Hacker tấn công GitHub giả danh CEO tiết lộ mã nguồn private, liên quan đến Youtube -dl
(Vn-Z.vn) Ngày 10 tháng 11 năm 2020 , Không lâu sau sự cố YouTube-dl, GitHub một lần nữa đứng đầu danh sách của hacker . GitHub đã bị tấn công và những người không rõ danh tính giả danh CEO , làm rò rỉ mã nguồn bí mật.
Thông tin được chia sẻ rên blog của nhà phát triển Resynth,cho biết rằng trong commit đáng ngờ được gửi đến kho lưu trữ DMCA chính thức của GitHub, một người không xác định đã sử dụng lỗi trong ứng dụng GitHub để mạo danh Giám đốc điều hành GitHub Nat Friedman (Nat Friedman) và tải lên mã nguồn bí mật.
GitHub là dịch vụ kho lưu trữ mã nguồn Git dựa trên nền web cho các dự án phát triển phần mềm. GitHub cung cấp cả phiên bản trả tiền lẫn miễn phí cho các tài khoản. Có thể xem đây như hệ thống mạng xã hội dành cho các nhà phát triển, lập trình viên . Trên GitHub lập trình viên có thể tạo ra các kho chứa của riêng mình . Apple, Amazon, Google, Facebook và nhiều công ty công nghệ lớn khác đều là khách hàng chính của GitHub. GitHub lưu trữ hơn 100 triệu kho lưu trữ và cung cấp hỗ trợ tài nguyên cho 40 triệu nhà phát triển.
Chính vì vậy, vụ rò rỉ này nhanh chóng nhận được sự chú ý của Hacker News, nhiều nhà phát triển bày tỏ lo ngại về tính bảo mật của nền tảng GitHub.
Về vấn đề này, Giám đốc điều hành GitHub, Friedman, lần đầu tiên giải thích trong một bài đăng mới.
GitHub không bị tấn công , là một phần mã nguồn của GitHub Enterprise Server đã bị rò rỉ. Mặc dù cả hai đều chia sẻ rất nhiều mã nguồn, trong đó GitHub chủ yếu được viết bằng Ruby, nên có sự khác biệt lớn.
Nguyên nhân của sự cố này là do cách đây vài tháng, các nhà phát triển đã vô tình phân phối mã nguồn máy chủ doanh nghiệp cho một số khách hàng. Chúng tôi đang nỗ lực sửa lỗi nền tảng để ngăn những người không được phép và không rõ danh tính tự ý ăn cắp và sửa đổi Project của người khác thông qua việc giả mạo danh tính người khác.
Cuối cùng, Friedman xoa dịu người dùng: Mọi thứ đều ổn, tình hình vẫn bình thường, skylark đang bay, con ốc sên đang bò trên gai, mọi thứ trên thế giới vẫn tốt đẹp!
Tuy nhiên, các nhà phát triển đã không chấp nhận phản hồi này. Đánh giá từ các phàn nàn của họ, hệ thống quản lý mã Github tồn tại có nhiều lỗi, ví dụ: khi gửi mã, Git sẽ không xác minh danh tính của người dùng. Điều này sẽ mang lại rủi ro bảo mật lớn cho mã nguồn, nhưng nền tảng GitHub chưa bao giờ coi trọng nó.
Một số ý kiến cho rằng, chính lỗ hổng này đã cho phép những kẻ vô danh đăng Code giải mạo là Friedman.
Trình quản lý mã nguồn Git có lỗi . Theo Wiki Git là phần mềm quản lý mã nguồn phân tán được phát triển bởi Linus Torvalds vào năm 2005, ban đầu dành cho việc phát triển nhân Linux. Hiện nay, Git trở thành một trong các phần mềm quản lý mã nguồn phổ biến nhất. Git là phần mềm mã nguồn mở được phân phối theo giấy phép công cộng GPL2 . Git là hệ thống quản lý phiên bản phân tán được Github sử dụng để lưu trữ mã nguồn. Nói một cách đơn giản, nó là một trình quản lý mã nguồn.
Thiết kế của Git tồn tại khuyết điểm rõ ràng, đó là nó không cung cấp quá nhiều khả năng bảo vệ để ngăn người dùng khác "tham lam". Cụ thể, quá trình Git tải lên các tệp mã tương tự như gửi email. Người dùng có thể nhập bất kỳ thông tin nào vào trường user.name và user.email. Trong quá trình này, nếu kết hợp khóa GPG không được sử dụng giữa hai trường, hệ thống sẽ không kiểm tra nguồn được chỉ định của mã và việc gian lận thông tin sẽ trở nên rất dễ dàng.
Việc người nặc danh gửi thành công mã nguồn giả mạo Friedman rõ ràng là do vị này đã không thiết lập khóa GPG (General Planning Group ) cho các lĩnh vực liên quan.
Sau khi vượt qua mức giới hạn này, làm thế nào để những người vô danh có thể gửi vào kho lưu trữ mà không gây hại cho tài khoản thực? Điều này được hiểu rằng việc tải bài gửi lên kho lưu trữ Git sẽ tạo một hàm băm $hah được sử dụng để tìm Tree"nhánh cây". GitHub là một phần của ứng dụng web và cung cấp quyền truy cập vào cấu trúc Git cơ bản trong trình duyệt. Do đó, nó có thể lưu trữ tất cả các nhánh của kho lưu trữ Git trong kho lưu trữ cơ bản riêng biệt dù không có URL.
Để giả mạo tài khoản của người khác, trước tiên người mạo danh cần sao chép kho lưu trữ DMCA. Sau khi mở rộng đến kho lưu trữ, gửi mã nguồn bị rò rỉ và giả mạo tên và địa chỉ email của Friedman. Trong quá trình này có thể xảy ra lỗi trong kho lưu trữ Fork , tức là URL vẫn có thể trỏ đến tên người dùng và tài khoản thực của kẻ mạo danh.
Nhưng trên Git cơ bản, fork là một phần của cùng một kho lưu trữ, điều này sẽ cho phép kẻ mạo danh tạo một URL có thể được gửi trong kho lưu trữ chính thay vì trong fork.
Kẻ giả mạo bắt đầu tại https://github.com/github/dmca và thêm tree/$hash vào cuối, trong đó $hash (hàm băm) là giá trị băm được gửi bởi fork của chính kẻ tấn công. Lúc này kẻ mạo danh đã có thể sử dụng URL thay vì Friedman từ đó gửi mã của hắn trên GitHub.
Bên cạnh những lo ngại về bảo mật mã, sự cố này một lần nữa thu hút sự chú ý của các nhà phát triển tới thái độ sử dụng mã nguồn mở của GitHub. Trong một thời gian dài, GitHub đã bị chỉ trích vì mã nguồn không được tiết lộ, và chỉ vài ngày trước, GitHub lại một lần nữa rơi vào cơn bão dư luận vì cấm YouTube-dl. Sự việc xảy ra trong thời điểm này nên có thể là sự trả thù của nhà phát triển vô danh vì đã chặn YouTube-dl.
Sự việc này xảy ra vào tháng 10, theo yêu cầu của Hiệp hội Công nghiệp Ghi âm Hoa Kỳ (RIAA), GitHub đã chặn dự án nguồn mở nổi tiếng YouTube-dl có tới 75.000 Star đánh giá.
Lý do được RIAA đưa ra vào thời điểm đó là YouTube-dl đã vi phạm các điều khoản vi phạm bản quyền DMCA.
Mục đích của mã nguồn này là:
1) Phá vỡ các biện pháp bảo vệ kỹ thuật được sử dụng bởi các dịch vụ phát trực tuyến được ủy quyền như YouTube;
2) Sao chép và phân phối trái phép các video nhạc và âm thanh thuộc sở hữu của các công ty thành viên.
3) Ngoài YouTube, mã nguồn hỗ trợ thêm nhiều trang web tải video trên GitHub.
Tuy nhiên, việc GitHub gỡ bỏ YouTube-dl đã khiến các nhà phát triển tức giận, họ đã sao chép và tải lên một số lượng lớn các bản sao mã trên GitHub để phản đối việc gỡ bỏ. Ngay bây giờ nếu tìm kiếm YouTube-dl trên GitHub, có tới hàng ngàn kết quả. Dù nhóm pháp lý của GitHub đã phải đưa ra cảnh báo mới nhất, nói rằng nếu họ tiếp tục xuất bản các bản sao của mã YouTube-dl, sẽ bị chặn.
"Xin lưu ý rằng việc xuất bản lại bản sao mã YouTube-dl mà không tuân theo quy trình là vi phạm chính sách DMCA của nền tảng GitHub và điều khoản dịch vụ. Nếu bạn tiếp tục gửi hoặc đăng nội dung có liên quan lên kho lưu trữ trong khi cố ý vi phạm các điều khoản dịch vụ, chúng tôi sẽ xóa nội dung đó và có thể tạm ngừng quyền truy cập vào tài khoản của bạn. "
Mặc dù kẻ tấn công không công khai bình luận về vụ việc, một số chuyên gia suy đoán rằng đây có thể là hành động trả thù của anh ta vì đã hủy bỏ Youtube-dl trên GitHub. Thêm phần phản ứng của Friedman về vụ rò rỉ, cộng đồng mạng bày tỏ sự không hài lòng với việc GitHub gỡ bỏ YouTube-dl do thỏa thuận DMCA.
Nhiều người cho rằng lý do GitHub làm điều này có lẽ là do Microsoft là thành viên của RIAA. Việc chặn YouTube-dl theo yêu cầu của DMCA không phải để xóa chủ sở hữu bản quyền của mã nguồn. Là một công ty độc lập ủng hộ mã nguồn mở, GitHub không cần phải tuân thủ yêu cầu bất hợp pháp của RIAA.
Sự không hài lòng của cư dân mạng được thể hiện vì lệnh cấm đi ngược lại với lý tưởng ban đầu của GitHub về mã nguồn mở.
Được biết Năm 2018, Microsoft mua lại GitHub với giá 7,5 tỷ USD. Lúc đó Giám đốc điều hành mới Nat Friedman đã từng nói: GitHub sẽ luôn nhấn mạnh vào nhà phát triển đầu tiên và hoạt động độc lập.
Resynth cũng cho biết trên blog của mình: Microsoft nhiều lần nhấn mạnh cam kết của mình đối với mã nguồn mở, điều mà chúng ta thường thấy từ nhiều quảng cáo thương mại. Mục đích là đưa Microsoft đi đầu trong phát triển mã nguồn mở.
Nhưng hiện tại có vẻ như Microsoft đã không thực hiện được những gì họ đã hứa. Và YouTube-dl chỉ là một trong các trường hợp gần đây.
Trước đây Vn-Z.vn từng thông tin đến các bạn độc về việc hacker đánh cáp 500GB kho dữ liệu bí mật của Github.
Thông tin được chia sẻ rên blog của nhà phát triển Resynth,cho biết rằng trong commit đáng ngờ được gửi đến kho lưu trữ DMCA chính thức của GitHub, một người không xác định đã sử dụng lỗi trong ứng dụng GitHub để mạo danh Giám đốc điều hành GitHub Nat Friedman (Nat Friedman) và tải lên mã nguồn bí mật.
Chính vì vậy, vụ rò rỉ này nhanh chóng nhận được sự chú ý của Hacker News, nhiều nhà phát triển bày tỏ lo ngại về tính bảo mật của nền tảng GitHub.
Về vấn đề này, Giám đốc điều hành GitHub, Friedman, lần đầu tiên giải thích trong một bài đăng mới.
GitHub không bị tấn công , là một phần mã nguồn của GitHub Enterprise Server đã bị rò rỉ. Mặc dù cả hai đều chia sẻ rất nhiều mã nguồn, trong đó GitHub chủ yếu được viết bằng Ruby, nên có sự khác biệt lớn.
Nguyên nhân của sự cố này là do cách đây vài tháng, các nhà phát triển đã vô tình phân phối mã nguồn máy chủ doanh nghiệp cho một số khách hàng. Chúng tôi đang nỗ lực sửa lỗi nền tảng để ngăn những người không được phép và không rõ danh tính tự ý ăn cắp và sửa đổi Project của người khác thông qua việc giả mạo danh tính người khác.
Cuối cùng, Friedman xoa dịu người dùng: Mọi thứ đều ổn, tình hình vẫn bình thường, skylark đang bay, con ốc sên đang bò trên gai, mọi thứ trên thế giới vẫn tốt đẹp!
Tuy nhiên, các nhà phát triển đã không chấp nhận phản hồi này. Đánh giá từ các phàn nàn của họ, hệ thống quản lý mã Github tồn tại có nhiều lỗi, ví dụ: khi gửi mã, Git sẽ không xác minh danh tính của người dùng. Điều này sẽ mang lại rủi ro bảo mật lớn cho mã nguồn, nhưng nền tảng GitHub chưa bao giờ coi trọng nó.
Một số ý kiến cho rằng, chính lỗ hổng này đã cho phép những kẻ vô danh đăng Code giải mạo là Friedman.
Trình quản lý mã nguồn Git có lỗi . Theo Wiki Git là phần mềm quản lý mã nguồn phân tán được phát triển bởi Linus Torvalds vào năm 2005, ban đầu dành cho việc phát triển nhân Linux. Hiện nay, Git trở thành một trong các phần mềm quản lý mã nguồn phổ biến nhất. Git là phần mềm mã nguồn mở được phân phối theo giấy phép công cộng GPL2 . Git là hệ thống quản lý phiên bản phân tán được Github sử dụng để lưu trữ mã nguồn. Nói một cách đơn giản, nó là một trình quản lý mã nguồn.
Thiết kế của Git tồn tại khuyết điểm rõ ràng, đó là nó không cung cấp quá nhiều khả năng bảo vệ để ngăn người dùng khác "tham lam". Cụ thể, quá trình Git tải lên các tệp mã tương tự như gửi email. Người dùng có thể nhập bất kỳ thông tin nào vào trường user.name và user.email. Trong quá trình này, nếu kết hợp khóa GPG không được sử dụng giữa hai trường, hệ thống sẽ không kiểm tra nguồn được chỉ định của mã và việc gian lận thông tin sẽ trở nên rất dễ dàng.
Việc người nặc danh gửi thành công mã nguồn giả mạo Friedman rõ ràng là do vị này đã không thiết lập khóa GPG (General Planning Group ) cho các lĩnh vực liên quan.
Sau khi vượt qua mức giới hạn này, làm thế nào để những người vô danh có thể gửi vào kho lưu trữ mà không gây hại cho tài khoản thực? Điều này được hiểu rằng việc tải bài gửi lên kho lưu trữ Git sẽ tạo một hàm băm $hah được sử dụng để tìm Tree"nhánh cây". GitHub là một phần của ứng dụng web và cung cấp quyền truy cập vào cấu trúc Git cơ bản trong trình duyệt. Do đó, nó có thể lưu trữ tất cả các nhánh của kho lưu trữ Git trong kho lưu trữ cơ bản riêng biệt dù không có URL.
Để giả mạo tài khoản của người khác, trước tiên người mạo danh cần sao chép kho lưu trữ DMCA. Sau khi mở rộng đến kho lưu trữ, gửi mã nguồn bị rò rỉ và giả mạo tên và địa chỉ email của Friedman. Trong quá trình này có thể xảy ra lỗi trong kho lưu trữ Fork , tức là URL vẫn có thể trỏ đến tên người dùng và tài khoản thực của kẻ mạo danh.
Nhưng trên Git cơ bản, fork là một phần của cùng một kho lưu trữ, điều này sẽ cho phép kẻ mạo danh tạo một URL có thể được gửi trong kho lưu trữ chính thay vì trong fork.
Kẻ giả mạo bắt đầu tại https://github.com/github/dmca và thêm tree/$hash vào cuối, trong đó $hash (hàm băm) là giá trị băm được gửi bởi fork của chính kẻ tấn công. Lúc này kẻ mạo danh đã có thể sử dụng URL thay vì Friedman từ đó gửi mã của hắn trên GitHub.
Bên cạnh những lo ngại về bảo mật mã, sự cố này một lần nữa thu hút sự chú ý của các nhà phát triển tới thái độ sử dụng mã nguồn mở của GitHub. Trong một thời gian dài, GitHub đã bị chỉ trích vì mã nguồn không được tiết lộ, và chỉ vài ngày trước, GitHub lại một lần nữa rơi vào cơn bão dư luận vì cấm YouTube-dl. Sự việc xảy ra trong thời điểm này nên có thể là sự trả thù của nhà phát triển vô danh vì đã chặn YouTube-dl.
Sự việc này xảy ra vào tháng 10, theo yêu cầu của Hiệp hội Công nghiệp Ghi âm Hoa Kỳ (RIAA), GitHub đã chặn dự án nguồn mở nổi tiếng YouTube-dl có tới 75.000 Star đánh giá.
Lý do được RIAA đưa ra vào thời điểm đó là YouTube-dl đã vi phạm các điều khoản vi phạm bản quyền DMCA.
Mục đích của mã nguồn này là:
1) Phá vỡ các biện pháp bảo vệ kỹ thuật được sử dụng bởi các dịch vụ phát trực tuyến được ủy quyền như YouTube;
2) Sao chép và phân phối trái phép các video nhạc và âm thanh thuộc sở hữu của các công ty thành viên.
3) Ngoài YouTube, mã nguồn hỗ trợ thêm nhiều trang web tải video trên GitHub.
Tuy nhiên, việc GitHub gỡ bỏ YouTube-dl đã khiến các nhà phát triển tức giận, họ đã sao chép và tải lên một số lượng lớn các bản sao mã trên GitHub để phản đối việc gỡ bỏ. Ngay bây giờ nếu tìm kiếm YouTube-dl trên GitHub, có tới hàng ngàn kết quả. Dù nhóm pháp lý của GitHub đã phải đưa ra cảnh báo mới nhất, nói rằng nếu họ tiếp tục xuất bản các bản sao của mã YouTube-dl, sẽ bị chặn.
"Xin lưu ý rằng việc xuất bản lại bản sao mã YouTube-dl mà không tuân theo quy trình là vi phạm chính sách DMCA của nền tảng GitHub và điều khoản dịch vụ. Nếu bạn tiếp tục gửi hoặc đăng nội dung có liên quan lên kho lưu trữ trong khi cố ý vi phạm các điều khoản dịch vụ, chúng tôi sẽ xóa nội dung đó và có thể tạm ngừng quyền truy cập vào tài khoản của bạn. "
Mặc dù kẻ tấn công không công khai bình luận về vụ việc, một số chuyên gia suy đoán rằng đây có thể là hành động trả thù của anh ta vì đã hủy bỏ Youtube-dl trên GitHub. Thêm phần phản ứng của Friedman về vụ rò rỉ, cộng đồng mạng bày tỏ sự không hài lòng với việc GitHub gỡ bỏ YouTube-dl do thỏa thuận DMCA.
Nhiều người cho rằng lý do GitHub làm điều này có lẽ là do Microsoft là thành viên của RIAA. Việc chặn YouTube-dl theo yêu cầu của DMCA không phải để xóa chủ sở hữu bản quyền của mã nguồn. Là một công ty độc lập ủng hộ mã nguồn mở, GitHub không cần phải tuân thủ yêu cầu bất hợp pháp của RIAA.
Sự không hài lòng của cư dân mạng được thể hiện vì lệnh cấm đi ngược lại với lý tưởng ban đầu của GitHub về mã nguồn mở.
Được biết Năm 2018, Microsoft mua lại GitHub với giá 7,5 tỷ USD. Lúc đó Giám đốc điều hành mới Nat Friedman đã từng nói: GitHub sẽ luôn nhấn mạnh vào nhà phát triển đầu tiên và hoạt động độc lập.
Resynth cũng cho biết trên blog của mình: Microsoft nhiều lần nhấn mạnh cam kết của mình đối với mã nguồn mở, điều mà chúng ta thường thấy từ nhiều quảng cáo thương mại. Mục đích là đưa Microsoft đi đầu trong phát triển mã nguồn mở.
Nhưng hiện tại có vẻ như Microsoft đã không thực hiện được những gì họ đã hứa. Và YouTube-dl chỉ là một trong các trường hợp gần đây.
Trước đây Vn-Z.vn từng thông tin đến các bạn độc về việc hacker đánh cáp 500GB kho dữ liệu bí mật của Github.
Hacker đánh cắp 500GB kho dữ liệu private của Microsoft GitHub
Thời gian gần đây hệ thống GitHub liên tục gặp sự cố. Mới đây có thông tin tài khoản GitHub private của Microsoft bị hack và hơn 500GB dữ liệu bị đánh cắp Hacker tuyên bố rằng anh ta đã đánh cắp 500GB dữ liệu từ kho lưu trữ GitHub của Microsoft, dữ liệu bao gồm các dự án tư nhân của Microsoft...
vn-z.vn