The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Взлом сборочного сервера и компрометация репозиториев сообщества Libretro, развивающего RetroArch

17.08.2020 08:45

Сообщество Libretro, занимающееся разработкой эмулятора игровых консолей RetroArch и дистрибутива для создания игровых консолей Lakka, предупредило о взломе элементов инфраструктуры проекта и вандализме в репозиториях. Злоумышленники смогли получить доступ к сборочному серверу (buildbot) и репозиториям на GitHub.

На GitHub злоумышленники получили доступ ко всем репозиториям организации Libretro, воспользовавшись учётной записью одного из доверенных участников проекта. Активность злоумышленников ограничилась вандализмом - они попытались очистить содержимое репозиториев через помещение пустого начального коммита. В ходе атаки были очищены все репозитории, представленные на трёх из девяти страницах со списками репозиториев Libretro на Github. К счастью, акт вандализма был блокирован разработчикам до того как атакующие добрались до ключевого репозитория RetroArch.

На сборочном сервере атакующими были повреждены сервисы, выполняющие формирование ночных и стабильных сборок, а также отвечающие за организацию сетевых игр (netplay lobby). Вредоносная активность на сервере ограничилась удалением содержимого. Попыток подмены каких-то файлов или внесения изменений в сборки RetroArch и основные пакеты не зафиксировано. В настоящее время нарушена работа Core Installer, Core Updater и Netplay Lobbie, а также связанных с этими компонентами сайтов и сервисов (Update Assets, Update Overlays, Update Shaders).

Основной проблемой с которой проект столкнулся после инцидента стало отсутствие автоматизированного процесса резервного копирования. Последняя резервная копия сервера buildbot была сделана несколько месяцев назад. Проблемы объяснены разработчиками отсутствием денег на систему автоматизированного резервного копирования, в связи с ограниченным бюджетом на поддержание инфраструктуры. Разработчики намерены не восстанавливать старый сервер, а запустить новый, создание которого было в планах. В этом случае сборки для первичных систем, таких как Linux, Windows и Android будут запущены сразу, но для восстановления сборок для специализированных систем, таких как игровые консоли и старые сборки MSVC, потребуется время.

Предполагается, что восстановить содержимое очищенных репозиториев и идентифицировать атакующего поможет GitHub, которому отправлен соответствующий запрос. Пока известно только, что взлом был осуществлён с IP-адреса 54.167.104.253, т.е. вероятно атакующий в качестве промежуточной точки использовал взломанный виртуальный сервер в AWS. Информация о методе проникновения не приводится.

  1. Главная ссылка к новости (https://www.libretro.com/index...)
  2. OpenNews: Выпуск эмулятора игровых консолей RetroArch 1.9.0
  3. OpenNews: Взлом инфраструктуры Docker Hub с возможной компрометацией связанных репозиториев
  4. OpenNews: Взлом репозиториев Canonical на GitHub
  5. OpenNews: Взлом сайта криптовалюты Мonero с подменой предлагаемого для загрузки кошелька
  6. OpenNews: Взлом инфраструктуры LineageOS через уязвимость в SaltStack
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53558-libretro
Ключевые слова: libretro
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:08, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Собаки. Ничего святого.
     
     
  • 2.2, EuPhobos (ok), 11:16, 17/08/2020 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Наверняка это происки Нинтенды )
     
     
  • 3.4, scor (ok), 11:26, 17/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > He gained access to our Libretro organization on Github impersonating a very trusted member of the team

    Ну да, это точно Нинтенда своим знаменитым 26-м кадром заставила этого типа отключить 2fa и пошарить свой пароль, закоммитив его в какой-нибудь публичный репозиторий.:)

    > a very trusted member

    Какие мемберы, такой и траст.

     
  • 3.11, Anonymus (?), 13:12, 17/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Sega же!
    Genesis does! Nintendo't :-).
     
     
  • 4.20, Аноним (20), 18:08, 17/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Sega же!

    Dendy же!

     
  • 3.31, InuYasha (??), 11:37, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Nintendont и Slony - самые анальные из всех копирастов. :-/
     

  • 1.5, svsd_val (ok), 11:28, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    И чем он им не угодил ? О_о
     
  • 1.9, Аноним (9), 13:01, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Сообщество Libretro
    > эмулятора игровых консолей RetroArch

    Разве не просто гуй (сомнительной полезности), надстройка для эмуляторов?

    А libretro - апи (а не сообщество), прослойка между гуйем и эмулями. Не?

     
  • 1.10, Ан О Ним (?), 13:07, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Девляпс, макинтош (ой нет - макбук), причёсочка... Пофиксил код правкой конфига запуска кода.

    Желчь и сарказм. :))))))

     
  • 1.12, Вкусная водочка (ok), 13:40, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > воспользовавшись учётной записью одного из доверенных участников проекта

    С вероятностью 146% он Windows-пользователь.

     
  • 1.13, Аноним (13), 14:30, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лол. Чёрный самопиар
     
  • 1.14, муу (?), 14:44, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Репы на гитхабе уже восстановили.

     
  • 1.16, Аноним (16), 15:07, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Деньги и не нужны достаточно настройки копировать затирая старые.
    Все настройки должны быть отделены от архивов исходников. Или игнорировать архивы и папки от копирования.

    100% у них там была файлопомойка. Купят сервер и будут терабайты каждый день бэкап копировать.

     
  • 1.17, Аноним (17), 16:34, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Основной проблемой с которой проект столкнулся после инцидента стало отсутствие автоматизированного процесса резервного копирования

    haha, classic

     
  • 1.18, Аноним (18), 17:22, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Плачевная ситуация со сборочным сервером и репозиториями сообщества"

    Вот как надо было озаглавить.

     
  • 1.19, Корец (?), 17:34, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И смысл? Что они этим сказать-то хотели?
     
     
  • 2.21, пох. (?), 19:08, 17/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "хакер ссыт во все солонки..."

    Что бы он этим сказать хотел?

    Вероятно, что ресурсы, тратимые государствами на разрушение интернета и борьбу за всякие dmca - было бы крайне неплохо потратить вместо этого на отлов и показательные порки подобных деятелей, причем ничего кроме желания для этого не надо (они и так нарушают вполне давно существующие законы пачками), да и изловить не особо сложно.

    Но, к сожалению, имеем что имеем.

     
     
  • 3.32, InuYasha (??), 11:40, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    имхо, аналогия неуместна.
     
     
  • 4.33, ну разумеется (?), 13:12, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    неуместна. Срочно-срочно внедрите 2fa и скан документов прежде чем предоставлять доступ к репо всего лишь эмулятора игрушкоконсоли.

    Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.

     

  • 1.22, jeejay (?), 20:56, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скорее всего сами не ожидали, что получат доступ. Запаниковали и не придумали ничего лучше.
     
  • 1.23, MT (ok), 22:44, 17/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    GitHub уже ответил, что восстановить репозитории не сможет:

    https://twitter.com/libretro/status/1295181352426516480

    Но, конечно, локальные-то копии репозиториев у разработчиков наверняка есть, просто потребуется ручная работа.

     
     
  • 2.24, Аноним (24), 01:40, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >локальные-то копии репозиториев у разработчиков наверняка есть

    ну, как бы...
    >Последняя резервная копия сервера buildbot была сделана несколько месяцев назад

     
     
  • 3.25, MT (ok), 03:16, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    _Локальные_ (не резервные) копии _репозиториев_ (не сборочного сервера).
     
  • 2.26, nebularia (ok), 05:57, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть же всякие GHTorrent на такой случай
     

  • 1.27, Al (??), 06:26, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жалко их, очень полезный проект. Не думаю, что они могли кому-то помешать, разве что личная неприязнь и желание подгадить кому-то из разработчиков. Иначе просто удалять файлы не стали.
     
     
  • 2.29, пох. (?), 08:00, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не думаю, что они могли кому-то помешать, разве что личная неприязнь и желание подгадить

    обычное детишко развлекалось. Сейчас довольное ест мороженку, смотрит прон.

    Оно не просто удалило, умеет пользоваться гитом, и думает про себя что охрененно крутое.

    А когда случается чудо и те, кому и положено бороться с подростковой преступностью, все же слегка чешутся, дверь выносит ФБР и недоросль ВНЕЗАПНО оказывается во вполне настоящей камере (как это произошло с любителями похакать твиттер) - "как же так?! Я же просто развлекался!/Я же демонстрировал уязвимость! За что?! Сами-виноваты!" - но на судью это почему-то не производит хорошего впечатления.

     
  • 2.34, Аноним (34), 14:06, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если жалко, вот навскидку три варианта
    1. Дай денег на инфраструктуру резервного копирования и восстановления
    2. Предоставь свои сервер и т.д. для резервного копирования
    3. Найди того кто выделит ресурсы для огранизации резервного копирования, либо даст денег на это.

    А так...
    Мне тоже всех жалко! Но яблоко сам скушаю.

     

  • 1.28, Al (??), 06:37, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По моему, если люди дорожат своим проектом или просто ценными данными, то они не должны забывать о правиле 321. Можно было просто написать скрипт, который бекапит репозиторий. Что с ними не так?!
     
     
  • 2.30, пох. (?), 08:06, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если дорожат и очень ценными - то да.

    А если люди вместо "дорожения" что-то полезное для себя или окружающих делают в свое свободное время - они вполне могут не иметь ни времени, ни желания страдать фигней, ни лишних денег на аренду еще одного сервера для бэкапов. Нашлось у кого-то лишних пол-часа и халявный диск - скопировали себе под стол. Не нашлось следующие два месяца - ну, значит, переживем.

    Кстати, похоже, у шитхапа ТОЖЕ нет бэкапов, да?

    Ентерпрайс, все дела...

     
     
  • 3.35, n00by (ok), 14:26, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, похоже, у шитхапа ТОЖЕ нет бэкапов, да?

    Есть же в Арктике https://opennet.ru/53383-archive
    как минимум, на картинке.

    > Ентерпрайс, все дела...

     
     
  • 4.38, пох. (?), 16:19, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кстати, похоже, у шитхапа ТОЖЕ нет бэкапов, да?
    > Есть же в Арктике https://opennet.ru/53383-archive
    > как минимум, на картинке.

    да, херня какая-то, кстати, получается с этим архивом ;-)

     
     
  • 5.40, n00by (ok), 17:38, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Кстати, похоже, у шитхапа ТОЖЕ нет бэкапов, да?
    >> Есть же в Арктике https://opennet.ru/53383-archive
    >> как минимум, на картинке.
    > да, херня какая-то, кстати, получается с этим архивом ;-)

    Таким образом проявляется некий мотив, зачем надо было ломать и удалять безобидный репозиторий, о котором обязательно напишут в новостях по всему миру. То есть это мог быть не обязательно детишко.

     
  • 3.36, Аноним (34), 14:30, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А если люди вместо "дорожения" что-то полезное для себя или окружающих делают в свое свободное время - они вполне могут не иметь ни времени, ни желания страдать фигней

    Конечно люди могут делать это "что-то" так как хотят. Но нечего тогда жаловаться на результат.
    То что ты называешь "страдать фигней" - это всякие разные правила дорожного движения, техника безопасности и т.д. и т.д.
    Просто в IT нарушение этих правил не приводит к каким либо значимым последствиям.
    Ну пожурят чуток на работе за незаблокированный экран, ну удалят какие-то программы о которых большинство людей никогда не знало и не узнает. Кому от этого плохо? Да никому. Никто от этого ни умрет, ни родится, ни калекой станет, ни голодать не будет.

     
     
  • 4.37, пох. (?), 16:18, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > То что ты называешь "страдать фигней" - это всякие разные правила дорожного движения

    Нет. В понятных тебе аналогиях: необходимость тщательно запирая дверь, все равно не выпускать свою машину из поля зрения, пока торопливо давишься в придорожкой кафешке - ничего не имеет общего с "правилами движения".

    Только с неработой тех, кто по должности обязан бороться со злом, но предпочитает, как обычно, если не возглавить, то хотя бы примкнуть.

    > Просто в IT нарушение этих правил не приводит к каким либо значимым последствиям.

    а вот пацанчики, ломанувшие твиттер Обамы ради мелкого гешефтика - почему-то теперь так не думают.
    Хотя, казалось бы, никто не умер.

    Кстати, если у тебя тачку отжать - ты тоже не умрешь, и с голоду вряд ли подохнешь. Если не будешь выеживаться - то даже и калекой не станешь.

     

  • 1.39, Аноним (39), 16:28, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>они попытались очистить содержимое репозиториев через помещение пустого __начального__ коммита.

    Это как? Я ещё пойму если они просто пустой коммит залили, но почему он начальный?

     
     
  • 2.41, пох. (?), 19:47, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>>они попытались очистить содержимое репозиториев через помещение пустого __начального__ коммита.
    > Это как? Я ещё пойму если они просто пустой коммит залили, но

    и как просто пустой комит чему-то напакостит?

    > почему он начальный?

    потому что историю удалили. forced push.


     

  • 1.42, mos87 (ok), 04:29, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нездоровая тяга к полуторапиксельному дерьму из 1500 одинаковых уровней

    вообще соснольщина это нездорово. минздрав предупреждает!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру