The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Анализ подверженности репозиториев на GitHub атаке RepoJacking"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Анализ подверженности репозиториев на GitHub атаке RepoJacking"  +/
Сообщение от opennews (ok), 24-Июн-23, 11:25 
Исследователи из компании Aqua Security проанализировали применимость атаки RepoJacking к репозиториям на GitHub. Суть проблемы в том, что после удаления или переименования проектов на GitHub, в сторонних репозиториях могут остаться ссылки на уже несуществующие имена, например, в документации, скриптах и инструкциях по установке из README-файлов. Атакующий может зарегистрировать на GitHub имя пользователя, повторяющее ранее существовавшее имя, разместить в репозитории с повторяющимся именем вредоносное ПО и ожидать, что кто-то загрузит его, пользуясь неисправленными руководствами или старым кодом, загружающим зависимости по старым ссылкам...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59339

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


6. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  –6 +/
Сообщение от Анониссимусemail (?), 24-Июн-23, 13:17 
Держать исходники на блокчейне -- было бы самым надёжным решением. Держать в облачном сервисе -- самое ненадёжное.

Есть ещё компромиссный вариант: держать на своём сервере. Вот что мешало например гуглу хранить свою либу на своём сервере? Но нет же, всем гетхапчик подавай.

Ответить | Правка | Наверх | Cообщить модератору

8. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +2 +/
Сообщение от Всем Анонимам Аноним (?), 24-Июн-23, 13:54 
Блокчейн ничем не лучше просто проверки контрольной суммы. Но это только для конкретной версии.
Если нужна последняя версия, то тогда блокчейн не спасет в случае кражи ключей. Более того, будет куча исходников, которые навечно будут туда ссылаться. Поэтому этот вирус будут получать и через 50 лет.

Нет простых и идеальных решений.

Ответить | Правка | Наверх | Cообщить модератору

14. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Аноним (14), 24-Июн-23, 17:58 
> Блокчейн ничем не лучше просто проверки контрольной суммы.

Лучше.
Чтобы добавить блок, нужно заплатить. Т.е. чтобы создать repojacking надо заплатить хотя бы минимальную комиссию за каждый репозиторий (а скорее всего существенно больше, зависит от реализации), что резко сужает круг репозиториев, которые имеет смысл реподжектить.
Во-вторых в биткойне (а остальные блокчейны не нужны) ещё и по адресу можно определять владельца. Т.е. это не только контрольная сумма, но и подпись. Владеешь кошельком - значит владеешь репозиторием (что все же лучше по безопасности чем емейл/пароль на гитлабе). Есть даже аутентификации на lightining (LNURL-auth).

> Более того, будет куча исходников, которые навечно будут туда ссылаться. Поэтому этот вирус будут получать и через 50 лет.

Но и полезный софт тоже будет доступен через 50 лет. Кроме того пользователи легко смогут отфильтровать проекты по времени.

> Нет простых и идеальных решений.

Абсолютно верно! В наше время любят про это забывать.

Ответить | Правка | Наверх | Cообщить модератору

16. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +3 +/
Сообщение от КО (?), 24-Июн-23, 18:39 
Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности пук будет примерно такой же.
Ответить | Правка | Наверх | Cообщить модератору

28. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Аноним (28), 26-Июн-23, 04:59 
> Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности
> пук будет примерно такой же.

Можно. Но вся централизация упирается в бесконечное количество всяких *джекингов, фишингов, атак на владельца, злоупотреблений и пр. Ну а с децентрализацией предлагайте, попробую рассказать почему этот способ хуже (ну или позорно посыплю голову пеплом если предложите что-то стоящее).

Ответить | Правка | Наверх | Cообщить модератору

26. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Бывалый смузихлёб (?), 25-Июн-23, 10:17 
чтобы взымать плату блокчейн не обязателен
ну а второй аргумент - по сути, можно просто сделать доступ по ИД репы без возможности его менять
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

27. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Аноним (28), 26-Июн-23, 04:52 
> чтобы взымать плату блокчейн не обязателен
> ну а второй аргумент - по сути, можно просто сделать доступ по
> ИД репы без возможности его менять

Можно, но если это централизация, то привет проблемы гитхаба (собственно имя это ид, а то что его можно менять это бага, то что ид станет цифровым, не избавит от багов, не говоря уже о других проблемах, на мой взгляд более весомых).
Если это децентрализация, то нужны методы борьбы с фейками. В биткойне уже это есть (собственно он изначально и вырос из антиспамера для почты).

Ответить | Правка | Наверх | Cообщить модератору

19. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  –1 +/
Сообщение от Анониссимусemail (?), 24-Июн-23, 20:40 
> Блокчейн ничем не лучше просто проверки контрольной суммы. Но это только для
> конкретной версии.
> Если нужна последняя версия, то тогда блокчейн не спасет в случае кражи
> ключей. Более того, будет куча исходников, которые навечно будут туда ссылаться.
> Поэтому этот вирус будут получать и через 50 лет.
> Нет простых и идеальных решений.

У блокчейна есть одна важная особенность: защита от подделки истории. Если туда что-то записано, изменить это нельзя (если это сильный блокчейн). Поэтому, теоретически, разные библиотеки и пр. можно было бы аудировать и конкретные версии записывать в блокчейн (или хеш просто). Тогда эта конкретная версия ПО была бы защищена и от потенциальных взломщиков, и даже от самого автора софта.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

9. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Аноним (-), 24-Июн-23, 13:55 
Деньги.
Вы не против организовать нам всем халявный аналог гитхаба, раз уж так хорошо разбираетесь в надежности и что кому мешает?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

15. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +2 +/
Сообщение от Аноним (14), 24-Июн-23, 18:00 
Так есть же, но вы же сами им не пользуетесь. Поколение рабов хочет жить по-царски, но боится ломать цепи.
Ответить | Правка | Наверх | Cообщить модератору

21. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  –1 +/
Сообщение от Аноним (21), 24-Июн-23, 22:30 
Если ты сейчас не про хостинг кода pashev.ru, то больше не разговаривай со мной никогда.
Ответить | Правка | Наверх | Cообщить модератору

22. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Аноним (22), 24-Июн-23, 23:37 
>рабы хотят вкалывать бесплатно, делая свои никому кроме них не нужные хобби-проекты, но при этом чтобы их хобби оплачивал кто-то другой

пофиксил.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

20. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +5 +/
Сообщение от Amonim (?), 24-Июн-23, 21:26 
В git целостность истории обеспечивается на основе дерева хешей. Чем это не блокчейн? В основе те же принцыпы и технологии.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

23. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  –2 +/
Сообщение от Анониссимусemail (?), 25-Июн-23, 01:08 
Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить. А в блокчейне это невозможно, если только не завладеешь контролем над всей сетью.
Ответить | Правка | Наверх | Cообщить модератору

30. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Аноним (30), 03-Июл-23, 22:29 
> Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить.

Чё правда?

Ответить | Правка | Наверх | Cообщить модератору

31. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Анониссимусemail (?), 04-Июл-23, 01:35 
>> Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить.
> Чё правда?

Я в устройстве гита глубоко не разбираюсь. Но есть вполне понятные соображения. Репозиторий чаще всего хранится на одном главном хосте (хоть система и является распределённой). С этого же главного хоста потом и скачиваются исходники. И если тот, кто управляет главным репозиторием (или тот, кто захватил контроль) внедрит какой-нибудь вредонос в исходники; то те, кто делает `git clone` (пользователи, мейнтейнеры, скрипты -- не важно) ничего не заметят. Потому что почти никто не будет сверять хеши. Да и с чем сверять? Где хранится хеш от "правильной", не подменённой версии ПО? Такую проблему может решить только хранилище, в котором историю действительно невозможно переписать задним числом. И насколько я знаю, единственной такой технологией является блокчейн.

Ответить | Правка | Наверх | Cообщить модератору

7. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Аноним (-), 24-Июн-23, 13:53 
Хотелось бы детализации на основе ЯП, а то я подозреваю, что уязвимость сильно завязана на лефтпады.
Ответить | Правка | Наверх | Cообщить модератору

24. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +/
Сообщение от Аноним (24), 25-Июн-23, 07:19 
Может на всеми любимый тут go
Ответить | Правка | Наверх | Cообщить модератору

29. "Анализ подверженности репозиториев на GitHub атаке RepoJacki..."  +2 +/
Сообщение от Аноним (29), 27-Июн-23, 10:15 
Потому что гит это горбуха идеологически. Вот и страдайте. А нормальные люди пользовались и будут пользоваться централизованными, платными сервисами.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру