GitHub pirateado, millones de proyectos en riesgo de ser modificados o eliminados

Octocat, GitHub

GitHub, uno de los repositorios más grandes de software comercial y de código abierto en la web, ha sido pirateado. Durante el fin de semana, el desarrollador Egor Homakov aprovechó una enorme vulnerabilidad en GitHub que le permitió a él (o cualquier otra persona con conocimientos básicos de piratería informática) obtener acceso de administrador a proyectos como Ruby on Rails, Linux y millones de otros. Homakov podría haber eliminado todo el historial de proyectos como jQuery, Node.js, Reddit y Redis.

Desde su lanzamiento en 2008, GitHub ha superado rápidamente a competidores como Codeplex y, dependiendo de la métrica que utilice, incluso ha superado al antiguo Sourceforge. En esencia, GitHub es un contenedor basado en la web sobre el sistema de control de revisiones Git de Linus Torvalds (que inicialmente escribió para ayudar al desarrollo de Linux), pero es la adición de características de redes sociales como feeds, amigos y tendencias lo que ha impulsado el impresionante GitHub crecimiento. En última instancia, GitHub hace que sea muy fácil y rápido para los desarrolladores colaborar, además de que es gratis para proyectos de código abierto, y como resultado, alrededor de 1.4 millones de desarrolladores se han sentido atraídos por el servicio en solo tres años, creando más de 2.3 millones de repositorios. Una lista de proyectos más bifurcados en GitHub casi se lee como un quién es quién contemporáneo de proyectos exitosos de código abierto.

Sin embargo, a pesar de su tamaño e importancia, GitHub nunca ha sido pirateado, hasta ahora. GitHub usa el marco de la aplicación Ruby on Rails, y Rails ha sido débil para lo que se conoce como vulnerabilidad de asignación masiva durante años. Básicamente, Homakov aprovechó esta vulnerabilidad para agregar su clave pública al proyecto Rails en GitHub, lo que luego significó que GitHub lo identificó como administrador del proyecto. Desde aquí, podría hacer cualquier cosa de manera efectiva, incluso eliminar todo el proyecto de la web; en cambio, publicó un compromiso bastante cómico. GitHub suspendió sumariamente a Homakov, arregló el agujero y, después de 'revisar su actividad', ha sido reintegrado.



Hack de Homakov GitHubDejando de lado la forma en que GitHub manejó la situación (rápidamente y con aplomo), el problema principal es que GitHub era vulnerable a un truco de Rails increíblemente simple y conocido que probablemente haya existido. desde el inicio del sitio. A los expertos en Ruby les gusta Michael Hartl y Eric Chapweske han estado escribiendo (y advirtiendo) sobre la vulnerabilidad de asignación masiva desde 2008, cuando se lanzó por primera vez GitHub. En resumen, es muy probable que Egor Homakov no fuera la primera persona en explotar GitHub de esta manera. Habríamos oído hablar de ello si un gran proyecto se hubiera eliminado de la nada, pero tal vez los piratas informáticos hayan estado modificando silenciosamente las bases de código para sus propios fines nefastos.

Avanzando, GitHub se ha disculpado por ofuscar la forma en que los piratas informáticos de sombrero blanco deberían revelar las vulnerabilidades de seguridad y configurar una nueva página de ayuda que enumere claramente cómo informar problemas. GitHub, junto con la variedad de aplicaciones web populares de 37signal (Basecamp y Campfire), es probablemente la mayor implementación de Ruby on Rails en la web. Después de la larga serie de ataques de alto perfil del año pasado a empresas de tecnología como Sony, RSA, Ultimo pasey Google, probablemente no debería sorprendernos que GitHub fuera vulnerable, pero aun así, cuando es un servicio del que dependen tantos proyectos importantes, es sorprendente que una vulnerabilidad antigua no se haya detectado en una auditoría de seguridad; si GitHub realiza auditorías de seguridad, eso es.

Para una discusión sobre la vulnerabilidad utilizada por Homakov, ver su blog personal y Blog de Chris Acky

Copyright © Todos Los Derechos Reservados | 2007es.com