Σημαντική τρύπα ασφαλείας και επίθεση hacker στο Github

GitHub.png.jpg

Μια σημαντικότατη τρύπα ασφαλείας εντοπίσθηκε στο Github, η οποία έχει ήδη κάνει αρκετούς προγραμματιστές να… τρέχουν να σώσουν τον κώδικα τους. Η δημοφιλής πλατφόρμα συνεργασίας και διαχείρισης κώδικα βασίζεται στη δημοφιλή γλώσσα Rails, στην οποία ο νεαρός Ρώσος hacker Egor Homakov ισχυριζόταν πως είχε εντοπίσει ένα σημαντικό κενό ασφαλείας. Όσο και αν προσπαθούσε να πείσει τους δημιουργούς της Rails, αυτοί θεώρησαν πως το πρόβλημα δεν ήταν και τόσο σημαντικό. “Έκλεισαν” το άιτημα του για διόρθωση του προβλήματος και έδειξαν πως προτίμησαν να τον αγνοήσουν επιδεικτικά. Και τότε αποφάσισε να πάρει την κατάσταση στα χέρια του.

Για να αποδείξει πόσο σημαντική ήταν η “τρύπα” που είχε εντοπίσει, αποφάσισε να κάνει και ένα μεγάλο hack, ώστε να “κάνει μπαμ” η έκταση του προβλήματος. Και έτσι, διάλεξε ως στόχο το Github, που χρησιμοποιείται από χιλιάδες προγραμματιστές σε όλο τον πλανήτη, για την ανάπτυξη κώδικα για ουκ ολίγα projects. Μέσω αυτής της “τρύπας”, οποιοσδήποτε μπορεί να τροποποιήσει τον ίδιο τον “αρχικό κώδικα” ενός project, στον οποίο βασίζονται οι μετέπειτα “τροποποιήσεις” του. Πρακτικά, κάτι τέτοιο σημαίνει πως ένας κακόβουλος χρήστης μπορεί ακόμη και να διαγράψει ολόκληρα projects από το Github!

Το χειρότερο, όμως, μάλλον ήταν η “απάντηση” του Github – που έσπευσε να εξοστρακίσει τον Egor, κλειδώνοντας το λογαριασμό του. Η κοινότητα του Github πραγματικά εξοργίστηκε, αφού αρκετοί θεώρησαν πως ο Egor “εργαζόταν υπέρ τους”, εντοπίζοντας μια τρύπα που θα μπορούσε να απειλήσει τη μέχρι σήμερα δουλειά τους και παρέχοντας τις κατάλληλες πληροφορίες, δίχως πρακτικά να την εκμεταλλευτεί, για τη διόρθωση της. Πώς μπορούσε κάποιος να θεωρήσει τον Egor “τον κακό της υπόθεσης”, από τη στιγμή που δεν πείραξε ούτε γραμμή κώδικα από κανένα project; Ταυτόχρονα, φάνηκε πως το οι διαχειριστές του Github – που παραμένει η δημοφιλέστερη πλατφόρμα του είδους στο Internet – δεν έπαιρνε στα σοβαρά το θέμα “ασφάλεια”.

Και έτσι, το Github αναγκάστηκε να “επαναφέρει” το λογαριασμό του Egor Homakov, να ζητήσει συγνώμη από την κοινότητα και… Και, αφού πια παραδέχτηκε και το ίδιο το Github πως είναι σημαντική, η τρύπα μάλλον “θα μπαλωθεί” στο πολύ κοντινό μέλλον.

Source:

Github, the service that many professional programmers use to store their work and collaborate on coding, was hacked over the weekend. A young Russian named Egor Homakov showcased a loophole in Github that would allow anyone to commit to the master copy of a project, meaning they could alter or delete the source code.

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.