Sécurité

GitHub piraté, des millions de projets risquent d’être modifiés ou supprimés – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

GitHub, l’un des plus grands référentiels de logiciels commerciaux et open source sur le Web, a été piraté. Au cours du week-end, le développeur Egor Homakov a exploité une vulnérabilité béante dans GitHub qui lui a permis (ou à toute autre personne possédant un savoir-faire de base en matière de piratage) d’obtenir un accès administrateur à des projets tels que Ruby on Rails, Linux et des millions d’autres. Homakov aurait pu supprimer tout l’historique de projets tels que jQuery, Node.js, Reddit et Redis.

Depuis son lancement en 2008, GitHub a rapidement devancé des concurrents comme Codeplex et, selon la métrique que vous utilisez, il a même dépassé le titulaire de longue date Sourceforge. Essentiellement, GitHub est un wrapper basé sur le Web autour du système de contrôle de révision Git de Linus Torvalds (qu’il a initialement écrit pour aider au développement de Linux), mais c’est l’ajout de fonctionnalités de réseau social comme les flux, les amis et les tendances qui ont alimenté l’impressionnant GitHub. croissance. En fin de compte, GitHub permet aux développeurs de collaborer très facilement et rapidement – en plus, il est gratuit pour les projets open source – et par conséquent, quelque 1,4 million de développeurs ont été attirés par le service en seulement trois ans, créant plus de 2,3 millions de référentiels. Une liste des projets les plus bifurqués sur GitHub se lit presque comme un who’s who contemporain de projets open source réussis.

Malgré sa taille et son importance, GitHub n’a jamais été piraté – jusqu’à présent. GitHub utilise le framework d’application Ruby on Rails, et Rails a été faible face à ce que l’on appelle un vulnérabilité d’affectation de masse pendant des années. En gros, Homakov a exploité cette vulnérabilité pour ajouter sa clé publique au projet Rails sur GitHub, ce qui signifiait alors que GitHub l’identifiait comme administrateur du projet. À partir de là, il pouvait effectivement faire n’importe quoi, y compris supprimer l’intégralité du projet du Web ; à la place, il a posté un commit assez comique. GitHub a sommairement suspendu Homakov, réparé le trou et, après avoir « examiné son activité », il a été réintégré.

Psssssst :  Un développeur Cyberpunk frappé par une attaque de ransomware - High-teK.ca

Homakov pirater GitHubMis à part la façon dont GitHub a géré la situation (rapidement et avec aplomb), le principal problème est que GitHub était vulnérable à un hack Rails incroyablement simple et bien connu qui a probablement existé depuis la création du site. Les experts en rubis aiment Michel Hartl et Eric Chapweske ont écrit (et mis en garde) sur la vulnérabilité d’affectation de masse depuis 2008, lorsque GitHub a été lancé pour la première fois. En bref, il est fort probable qu’Egor Homakov n’ait pas été le premier à exploiter GitHub de cette manière. Nous en aurions entendu parler si un grand projet avait été supprimé à l’improviste – mais peut-être que les pirates ont discrètement modifié les bases de code à leurs propres fins néfastes.

Aller de l’avant, GitHub s’est excusé d’avoir obscurci la façon dont les hackers white hat doivent divulguer les vulnérabilités de sécurité et mettre en place une nouvelle page d’aide qui répertorie clairement comment signaler les problèmes. GitHub, aux côtés de la gamme d’applications Web populaires de 37signal (Basecamp et Campfire), est probablement le plus grand déploiement de Ruby on Rails sur le Web. Après la longue série de hacks très médiatisés de l’année dernière sur des entreprises technologiques comme Sony, RSA, Dernier passage, et Google, nous ne devrions probablement pas être surpris que GitHub soit vulnérable – mais quand même, quand c’est un service sur lequel reposent tant de projets importants, il est choquant qu’une vulnérabilité séculaire n’ait pas été détectée lors d’un audit de sécurité ; si GitHub effectue des audits de sécurité, c’est-à-dire.

Pour une discussion sur la vulnérabilité utilisée par Homakov, voir son blog personnel et Le blog de Chris Acky

Psssssst :  Les PC Lenovo sont livrés avec des logiciels publicitaires qui détruisent la sécurité du système et interrompent HTTPS - High-teK.ca

Bouton retour en haut de la page