääasia on, että GitHub oli alttiina uskomattoman yksinkertaiselle ja tunnetulle Rails-hakkeroinnille, joka on todennäköisesti ollut olemassa sivuston perustamisesta lähtien . Ruby-asiantuntijat pitävät Michael Hartl ja Eric Chapweske ovat kirjoittaneet (ja varoittaneet) joukkotehtävien haavoittuvuudesta vuodesta 2008, jolloin GitHub käynnistettiin ensimmäisen kerran. Lyhyesti sanottuna on erittäin todennäköistä, että Egor Homakov ei ollut ensimmäinen henkilö, joka hyödynsi GitHubia tällä tavalla. Olisimme kuulleet siitä, jos suuri projekti olisi poistettu tyhjästä - mutta ehkä hakkerit ovat muuttaneet hiljaa omia, säälimättömiä päämääriä.



Eteenpäin, GitHub on pyytänyt anteeksi hämmentämistä miten valkoisten hattujen hakkereiden tulisi paljastaa tietoturva-aukkoja ja perustaa uusi ohjesivu, jossa luetellaan selvästi, miten ongelmista ilmoitetaan. GitHub on 37signalin suosittujen verkkosovellusten (Basecamp ja Campfire) rinnalla luultavasti suurin Ruby on Rails -sovelluksen käyttöönotto verkossa. Viime vuoden pitkän korkean profiilin hakkerointisarjan jälkeen teknologiayritykset, kuten Sony , RSA , LastPass , ja Google, meidän ei luultavasti pitäisi olla yllättyneitä siitä, että GitHub oli haavoittuva - mutta silti, kun kyseessä on palvelu, johon niin monet tärkeät projektit luottavat, on järkyttävää, että ikivanha haavoittuvuus ei löytynyt turvatarkastuksessa; jos GitHub suorittaa tietoturvatarkastuksia, se on.

Homakovin käyttämästä haavoittuvuudesta keskustellaan katso hänen henkilökohtainen blogi ja Chris Ackyn blogi

Copyright © Kaikki Oikeudet Pidätetään | 2007es.com