GitHub je hakirao milijune projekata kojima prijeti izmjena ili brisanje

Octocat, GitHub

Hakiran je GitHub, jedno od najvećih spremišta komercijalnog i softvera otvorenog koda na webu. Tijekom vikenda programer Egor Homakov iskoristio je ranjivu ranjivost u GitHubu koja mu je omogućila (ili bilo kome drugom s osnovnim hakerskim znanjem) da dobije administratorski pristup projektima kao što su Ruby on Rails, Linux i milijuni drugih. Homakov je mogao izbrisati cijelu povijest projekata kao što su jQuery, Node.js, Reddit i Redis.

Od pokretanja 2008. godine, GitHub je brzo nadmašio konkurente poput Codeplexa i, ovisno o metrici koju koristite, čak je prerastao dugogodišnjeg postojećeg Sourceforgea. U osnovi, GitHub je mrežni omotač oko Git-ovog sustava kontrole revizije Linusa Torvaldsa (koji je u početku napisao da bi pomogao razvoju Linuxa), ali dodatak je značajkama društvenih mreža poput feedova, prijatelja i trendova koji su potaknuli GitHub-ove impresivne rast. U konačnici, GitHub programerima omogućuje vrlo jednostavnu i brzu suradnju - uz to besplatan je za projekte otvorenog koda - i kao rezultat toga, uslugu je privuklo oko 1,4 milijuna programera u samo tri godine, stvarajući više od 2,3 milijuna spremišta. Popis najrazgranatiji projekti na GitHubu gotovo čita poput suvremenika tko je tko uspješnih projekata otvorenog koda.

Unatoč svojoj veličini i važnosti, GitHub nikada nije bio hakiran - do sada. GitHub koristi okvir aplikacije Ruby on Rails, a Rails je bio slab na ono što je poznato kao ranjivost masovnog dodjeljivanja godinama. U osnovi, Homakov je iskoristio ovu ranjivost kako bi dodao svoj javni ključ projektu Rails na GitHubu, što je tada značilo da ga je GitHub identificirao kao administratora projekta. Odavde je mogao učinkovito učiniti bilo što, uključujući brisanje cijelog projekta s weba; umjesto toga, objavio je prilično komična obveza. GitHub je nakratko suspendirao Homakova, popravio rupu i, nakon 'pregleda njegove aktivnosti', vraćen je na posao.



Homakov GitHub hakAko ostavimo po strani način na koji je GitHub riješio situaciju (brzo i s aplombom), glavno je pitanje što je GitHub bio ranjiv na nevjerojatno jednostavan i dobro poznat Railsov hak koji je vjerojatno postojao od nastanka web mjesta. Stručnjaci za Ruby vole Michael Hartl i Eric Chapweske pišu (i upozoravaju) o ranjivosti masovnog dodjeljivanja od 2008. godine, kada je GitHub prvi put pokrenut. Ukratko, velika je vjerojatnost da Egor Homakov nije prva osoba koja je iskoristila GitHub na ovaj način. Čuli bismo za to da je jedan veliki projekt nenadano izbrisan - ali možda su hakeri tiho mijenjali baze koda za svoje, podle ciljeve.

Krećemo naprijed, GitHub se ispričao zbog zamagljivanja kako bi hakeri bijelog šešira trebali otkriti sigurnosne ranjivosti i postaviti novu stranicu pomoći koja jasno navodi kako prijaviti probleme. GitHub je, uz niz popularnih web aplikacija 37signal (Basecamp i Campfire), vjerojatno najveća implementacija Ruby on Rails na webu. Nakon dugogodišnje serije visokoprofilnih hakova na tehnološke tvrtke poput Sony, RSA, LastPass, i Google, vjerojatno se ne bismo trebali iznenaditi da je GitHub bio ranjiv - ali ipak, kad je riječ o usluzi na koju se oslanjaju toliko važni projekti, šokantno je da prastara ranjivost nije pronađena u sigurnosnoj reviziji; ako GitHub provodi sigurnosne revizije, tj.

Za raspravu o ranjivosti koju koristi Homakov, pogledajte njegov osobni blog i Blog Chrisa Ackyja

Copyright © Sva Prava Pridržana | 2007es.com