GitHub häkkis, miljonitel projektidel on oht, et neid muudetakse või kustutatakse

Kaheksajalg, GitHub

GitHubi, mis on üks suurimaid veebi- ja avatud lähtekoodiga tarkvara hoidlaid, on häkitud. Nädalavahetusel kasutas arendaja Egor Homakov GitHubis haavatavat haavatavust, mis võimaldas tal (või kõigil teistel, kellel oli põhiline häkkerite oskusteave) saada administraatori juurdepääs sellistele projektidele nagu Ruby on Rails, Linux ja miljonid teised. Homakov oleks võinud kustutada kogu selliste projektide ajaloo nagu jQuery, Node.js, Reddit ja Redis.



Alates turule toomisest 2008. aastal on GitHub kiiresti edestanud selliseid konkurente nagu Codeplex ja sõltuvalt sellest, millist mõõdikut te kasutate, on see kasvanud isegi kauaaegsest ametis olevast Sourceforge'ist. Sisuliselt on GitHub veebipõhine ümbris Linus Torvaldsi Giti redigeerimise juhtimissüsteemi ümber (mille ta algselt kirjutas Linuxi arendamise abistamiseks), kuid GitHubi muljetavaldavaks on kütnud just sotsiaalsete võrgustike funktsioonide, näiteks kanalite, sõprade ja trendide lisamine. kasvu. Lõppkokkuvõttes muudab GitHub arendajate koostöö väga lihtsaks ja kiireks - lisaks on see avatud lähtekoodiga projektide jaoks tasuta - ning selle tulemusena on teenus kõigest kolme aasta jooksul meelitanud umbes 1,4 miljonit arendajat, luues enam kui 2,3 miljonit hoidlat. Nimekiri kõige hargnenud projektid GitHubis loeb peaaegu nagu kaasaegne, kes on edukate avatud lähtekoodiga projektide esindaja.

Vaatamata oma suurusele ja olulisusele pole GitHubi kunagi siiani häkitud. GitHub kasutab rakenduse Ruby on Rails raamistikku ja Rails on olnud nõrk võrreldes nn massülesannete haavatavus aastaid. Põhimõtteliselt kasutas Homakov seda haavatavust, et lisada oma avalik võti Raudteeprojektile GitHubis, mis tähendas siis seda, et GitHub määras ta projekti administraatoriks. Siit alates saaks ta tõhusalt teha kõike, sealhulgas kogu projekti veebist kustutada; selle asemel postitas ta üsna koomiline pühendumus . GitHub peatas Homakovi kokkuvõtvalt, parandas augu ja pärast 'oma tegevuse ülevaatamist' taastati ta.

Homakovi GitHubi häkkimineKui jätta kõrvale see, kuidas GitHub olukorda käsitles (kiiresti ja aplombiga), on põhiküsimus see, et GitHub oli haavatav uskumatult lihtsa ja tuntud Rails-i häkkimise vastu, mis on tõenäoliselt olemas olnud alates saidi loomisest . Rubiiniekspertidele meeldib Michael Hartl ja Eric Chapweske on massiülesannete haavatavuse kohta kirjutanud (ja hoiatanud) alates 2008. aastast, kui GitHub esimest korda käivitati. Lühidalt öeldes on väga tõenäoline, et Egor Homakov ei olnud esimene inimene, kes GitHubi sellisel viisil kasutas. Oleksime sellest kuulnud, kui suur projekt oleks tühjalt kohalt kustutatud - kuid võib-olla on häkkerid vaikselt oma enda alatute eesmärkide jaoks koodibaase muutnud.



Edasi liikumine, GitHub on palunud end varjata kuidas valge mütsiga häkkerid peaksid avaldama turvaauke ja looma uue abilehe, kus on selgelt loetletud, kuidas probleemidest teatada. GitHub on 37signali populaarse veebirakenduse (Basecamp ja Campfire) kõrval ilmselt suurim Ruby on Rails veebis kasutuselevõtt. Pärast eelmise aasta pikka seeriat kõrgetasemeliste häkkimistega tehnoloogiaettevõtetele nagu Sony , RSA , LastPass ja Google, me ei peaks ilmselt üllatuma, et GitHub oli haavatav - kuid siiski, kui tegemist on teenusega, millele toetuvad nii paljud olulised projektid, on šokeeriv, et turvanauditi käigus ei leitud vanaaegset haavatavust; kui GitHub teeb turbeauditeid, see on.

Homakovi kasutatud haavatavuse arutamiseks vaata tema isiklikku ajaveebi ja Chris Acky ajaveeb

Copyright © Kõik Õigused Kaitstud | 2007es.com