Сообщается (https://www.theregister.co.uk/2019/05/03/git_ransomware_bitcoin/) о волне атак, направленных на шифрование Git-репозиториев в сервисах GitHub, GitLab и Bitbucket. Атакующие очищают репозиторий и оставляют сообщение с просьбой отправить 0.1 BTC (примерно $700) для восстановления данных из резервной копии (на деле лишь портятся заголовки коммитов и информация может быть восстановлена (https://security.stackexchange.com/questions/209448/gitlab-a...)). На GitHub подобным образом уже пострадал (https://github.com/search?o=desc&q=1ES14c7qLb5CYhLMUekctxLgc...) 371 репозиторий.
Некоторые жертвы атаки признаются, что использовали ненадёжные пароли или забыли удалить токены доступа из старых приложений. Некоторые считают (пока это лишь домыслы и гипотеза ещё не подтверждена), что причиной утечки учётных данных стала компрометация приложения SourceTree (https://www.sourcetreeapp.com/), предоставляющего GUI для работы с Git из macOS и Windows. В марте в SourceTree было выявлено несколько критических уязвимостей (https://confluence.atlassian.com/sourcetreekb/sourcetree-sec...), позволяющих удалённо организовать выполнение кода при обращении к подконтрольным злоумышленнику репозиториям.
Для восстановления репозитория после атаки достаточно выполнить "git checkout origin/master", после чего
узнать через "git reflog" хэш SHA своего последнего коммита и сбросить изменения атакующих командой "git reset {SHA}". При наличии локальной копии проблема решается выполнением "git push origin HEAD:master --force".
URL: https://www.theregister.co.uk/2019/05/03/git_ransomware_bitcoin/
Новость: https://www.opennet.dev/opennews/art.shtml?num=50671
Ленивые, забывчивые и просто дураки должны страдать. Всё правильно.
То есть по твоему мнению страдать должны все, поскольку жизнь не ленящихся, ничего не забывающих и постоянно учащихся иначе как страданием и не назовёшь.
Поздравляю, Вы познали суть (оригинального) буддизма.Полиморфизм, инкапсуляция, наследование: http://dharma.org.ru/board/post52068.html#52068
реконструкция системы Е. П. Островской и В. И. Рудого. Части 1, 2, 4, 5, дальше сами.
Как говаривал один интересный персонаж, специалист по истории (попробую увековечить - Эсмантович Игорь Феофилович) - "обучение - это всегда насилие над человеком".И он чертовски прав.
нет
Два чая цьому пану.
а самообучение - это всегда профит! (:^_^)
Да ты получаешь ровно то на сколько ты не ленился, не забывал и научился. Закон сохранения в действии.
На какой вопрос это ты сейчас ответил? Или какое утверждение прокомментировал? К чему это ты?
> То есть по твоему мнению страдать должны все, поскольку жизнь не ленящихся, ничего не забывающих и постоянно учащихся иначе как страданием и не назовёшь.Жизнь - боль.
Неудачник.
Я бы сказал, это такая жизнь скорее счастье, но его (счастья) не существует. А как бы хотелось никогда не лениться, ничего не забывать и постоянно учиться!!!
Ага, а жизнь ленивых идиотов сплошная радость.
> постоянно учащихся иначе как страданием и не назовёшьможет быть с позиции никчёмного быдла так и есть
Текущие методы давно себя изжили. Вот о чем эта ситуация. Сайтов и приложений все больше, а методы не меняются. Давно пора убрать ввод пароля вообще. Хотите залогиниться под своим аккаунтом, да или нет. И еще выбрать разрешения к какой информации есть доступ. Даже API какие то уже напилены на это, надо просто форсить, и желательно под флагом свободы, а не гугловские варианты.
Ага, даешь аутентификацию через госуслуги на всё!
кто первый встанет, того и тапки. госуслуги не такой плохой вариант.
Это уничтожит псевдонимность общения и свободу выбора идентификатора, которые всегда были неотъемлемой характеристикой общения в интернете и сделали его таким какой он есть. Впрочем, стараниями социалочек и "приватных" мессенджеров с регистрацией по номеру телефона всё это и так стремительно уничтожается.
> Это уничтожит псевдонимность общения и свободу выбора идентификатора, которые всегда были неотъемлемой характеристикой общения в интернете и сделали его таким какой он есть.Многие вещи, которые мы знали одними, стали другими. Подошла очередь интернета - только и всего.
> Впрочем, стараниями социалочек и "приватных" мессенджеров с регистрацией по номеру телефона всё это и так стремительно уничтожается.
Ну вот видишь, ты лично прекрасно понимаешь этот момент, возможно поймёшь и то, что я имею в виду.
>которые всегда были неотъемлемой характеристикойВыброси компьютер, откажись от книг, телевизора, радио, телефона, электричества, механического транспорта. Паши землю лошадьми и ходи пешком в церковь.
К чему ты это- непонятно
> К чему ты это- непонятноМир вокруг нас развивается (и _МЕНЯЕТСЯ_). Если кто то хочет вернутся в прошлое, то ему стоит отказаться ОТ ВСЕХ изменений (произошедших с того момента), так как невозможно отменить только что то одно, не затронув все остальное.
>> псевдонимность общения и свободу выбора идентификатора, которые всегда были неотъемлемой характеристикой общения в интернете
Вот это "всегда" - на самом деле был короткий период времени с середины 90х до 2005, плюс-минус пара лет. Когда доступ в интернет уже стал массовой услугой и еще осуществлялся УСЛОВНО анонимно, по карточкам доступа к модемному пулу (идентификация пользователя несколько трудоемка, но возможна при действительно сильном желании). После 2007 когда соцсети (жж, мэйл.ру, рамблер и яндекс с гуглом массово зохватили интернет) упростили идентификацию не анонимов добровольно сливших инфу о себе, они создали в том числе и статистический профиль поведения "легитимного" пользователя в интернете. Тем самым все анонимы, с ИНЫМ профилем поведения, стали видны как на ладони. Как в бассейне заполненном тысячей синих шариков сразу видно десяток красных и желтых.
Неуловимые Джо думают что "взломали СИСТЕМУ", победили Гаусса-Лапласа.
Предложение отказа от электричества,автомобилей,самолетов,компьютеров, интернета - это камешек в огород расхаживающих в лампасах с иконой Николая II радетелей возврата в православную доревролюционную царскую Россию. Мне даже не интересно, почему они в массе своей думают что в том времени они непременно окажутся знатными дворянами или хотя бы богатыми помещиками, а не крестянской беднотой.
> Мир вокруг нас развивается (и _МЕНЯЕТСЯ_). Если кто то хочет вернутся в
> прошлое, то ему стоит отказаться ОТ ВСЕХ изменений (произошедших с того
> момента), так как невозможно отменить только что то одно, не затронув
> все остальное.Принудительная идентификация пользователей в интернете не имеет никакого отношения к научно-техническому прогрессу, но имеет к хотелкам регуляторов контролировать жизнедеятельность людей. Наручники и кандалы - это не потому что у нас развитая металлургия.
Как там называется бияс, выраженный в идее "все что меняется, меняется к лучшему"? В таком дискурсе и взрывающиеся за неправильные мысли ошейники, видимо, станут благом.
> Вот это "всегда" - на самом деле был короткий период времени с
> середины 90х до 2005, плюс-минус пара лет.Я не про сильную анонимность речь вёл, а про отсутствие единого идентификационного центра, как и процедуры обязательной идентификации. Пришел на форум, назвался любым удобным никнеймом, никто паспорта не спрашивает. Как и в любом неформальном коллективе в физическом мире.
> Когда доступ в интернет
> уже стал массовой услугой и еще осуществлялся УСЛОВНО анонимно, по карточкам
> доступа к модемному пулу (идентификация пользователя несколько трудоемка, но возможна
> при действительно сильном желании).При действительно сильном желании и сейчас можно приобрести симку без официального оформления (хоть в другой стране, где паспорт не просят), юсб модем и пополнять баланс наличными в терминале. И использовать средства анонимизации.
> После 2007 когда соцсети (жж, мэйл.ру, рамблер
> и яндекс с гуглом массово зохватили интернет) упростили идентификацию не анонимов
> добровольно сливших инфу о себе, они создали в том числе и
> статистический профиль поведения "легитимного" пользователя в интернете. Тем самым все
> анонимы, с ИНЫМ профилем поведения, стали видны как на ладони. Как
> в бассейне заполненном тысячей синих шариков сразу видно десяток красных и
> желтых.Между "выявить нетипичную активность" и "идентифицировать личность" - пропасть. И даже китайцы не могут заткнуть своим DPI все способы обхода таких автоматических проверок.
> Предложение отказа от электричества,автомобилей,самолетов,компьютеров, интернета
> - этоистерика в отсутствие аргументации.
> Принудительная идентификация пользователей в интернете не имеет никакого отношения к научно-техническому
> прогрессу, но имеет к хотелкам регуляторов контролировать жизнедеятельность людей. Наручники
> и кандалы - это не потому что у нас развитая металлургия.Отличные примеры. Их объединяет то. что ты ставишь телегу впереди лошади.
Вначале появляется возможность делать что то, затем этой возможностью пользуются.
Вначале появилась возможность идентификации, затем её делают принудительной.> Как там называется бияс, выраженный в идее "все что меняется, меняется к
> лучшему"?Я разве сказал "к лучшему"?
> В таком дискурсе и взрывающиеся за неправильные мысли ошейники, видимо,
> станут благом.Такие ошейники являются Безусловным Благом для того, в чьих руках кнопка.
Странно что такие простые вещи нужно объяснять.>> Вот это "всегда" - на самом деле был короткий период времени с
>> середины 90х до 2005, плюс-минус пара лет.
> Я не про сильную анонимность речь вёл, а про отсутствие единого идентификационного
> центра, как и процедуры обязательной идентификации. Пришел на форум, назвался любым
> удобным никнеймом, никто паспорта не спрашивает. Как и в любом неформальном
> коллективе в физическом мире.Ну, во первых никто не запрещает (и не планирует запрещать) пользоваться никнеймами. Хотят только знать кто прячется за ником, и сделать эту инфу доступной не только фсб, как сейчас, но и полиции.
А во вторых, требование идентификации на некоторых частных популярных "интернет ресурсах" появились задолго до появления такой идеи у законотворцев.
>> добровольно сливших инфу о себе, они создали в том числе и
>> статистический профиль поведения "легитимного" пользователя в интернете. Тем самым все
>> анонимы, с ИНЫМ профилем поведения, стали видны как на ладони. Как
>> в бассейне заполненном тысячей синих шариков сразу видно десяток красных и
>> желтых.
> Между "выявить нетипичную активность" и "идентифицировать личность" - пропасть.О нет. Маленький шажок. Ибо отфильтровав "типичную активность" миллионов мусорных пользователей личность нужно устанавливать по оставшемуся, весьма небольшому объему данных генерируемому сотней объектов - неуловимых джо, большинство из которых уже идентифицированы.
> И даже китайцы не могут заткнуть своим DPI все способы обхода таких автоматических проверок.Снаружи можно весело гадать какие цели поставлены перед пограничным DPI, а что построено как оно работает на IX _внутри_ Китая остается только фантазировать. Мне про это достоверно ничего не известно. Думаю и тебе тоже.
телевизоры, электричество и механический транспорт не являются продуктами цивилизации вшитого под кожу id (на самом деле сама кожа - id, и вшивать ничего не надо).Я вообще не могу придумать никаких уникальных продуктов, произведенных именно цивилизацией тотального контроля - кроме, разумеется, полицейского назначения.
Без гуглозондов, пейсбучека и мэйлрушечки лично я вполне в состоянии прожить, не пересаживаясь на телегу. Любителям домов со стеклянными стенами немного затруднительно со мной общаться? Ну так они должны же ж страдать?!
> Я вообще не могу придумать никаких уникальных продуктов, произведенных именно цивилизацией
> тотального контроля - кроме, разумеется, полицейского назначения.Потому что "цивилизация тотального контроля", пока еще, утопия. Мир Мечты. Плод больной фантазии. Мираж. Фантом который некоторые "альтернативно одаренные" своими руками старательно воплощают наяву (или провоцируют своим "безобидным" поведением на воплощение).
> Потому что "цивилизация тотального контроля", пока еще, утопия.с чего ты взял?
Она еще не достигла апогея - только и исключительно благодаря _массовому_ сопротивлению (массовое - это не когда "86%", а когда хотя бы 4%, а не четыре человека) - от сноса браузеров с совсем обнаглевшей телеметрией, до европейских законов, заставляющих информировать о слежке и удалять ненужные логи.
А там где такого сопротивления не было или оно невозможно - добро пожаловать в гибрид 1984 и brave new world - китайские полицаи видят над каждым, попавшим в поле зрения камеры, его имя и уровень благонадежности. Уж не знаю как сейчас - только в Синцзяне, откуда началось, или уже по всей стране внедрено.
Если что - в Москве аналогичная технология на этапе внедрения - гугли "безопасный город" (да, немногое нагуглишь - ну так они и не стараются афишировать - именно потому что окно овертона еще не окончательно сдвинулось). Пока без глобального индекса лояльности, но это тоже временно.
Технологически уже все реально, вплоть до зонда в задницу. И если покорно нагибаться и раздвигать - это прекрасное время наступит уже завтра. А если нет - то послезавтра и, возможно, еще не для всех.
>> Потому что "цивилизация тотального контроля", пока еще, утопия.
> с чего ты взял?С того, что для цивилизации ПОКА ЕЩЕ недостаточно ресурсов для тотального контроля.
> Она еще не достигла апогея - только и исключительно благодаря _массовому_ сопротивлению
> (массовое - это не когда "86%", а когда хотя бы 4%,
> а не четыре человека)Для массовости сопротивления оно _должно_ координироваться. Без координации любое количество сопротивляющихся равно полутора анонам.
Я пока наблюдаю что персонажи позиционирующие себя как лидеры сопротивления и оппозиции выступают только за введение "европейских законов, заставляющих информировать о слежке и удалять ненужные логи." споря с властями только по "принципиальным моментам", типа цвета рубашек имеющих доступ к логам (как бы удаленным).> Уж не знаю как сейчас - только в Синцзяне, откуда началось, или уже по всей стране внедрено.
> Если что - в Москве аналогичная технология на этапе внедрения - гугли
> "безопасный город" (да, немногое нагуглишь - ну так они и не
> стараются афишироватьПогугли "безопасный город"+Екатеринбург. Заодно сравнишь даты внедрения с Синцзянем (и названия поставщиков). Вся инфа открыта по 44ФЗ и 112ФЗ.
> С того, что для цивилизации ПОКА ЕЩЕ недостаточно ресурсовда ну нах? Недостаточно пока именно сдвига окна - а ресурсы найдутся - например по прекрасному закону о противодействии терроризму - ты на свои же деньги и поставишь себе камеру в сортир.
> Для массовости сопротивления оно _должно_ координироваться.
массовое никогда не бывает скоординированным, меньше верь телевизору. "координируются" только дворцовые перевороты.
Они же обычно и успешны, не смотря на все анальные зонды - проживающим в этой стране рекомендую внимательно изучать историю современной Эфиопии (включая и что там было после - чтоб не удивляться потом "меня -то за что?")Что кто-то при этом может пытаться проехаться на народной волне - бывает, но это когда как раз их становится 86 и проезд не ведет на нары или в овраг.
> за введение "европейских законов, заставляющих информировать о слежке и удалять ненужные логи."
это тоже сдвиг окна - в противоположную сторону. Как и безнадежные суды с пейсбуком, категорически отказывающимся их выполнять. Пока это происходит - "прогресс" почти стоит на месте. Стоит только сдаться последним - зонд в анусе появится на следующий же день.
> Погугли "безопасный город"+Екатеринбург. Заодно сравнишь даты внедрения с Синцзянем
так самого главного же ж нет - индекса лояльности.
Вот как только яндекс с vkакашечкой научатся его подсчитывать - все будет как в Синцзяне.
_ресурсов_ уже с лихвой хватает - нет государевой воли. Ну, это ненадолго.
>Они же обычно и успешны, не смотря на все анальные зонды - проживающим в этой странеЧто делать проживающим в других странах? А, я понял. им не нужно, у них там ситуация лучше.
>рекомендую внимательно изучать историю
Ну ты вот, изучал, а выводов не сделал и споришь.
>> Погугли "безопасный город"+Екатеринбург. Заодно сравнишь даты внедрения с Синцзянем
>так самого главного же ж нет - индекса лояльности.
>Вот как только яндекс с vkакашечкой научатся его подсчитывать - все будет как в Синцзяне.
>_ресурсов_ уже с лихвой хватает - нет государевой воли. Ну, это ненадолго.Ты все же погугли, погугли.
смотря в какой стране - в Эфиопии, например - расслабиться, все за них уже сделали.> Ну ты вот, изучал, а выводов не сделал
почему же, я как раз выводы сделал и рассчитываю успеть сбежать до появления джипов с пулеметами на ближайших улицах.
(там, если что, тоже начинали за все хорошее против всей херни, но вот продолжение было так себе. А король, кстати, жил еще долго и умер счастливо.)
>> Ну ты вот, изучал, а выводов не сделал
> почему же, я как раз выводы сделал и рассчитываю успеть сбежать до
> появления джипов с пулеметами на ближайших улицах.Просто интересно, что должен натворить школьник, чтобы за ним приезжала облава на джипах с пулеметами?
Жениться тебе нужно. Регулярный секс, секс с женщиной, да семейные заботы помогут чтобы подростковые фантазии с максимализмом прошли и сформировался здоровый взгляд на реальный мир.
ну вот, а я думал - со взрослым разговариваю.Милый школьник, натворить для этого ничего не надо - надо оказаться в стране, где произошел переворот (хотел сказать - в неподходящем месте в неподходящее время, но после переворота в Эфиопии в том и прикол что все места в пределах ее границ в любое время быстро стали неподходящими для нахождения - и довольно долго такими оставались).
И да, это - реальный мир. Переворот в Эфиопии произошел в 1974м году. А ведь многие там тоже думали, что если только трахаться и размножаться, то все неприятности их минуют.
> ну вот, а я думал - со взрослым разговариваю.Цивилизации тотального контроля нет нужды посылать за тобой джипы с пулеметами, а тебе некуда бежать.
И да, там куда ты хочешь сбежать эта цивилизация появится раньше.
так эфиопы вот тоже думали что у них тотальный контроль. И королю все-все о заговорщиках доложили вовремя, то есть они в общем не так уж и заблуждались.
Не путай личный аккаунт с аккаунтом физлица.
Давно уже есть хранилище некритичных аккаунтов - OAuth.
Правда, не все сайты им пользуются и может иметься побочка в виде привязанного аккаунта соцсети...
Проблема в том что страдать будут все остальные не забывчивые, не ленивые и не дураки от того что мелкомягкие в реакционном порядке встроят какую-нибудь "защиту" репозиториев от шифровальщиков для того чтобы защитить ленивых и забывчивых дегенератов которые юзают дырявое GUI-поделие.
проблема? Да перестаньте юзать гитхаб, делов то. Будет понятно, что пользователи не терпят "реакционных" нововведений - ни мс ни кто-то другой не пойдут на это. Терпилы мля
Они примут это как прогресс. Быть терпилой- это психическое.
Они никому ничего не должны
Только зануды делают резервные копии: настоящие мужчины просто закачивают все важное на ftp, позволяя остальным отзеркалировать это.Линус Торвальдс
У кого-то нет локальных копий своих git-репозитариев? 🤔
у меня на github уже несколько тб музыки книг, видосиков и прочих реп лежит, зачем все это зеркалить, если github lfs это и есть архивное облако? что за глупые вопросы
Ты хранишь музыку в git repository? Ho почему?
"Потому что я могу."
> "Потому что я могу."А в противогазе, да стоя в гамаке -- слабо?
в противогазе нах надо, гипоксия не нужна. А гамаки и другие приспособы очень даже ничего
> в противогазе нах надо, гипоксия не нужна.У вас какие-то неправильные противогазы ;)
Обычно там проблема наоборот -- из-за сопротивления на вдохе возникает ощущение нехватки кислорода, что приводит (особенно при физ-нагрузках и стрессовых ситуациях, рефлекторно) к излишне частому и глубокому дыханию. Вплоть до головокружения, онемения губ или даже до полуобморочного состояния "нестояния".
слабо верится, что хоть кто-то заплатит
Только консоль только хардкор.
Обезьяны, сэр! А уж веб-макаки ли они или другой вид.. какая нафиг разница?
И кто вообще платит 700 баксов когда можно отменить коммит злоумышленника??
Тот кто плохо знает гит.
GUI ... macOS и Windows
> после чего узнать через "git reflog" хэш SHA своего последнего коммитаесли нет локальной копии git -- то интересно, откуда возьмётся reflog.
(а если есть локальная копия git -- то тогда разумеется пофигу что там неделал сервер)
git cloneПравда, как я понимаю происходящее, это работает ровно до тех пор, пока не будет запущен git-gc.
> git cloneахаха :-) :-)
в этом случае в reflog ровно одна строчка:
...(HEAD -> master, origin/master, origin/HEAD) HEAD@{0}: clone: from git@github.com:...
Эмм... Ну тогда, как написано здесь[1], надо каким-нибудь образом выяснить хеш нужного коммита и сделать:git fetch origin <hash>
> надо каким-нибудь образом выяснить хеш нужного коммитакаким образом?
>> надо каким-нибудь образом выяснить хеш нужного коммита
> каким образом?По сторонним каналам.
На Гитхабе можно через API.Хэш можно увидеть в ответе на repository events:
https://developer.github.com/v3/activity/events/#list-reposi...Даже если все перезаписано форс-пушем, но GC еще не вызывался (github этого обычно сам не делает), можно создать ветку, которая будет указывать на найденный в event-ах коммит:
https://developer.github.com/v3/git/refs/#create-a-reference
А все делают git pull -f?
мне кажется ни кто не делает..вроде бы когда придумали
--force-with-lease то надобность в -f просто исчезла
ой... ты про pull :-)ну ладно, прошу прощения
удобно же на пк залить и сохранить пак с музыкой, сделать бранч с крутым плейлистом, а на телефоне/радиве просто скачать нужный бранч.
> удобно же на пк залить и сохранить пак с музыкой, сделать бранч
> с крутым плейлистом, а на телефоне/радиве просто скачать нужный бранч.Микрософта на тебя нет, [I]пейрат!
> достаточно выполнить "git checkout origin/master", после чего узнать через "git reflog" хэш SHA своего последнего коммита и сбросить изменения атакующих командой "git reset {SHA}". При наличии локальной копии проблема решается выполнением "git push origin HEAD:master --force".О, всё в одном посте разом. Зачем тут инструкции из серии how-to? Лучше просто линк на книжку дать, полезней будет.
Зачем усложнять освоение новости (заставляя читать целую книгу), если можно наоборот упростить?
у гогногита есть какие-то _книжки_, а не сборник разрозненных страничек ни о чем?(у svn/hg/перфорсы - книжки есть, да. У второго, правда, безнадежно устаревшая.)
Прикинь, да. https://www.amazon.com/s/?field-keywords=git
Тёзка явно имел в виду эту: https://www.amazon.com/Pro-Git-Scott-Chacon/dp/1484200772/
> Прикинь, да. https://www.amazon.com/s/?field-keywords=git
> Тёзка явно имел в виду эту: https://www.amazon.com/Pro-Git-Scott-Chacon/dp/1484200772/https://git-scm.com/book/ Убей бобра -- спаси дерево
(Спонсор поста - столярная мастерская "Опилкин")
Publisher: Apress; 1st ed. edition (August 27, 2009)
панятен... видимо, опоздавшим родиться повезло.
Я давно отказался от использования компьютера и мобильного телефона. Аналоговое хранение и общение - тру.
А письма шлёшь голубями, не иначе?