GitHub hacket, millioner av prosjekter risikerer å bli endret eller slettet

Octocat, GitHub

GitHub, en av de største arkivene for kommersiell programvare og åpen kildekode på nettet, er blitt hacket. I løpet av helgen utnyttet utvikler Egor Homakov en gapende sårbarhet i GitHub som tillot ham (eller noen andre med grunnleggende hacker-kunnskap) å få administrator tilgang til prosjekter som Ruby on Rails, Linux og millioner av andre. Homakov kunne ha slettet hele historikken til prosjekter som jQuery, Node.js, Reddit og Redis.

Siden lanseringen i 2008 har GitHub raskt overgått konkurrenter som Codeplex, og avhengig av hvilken beregning du bruker, har den til og med vokst ut av den lenge sittende Sourceforge. I hovedsak er GitHub et nettbasert omslag rundt Linus Torvalds 'Git revisjonskontrollsystem (som han opprinnelig skrev for å hjelpe Linux-utvikling), men det er tillegg av sosiale nettverksfunksjoner som feeds, venner og trender som har drevet GitHubs imponerende vekst. Til slutt gjør GitHub det veldig enkelt og raskt for utviklere å samarbeide - pluss det er gratis for open source-prosjekter - og som et resultat har noen 1,4 millioner utviklere blitt tiltrukket av tjenesten på bare tre år, og skapt mer enn 2,3 millioner repositorier. En liste over mest foredlede prosjekter på GitHub leser nesten som en samtid som er hvem av vellykkede open source-prosjekter.



Til tross for størrelsen og viktigheten har GitHub aldri blitt hacket - til nå. GitHub bruker applikasjonsrammeverket Ruby on Rails, og Rails har vært svak i forhold til det som er kjent som en masseoppdragssårbarhet i årevis. I utgangspunktet utnyttet Homakov denne sårbarheten for å legge til den offentlige nøkkelen til Rails-prosjektet på GitHub, som da betydde at GitHub identifiserte ham som administrator av prosjektet. Herfra kunne han effektivt gjøre alt, inkludert å slette hele prosjektet fra nettet; i stedet la han ut en ganske komisk forpliktelse . GitHub suspenderte oppsummert Homakov, fikset hullet, og etter å ha «gjennomgått sin aktivitet», er han blitt gjeninnført.



Homakov GitHub hackÅ legge til side måten GitHub håndterte situasjonen på (raskt og med forvirring), er hovedspørsmålet at GitHub var sårbar for et utrolig enkelt og velkjent Rails-hack som sannsynligvis har eksistert siden nettstedets oppstart . Rubineksperter liker Michael Hartl og Eric Chapweske har skrevet (og advart) om sårbarheten for masseoppdrag siden 2008, da GitHub ble lansert. Kort sagt, det er høyst sannsynlig at Egor Homakov ikke var den første personen som utnyttet GitHub på denne måten. Vi ville ha hørt om det hvis et stort prosjekt hadde blitt slettet helt ut av det blå - men kanskje har hackere stille og modifisert kodebaser for sine egne, skumle formål.

Gå videre, GitHub har bedt om unnskyldning for å ha forvirret seg hvordan white hat-hackere skal avsløre sikkerhetsproblemer og sette opp en ny hjelpeside som tydelig viser hvordan du rapporterer problemer. GitHub, sammen med 37signals utvalg av populære nettapper (Basecamp og Campfire), er sannsynligvis den største distribusjonen av Ruby on Rails på nettet. Etter fjorårets lange serie med høyprofilerte hack på teknologiselskaper som Sony , RSA , Lastpass og Google, vi burde sannsynligvis ikke bli overrasket over at GitHub var sårbar - men likevel, når det er en tjeneste som så mange viktige prosjekter stoler på, er det sjokkerende at en eldgammel sårbarhet ikke ble tatt opp i en sikkerhetsrevisjon; hvis GitHub utfører sikkerhetsrevisjoner, altså.



For diskusjon om sårbarheten som brukes av Homakov, se hans personlige blogg og Chris Ackys blogg

Copyright © Alle Rettigheter Reservert | 2007es.com