اختراق GitHub ، ملايين المشاريع معرضة لخطر التعديل أو الحذف

أوكتوكات ، جيثب

تم اختراق GitHub ، وهو أحد أكبر مستودعات البرامج التجارية ومفتوحة المصدر على الويب. خلال عطلة نهاية الأسبوع ، استغل المطور Egor Homakov ثغرة أمنية كبيرة في GitHub سمحت له (أو لأي شخص آخر لديه معرفة أساسية بالقرصنة) بالحصول على وصول المسؤول إلى مشاريع مثل Ruby on Rails و Linux وملايين آخرين. كان بإمكان Homakov حذف السجل الكامل لمشاريع مثل jQuery و Node.js و Reddit و Redis.

منذ إطلاقه في عام 2008 ، تفوقت GitHub بسرعة على المنافسين مثل Codeplex ، واعتمادًا على المقياس الذي تستخدمه ، فقد تجاوزت Sourceforge الحالي لفترة طويلة. في الأساس ، GitHub عبارة عن غلاف قائم على الويب حول نظام التحكم في مراجعة Git الخاص بـ Linus Torvalds (والذي كتبه في البداية للمساعدة في تطوير Linux) ، ولكن إضافة ميزات الشبكات الاجتماعية مثل الخلاصات والأصدقاء والاتجاهات هي التي غذت GitHub المثير للإعجاب نمو. في النهاية ، يجعل GitHub من السهل والسريع جدًا على المطورين التعاون - بالإضافة إلى أنه مجاني لمشاريع مفتوحة المصدر - ونتيجة لذلك ، تم جذب حوالي 1.4 مليون مطور للخدمة في غضون ثلاث سنوات فقط ، مما أدى إلى إنشاء أكثر من 2.3 مليون مستودع. قائمة ب أكثر المشاريع تشعبًا على GitHub يقرأ تقريبًا مثل أي شخص معاصر من المشاريع مفتوحة المصدر الناجحة.



على الرغم من حجمه وأهميته ، لم يتم اختراق GitHub - حتى الآن. يستخدم GitHub إطار عمل تطبيق Ruby on Rails ، وكان ريلز ضعيفًا بالنسبة لما يُعرف بـ ضعف التخصيص الجماعي لسنوات. في الأساس ، استغل Homakov هذه الثغرة الأمنية لإضافة مفتاحه العام إلى مشروع Rails على GitHub ، مما يعني أن GitHub حددته كمسؤول عن المشروع. من هنا ، يمكنه فعل أي شيء بشكل فعال ، بما في ذلك حذف المشروع بأكمله من الويب ؛ بدلا من ذلك ، نشر التزام كوميدي إلى حد ما. قام GitHub بتعليق Homakov بإجراءات موجزة ، وإصلاح الثقب ، وبعد 'مراجعة نشاطه' ، تمت إعادته.



اختراق Homakov GitHubوبغض النظر عن الطريقة التي تعامل بها GitHub مع الموقف (بسرعة وبكل ثقة) ، فإن المشكلة الرئيسية هي أن GitHub كان عرضة لاختراق Rails بسيط للغاية ومعروف والذي ربما كان موجودًا منذ إنشاء الموقع. خبراء روبي مثل مايكل هارتل و إريك تشابوسكي يكتبون (ويحذرون) حول ضعف التخصيص الجماعي منذ عام 2008 ، عندما تم إطلاق GitHub لأول مرة. باختصار ، من المحتمل جدًا أن إيجور Homakov لم يكن أول شخص يستغل GitHub بهذه الطريقة. كنا قد سمعنا عن ذلك إذا تم حذف مشروع كبير فجأة - ولكن ربما كان المتسللون يعدّلون بهدوء قواعد التعليمات البرمجية لنهاياتهم الشائنة.

المضي قدما ، جيثب اعتذر عن التشويش كيف يجب على قراصنة القبعة البيضاء الكشف عن الثغرات الأمنية وإنشاء صفحة مساعدة جديدة تسرد بوضوح كيفية الإبلاغ عن المشكلات. من المحتمل أن يكون GitHub ، جنبًا إلى جنب مع مجموعة 37signal من تطبيقات الويب الشائعة (Basecamp و Campfire) ، أكبر عملية نشر لـ Ruby on Rails على الويب. بعد سلسلة طويلة من الاختراقات البارزة العام الماضي على شركات التكنولوجيا مثل سوني، RSA، LastPass، و Google ، ربما لا ينبغي أن نتفاجأ من أن GitHub كانت معرضة للخطر - ولكن مع ذلك ، عندما تكون خدمة يعتمد عليها الكثير من المشاريع المهمة ، فمن المثير للصدمة أنه لم يتم اكتشاف ثغرة قديمة في تدقيق الأمان ؛ إذا أجرى GitHub عمليات تدقيق الأمان ، فهذا يعني.



لمناقشة الثغرة الأمنية التي يستخدمها Homakov ، انظر مدونته الشخصية و مدونة كريس آكي

Copyright © كل الحقوق محفوظة | 2007es.com