The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom

30.01.2023 22:06

GitHub раскрыл сведения о компрометации репозиториев, в которых велась разработка приложений GitHub Desktop и Atom. Среди прочего, атакующим удалось получить доступ к сертификатам, используемым в GitHub Actions при заверении публикуемых релизов GitHub Desktop для macOS и Atom цифровой подписью. Так как ключи были дополнительно зашифрованы с использованием паролей, их использование для вредоносных действий оценивается как маловероятное, тем не менее GitHub принял решение отозвать проблемные сертификаты, что приведёт к неработоспособности некоторых версий GitHub Desktop и Atom, начиная со 2 февраля.

По заверению GitHub атака ограничилась только указанными репозиториями и инфраструктура проекта не пострадала. Доступ был получен с использованием персонального токена (PAT, Personal Access Token), привязанного к учётной записи одного из разработчиков.

  1. Главная ссылка к новости (https://github.blog/2023-01-30...)
  2. OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
  3. OpenNews: Анализ утечек конфиденциальных данных через репозитории на GitHub
  4. OpenNews: Взломана инфраструктура проекта Gentoo на GitHub
  5. OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise
  6. OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58576-github
Ключевые слова: github
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (72) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:09, 30/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А разве АТОМ они не дропнули?
     
     
  • 2.6, Анонус (?), 22:38, 30/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Последний коммит в репу был в конце ноября. Но заархивировали только сегодня. Может собирались "отдать сообществу"? Потому и токен утек?
     
  • 2.16, Аноним (16), 01:04, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Значит мало дропнули. Спохватились, решили и старые версии вывести из использования.
     

  • 1.2, Аноним (2), 22:12, 30/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > удалось получить доступ к сертификатам

    И как именно?

     
     
  • 2.4, shithub (?), 22:27, 30/01/2023 Скрыто ботом-модератором     [к модератору]
  • –4 +/
     
     
  • 3.8, Аноним (8), 22:45, 30/01/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 4.11, Клиент (?), 23:24, 30/01/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 3.17, Аноним (17), 01:07, 31/01/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 4.20, Аноним (20), 02:34, 31/01/2023 Скрыто ботом-модератором     [к модератору]
  • +8 +/
     
  • 2.67, Admino (ok), 18:57, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут вам не яндекс, тут настоящий энтерпрайз. Сертификаты лежат прямо в репозитории.
     
     
  • 3.68, пох. (?), 21:46, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Наоборот жеж! У х-яндекса замшелый ентерпрайз без continuous desintegration, а у гитхаба модный современный смузи-стандарт.

    (при этом какие-то тестовые ключи и сертификаты у х-яндекса там были, потом что ответ на вопрос "как сделать CT без ключей" - даже они не могут найти, а CT таки был.)

    Впрочем, ущерб репутации от того что там таки нашлось был бы совершенно запредельным, ни в какое сравнение с гитшлаком, если бы кузьмичи только умели понять, что там утекло, или хотя бы доступ в запрещенные сети имели.

    То есть что "алиса" подслушивала, к примеру - уже подтвержденный факт. Ну а то ЧЕГО она понаслушалась - это такая пирдуха, что просто слов нет.

    45 гигов, конечно, на такое все равно жалко.

     
  • 2.85, Аноним (85), 15:59, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    YAMA https://www.opennet.dev/opennews/art.shtml?num=27488 не все дистры защищают память как требует DAC. Поэтому можно скопировать ключи, уже расшифрованые: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/plain/Docum

    Спасает от воровства ключаей:
    https://www.nitrokey.com/news/2018/nitrokey-partners-linux-foundation-equip-al
    https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-foundation-equip-d
    https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linux-developers-usb-k

     

  • 1.5, ИмяХ (?), 22:31, 30/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    >>GitHub принял решение отозвать проблемные сертификаты, что приведёт к неработоспособности некоторых версий GitHub Desktop и Atom

    Вот оно - истинное лицо опенсурса.

     
     
  • 2.7, Аноним (8), 22:44, 30/01/2023 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Что такое волшебного в проприетарном софте что в них такого не происходит?
     
     
  • 3.9, oshu (?), 22:52, 30/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    <Что такое волшебного в проприетарном софте...>
    - соглашение о неразглашении
     
     
  • 4.44, Аноним (8), 11:44, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это просто ор дня. Песши исчо.
     
  • 4.56, Аноним (56), 13:20, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Помогло оно **Яндексу?
     
  • 3.45, Аноним (45), 12:16, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Финансовая ответственность.
     
  • 2.10, Аноним (10), 22:52, 30/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С каких пор github имеет отношение к опенсурсу?
     
     
  • 3.12, Аноним (12), 23:29, 30/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если не учитывать то что большинство опенсорс проектов хостится на нем, то: никакого
     
     
  • 4.13, Аноним (13), 00:07, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И тут Сурсфордж с Гитлабом передают пламенный привет.
     
     
  • 5.21, Аноним (21), 02:41, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Передавать, конечно, передают, да только гитхаб всё равно популярнее. Ну что поделать, если разработчикам нужно удобно, а не идеологически верно?
     
     
  • 6.23, Аноним (2), 03:04, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > гитхаб всё равно популярнее

    Как определяешь популярность? По кол-ву мух?

     
     
  • 7.25, iPony129412 (?), 04:42, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Популярность — это количество.
     
  • 7.26, Аноним (21), 04:49, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну ты уж определись, опенсорсные проекты или мухи.
     
     
  • 8.37, Аноним (2), 10:08, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    на гитхабе 90 шлака ... текст свёрнут, показать
     
     
  • 9.69, Аноним (69), 21:53, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как определяешь шлаковость По комментариям на опеннете ... текст свёрнут, показать
     
  • 6.27, Бывалый смузихлёб (?), 05:08, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Удобным он был до приобретения микрософтом
     
     
  • 7.63, Аноним (21), 17:27, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, это так. И после приобретения этот тренд продолжился. Но опеннетчики традиционно недовольны всем.
     
  • 5.31, Аноним (31), 08:34, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    GitLab да, сурсфорж и всякие битбакеты - в помойку
     
  • 2.14, анон анона (?), 00:11, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эта хрень началась как мелкомягкий проприентарь купил гитхаб... Но за это ты будешь ратовать...
     
  • 2.29, Аноним (29), 06:35, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вот оно - истинное лицо

    хозяина сервиса.

     
  • 2.46, Фургал (?), 12:16, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > GitHub
    > M$
    > опенсурса

    это скорее истинное лицо корпоратов, которые поналепили сами себе наклеечки "I love opensource"

    но это лицо мы уже давно знаем. оно нам как родное лол. поэтому сказки, что проклятые хаккеры взломали наш продукт и поэтому "не могли бы вы обновиться на новую версию с телеметрией" уже проходили и не раз. знаем-знаем: всё ради вашей безопасности!!111


     

  • 1.15, Аноним (15), 00:57, 31/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Взял шелл-аккаунт с CGI, поставил на него fossil и выставил наружу - и то безопаснее гитхаба.
     
     
  • 2.18, Аноним (17), 01:08, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    CGI...  Одна из худших технологий в мире. Откуда вы дети необучаемые беретесь? Почему вас никто не учит истории?
     
     
  • 3.19, Аноним (19), 01:16, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > необучаемые
    > Почему вас никто не учит
     
  • 3.22, Аноним (2), 03:01, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > CGI...  Одна из худших технологий в мире

    CGI - Common Gateway Interface... Интерфейс... Карл, тебе не кажется, что ты отморозился?

     
     
  • 4.32, Аноним (31), 08:35, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Шерето, Карл, шерето!
     
  • 4.48, Фургал (?), 12:18, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    та это необучаемый ребёнок - не пытайся его понять. он - вечный поток творчества.. иногда непонятного, нелогичного или откровенно идиотского. но он такой и мы его принимаем. аминь
     
  • 3.28, Ann (??), 06:08, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>Одна из худших технологий в мире.

    почему? и что тогда предлагаете вместо как одну из лучших?

     
     
  • 4.35, Аноним (35), 09:39, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    FastCGI, наверное. С одной стороны разделение обработчика и сервера в разные процессы очень гибко, и позволяет писать их на разных языках, и если надо - изолировать в разные песочницы. С другой - поддержка shared library есть везде, и если модуль делать в виде shared library, то будет более тесная интеграция с сервером и отсутствие оверхеда на IPC.
     
     
  • 5.36, Аноним (2), 10:05, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    CGI - это интерфейс, а не имплементация. Не путай. В интерфейсе ничего нету про то, как ты будешь что запускать, в каком кол-ве и когда.
     
     
  • 6.39, Аноним (35), 10:39, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Реализации реализуют CGI через запуск процессов, потому что иначе CGI не имеет смысла.
     
     
  • 7.78, Аноним (2), 07:05, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Реализации реализуют CGI через запуск процессов

    К бабке не ходи, понятно, что надо что-то как-то где-то запустить. Это как "полёт" на Луну вообще ничего не говорит, что за ТС будет использоваться.

     
  • 3.47, Аноним (45), 12:17, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты сам то небось только вчера ноду запускать научился, а уже про цги рассуждаешь.
     
  • 3.50, Аноним (12), 12:29, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Молоток изобретенный несколько тысяч лет назад стал самым худшим инструментом в мире потому что недавно изобрели электромеханический гвоздезабиватель.
     
     
  • 4.86, Аноним (21), 18:08, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В том-то всё и дело, что не был, и именно поэтому выжил. В отличие от палки-копалки. Вот и CGI оказался той самой палкой-копалкой — простой и ужасно неэффективный. Назови хоть один большой (от миллиона пользователей в сутки) проект в публичном интернете, который использует CGI.
     
     
  • 5.89, пох. (?), 10:43, 02/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя-то все прожекты по миллиону пользователей в сутки, а иногда и по два.
    Жаль, что только в фантазиях.

    cgi вполне эффективен для своих целей (и эх... а ведь двадцать лет назад л@п4-е задирали гузочки что вооот, у нас-то, не как у этих вот там, вызов clone() практически бесплатен [так и есть])

    Простой, надежный, не требующий отдельных сервисов нуждающихся в отдельном обслуживании и мониторинге, легко позволяет изоляцию и минимизацию ущерба стандартными юниксными средствами без адовых костылей.

    Единственный минус - требует веб-сервера (неожиданно). Но это минус как раз не для "миллионов" - у тех сервер на бэкэнде и так есть.

     
  • 3.52, Аноним (12), 12:39, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/



    #!/bin/bash
    echo -e 'Content-Type: text/plain\n\nHello, world!'



    Common Gateway Interface это простейший интерфейс для запуска динамических программ на веб-сервере который не зависит от языка программирования и вообще супер-простой.
    CGI программа может быть написана хоть на bash, хоть на java, хоть на asm, хоть на brainfaсk.
    CGI программа пишется буквально в 2 строчки.

    Удивительно откуда берутся не обучаемые которые не учат истории и запускают cgi. Не надо быть таким не обучаемым.

     
     
  • 4.53, Аноним (12), 12:51, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    то что на каждый запрос нужно запустить новый процесс это конечно не очень эффективно, но...
    Ведь apache на каждый запрос тоже нужно запустить новый процесс и php, а на php целые биллинги пишут.
     
     
  • 5.57, Аноним (56), 13:25, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В принципе необязательно.
    1. Можно распарсить shebang и передать скрипт интерпретатору-модулю в том же процессе.
    2. бинарник можно исполнить на виртуальной машине в том же процессе.

    https://cs5.pikabu.ru/post_img/big/2015/12/20/12/1450642117145750439.jpg

     
  • 5.79, Аноним (2), 07:09, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > нужно запустить новый процесс

    Не нужно. В интерфейсе не может быть указана конкретная имплементация.

     
  • 4.60, pashev.ru (?), 14:12, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Fast CGI на Фортране http://git.pashev.ru/pasture/fortran-fcgi/
     
     
  • 5.61, Аноним (12), 14:45, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно тоже самое, но на bash?
     
  • 5.70, Аноним (21), 23:16, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Когда ж ты уймёшься со своим локалхостом? В каждой новости — ссылка на паше-вру с каким-то нерелевантным hello world.
     
  • 2.40, пох. (?), 11:10, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не взял акаунт, не поставил ничего - ничего никуда не выставлял - идеальная безопастность.

    В принципе, для тебя-то это и впрямь лучший вариант, кодить-то ты все равно не умеешь, пользы от шитхаба лично тебе будет ноль.

     
  • 2.71, Аноним (21), 23:19, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Молодец. Осталось убедить >90 миллионов разработчиков сделать точно так же, и мы возродим помойные хостинги на cPanel, вернём 2007, тот самый тёплый ламповый интернет, и окончательно убьём кооперативную разработку софта.
     
     
  • 3.80, Аноним (2), 07:12, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    если эти разрабы не имеют даже собственного сайта, а нужны ли они кому?!
     
     
  • 4.81, Аноним (81), 09:00, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Перед тем как зайти на сайт этих разработчиков, я должен узнать о его существовании.
     
  • 4.82, пох. (?), 09:27, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, ЭТИ разрабы в отличие от шитхаба, который _засек_ использование краденого токена и _мгновенно_ принял меры, потому что там все еще остались работать админы на зарплатах - лет пять не будут замечать что у них на собственном помойкосайте рассадник троянцев и попутно зомбоботы для атак на других. А заметив - не будут знать что делать. (Привет palemoon и php и это еще не худшие варианты.)

    Во-вторых вон тут уже коммент от гени(т)ального разработчика, "а как я узнаю об их существовании". Ну то есть про репо на шитхабе он как-то узнает (видимо, поиском по шитхабу) а гуглем пользоваться не обучаем вообще.

    А других разработчиков, которые ВСЕ были админами с соответствующим уровнем умений и знаний, потому что никто им шитхабы не строил и сопельки не утирал (что попутно, весьма вероятно, спасало нас от совсем уж альтернативно-одаренных) у меня для вас не осталось. Они уже лет десять пиццей вразнос торгуют. Потому что они-то были - умные.


     
  • 4.87, Аноним (21), 18:14, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот у меня собственного сайта нет, и делать не планирую. Не знаю, зачем он мне был бы нужен, если подумать. Нужен ли я кому? Да хрен его знает, наверное нет. Но при этом клиентов год от года не убавляется, приходится отказывать, и всё равно готовы ждать месяцами.
     

  • 1.33, Ёбаное чмо (?), 09:14, 31/01/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.34, EuPhobos (ok), 09:22, 31/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Так как ключи были дополнительно зашифрованы с использованием паролей, их использование для вредоносных действий оценивается как маловероятное

    Учитывая какой пароль обычно используют полагаясь на сохранность сертификата, нууу...

    > тем не менее GitHub принял решение отозвать проблемные сертификаты

    Ну скорее всего так и есть, пароли не надёжные там, и они это знают)

     
     
  • 2.72, Аноним (21), 23:21, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Учитывая какой пароль обычно используют полагаясь на сохранность сертификата, нууу...

    Какой?

    > Ну скорее всего так и есть, пароли не надёжные там, и они это знают)

    Экспертиза опеннета во весь рост. Действительно, ротация сертификатов нужна только при плохих паролях, и всем известно, что у каждого опеннетчика пароль из 100 символов, хранимый в голове.

     
     
  • 3.88, EuPhobos (ok), 10:09, 02/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Учитывая какой пароль обычно используют полагаясь на сохранность сертификата, нууу...
    > Какой?
    >> Ну скорее всего так и есть, пароли не надёжные там, и они это знают)
    > Экспертиза опеннета во весь рост. Действительно, ротация сертификатов нужна только при
    > плохих паролях, и всем известно, что у каждого опеннетчика пароль из
    > 100 символов, хранимый в голове.

    Открой для себя keepassxc

     

  • 1.41, Аноним (41), 11:36, 31/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну, начинается - опять журнализды пытаются привлечь внимание к своим высерам жёлтыми заголовками.

    Не было атаки на github, никто их не взламывал. С технической стороны всё было легитимно, с точки зрения "цифровой" безопасности - тоже. Был несанкционированный доступ с использованием токена одного из разработчиков.

    Не надо выдавать вину разработчика, который недоглядел за токеном за вину всего гитхаба.

    Жаль, что таких профанов из-за таких вонючих заголовков статей невозможно уволить из профессии раз и навсегда. И даль, что их невозможно призвать хотябы к финансовой ответственности за введение в заблуждение читателя.

     
     
  • 2.43, Аноним (8), 11:44, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пиши свои правильные статьи и места таким плохим журналистам как сабж просто не останется.
     
  • 2.49, Фургал (?), 12:20, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не надо выдавать вину разработчика, который недоглядел за токеном за вину всего гитхаба.

    каковы работнички - такова и конторка. чего тут удивляться это ж M$ у них славные традиции по работе с кадрами

     
     
  • 3.73, Аноним (21), 23:23, 31/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так покажи уже свои наработки и кадровые традиции. Сверкни мастерством. Удиви всех. Пусть «M$» умрёт от зависти.
     

  • 1.51, mos87 (ok), 12:37, 31/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >захвачены ключи для подписи приложений GitHub Desktop и Atom

    отлична, например.

     
  • 1.58, Аноним (58), 13:32, 31/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно поподробнее?
    >>неработоспособности некоторых версий GitHub Desktop и Atom

    Какие версии и на каких ОС сломаются.
    В качестве решения предлагается скачать новую версию с "взломанного" гитхаба?

     
     
  • 2.77, Аноним (77), 06:59, 01/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагается откатить системные часы на 2022 год :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру