URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129654
[ Назад ]
Исходное сообщение
"В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom"
Отправлено opennews , 30-Янв-23 22:09 
GitHub раскрыл сведения о компрометации репозиториев, в которых велась разработка приложений GitHub Desktop и Atom. Среди прочего, атакующим удалось получить доступ к сертификатам, используемым в GitHub Actions при заверении публикуемых релизов  GitHub Desktop для macOS и Atom цифровой подписью. Так как ключи были дополнительно зашифрованы с использованием паролей, их использование для вредоносных действия оценивается как маловероятное, тем не менее GitHub принял решение отозвать проблемные сертификаты, что приведёт к неработоспособности некоторых версий GitHub Desktop и Atom, начиная со 2 февраля...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58576

Содержание
Сообщения в этом обсуждении
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 30-Янв-23 22:09 
А разве АТОМ они не дропнули?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Анонус , 30-Янв-23 22:38 
Последний коммит в репу был в конце ноября. Но заархивировали только сегодня. Может собирались "отдать сообществу"? Потому и токен утек?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 01:04 
Значит мало дропнули. Спохватились, решили и старые версии вывести из использования.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 30-Янв-23 22:12 
> удалось получить доступ к сертификатам

И как именно?

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено shithub , 30-Янв-23 22:27 
Ну, карочи, тут у нас инфраструктураass a cococode, все ключи от всего так удобно ведь комитить в репозиторий. Но вы не ссыте, они были зашифрованы паролем 12345, который, правда, был в тексте скриптов которые этими ключами пользовались, но, в общем, хакиры не пройдут, опастносте никакой. Потому что все мы так говорим!


"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 30-Янв-23 22:45 
Работают для начальства, а не для клиентов.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Клиент , 30-Янв-23 23:24 
Что не так с клиентами? Мы тоже любим класть ключи от всего под коврик... или на коврик, так удобнее чем его поднимать каждый раз.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 01:07 
Ты явно кого-то пародируешь. Себя?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 02:34 
- Я угадаю комментарий поха с семи слов.
- Я угадаю комментарий поха с шести слов.
- А я угадаю комментарий поха с пяти слов.
- Угадывай.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Admino , 31-Янв-23 18:57 
Тут вам не яндекс, тут настоящий энтерпрайз. Сертификаты лежат прямо в репозитории.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено пох. , 31-Янв-23 21:46 
Наоборот жеж! У х-яндекса замшелый ентерпрайз без continuous desintegration, а у гитхаба модный современный смузи-стандарт.

(при этом какие-то тестовые ключи и сертификаты у х-яндекса там были, потом что ответ на вопрос "как сделать CT без ключей" - даже они не могут найти, а CT таки был.)

Впрочем, ущерб репутации от того что там таки нашлось был бы совершенно запредельным, ни в какое сравнение с гитшлаком, если бы кузьмичи только умели понять, что там утекло, или хотя бы доступ в запрещенные сети имели.

То есть что "алиса" подслушивала, к примеру - уже подтвержденный факт. Ну а то ЧЕГО она понаслушалась - это такая пирдуха, что просто слов нет.

45 гигов, конечно, на такое все равно жалко.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 01-Фев-23 15:59 
YAMA https://www.opennet.dev/opennews/art.shtml?num=27488 не все дистры защищают память как требует DAC. Поэтому можно скопировать ключи, уже расшифрованые: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...

Спасает от воровства ключаей:
https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f...
https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-...
https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено ИмяХ , 30-Янв-23 22:31 
>>GitHub принял решение отозвать проблемные сертификаты, что приведёт к неработоспособности некоторых версий GitHub Desktop и Atom

Вот оно - истинное лицо опенсурса.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 30-Янв-23 22:44 
Что такое волшебного в проприетарном софте что в них такого не происходит?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено oshu , 30-Янв-23 22:52 
<Что такое волшебного в проприетарном софте...>
- соглашение о неразглашении
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 11:44 
Это просто ор дня. Песши исчо.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 13:20 
Помогло оно **Яндексу?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 12:16 
Финансовая ответственность.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 30-Янв-23 22:52 
С каких пор github имеет отношение к опенсурсу?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 30-Янв-23 23:29 
Если не учитывать то что большинство опенсорс проектов хостится на нем, то: никакого
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 00:07 
И тут Сурсфордж с Гитлабом передают пламенный привет.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 02:41 
Передавать, конечно, передают, да только гитхаб всё равно популярнее. Ну что поделать, если разработчикам нужно удобно, а не идеологически верно?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 03:04 
> гитхаб всё равно популярнее

Как определяешь популярность? По кол-ву мух?

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено iPony129412 , 31-Янв-23 04:42 
Популярность — это количество.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 04:49 
Ну ты уж определись, опенсорсные проекты или мухи.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 10:08 
на гитхабе >90% шлака.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 21:53 
Как определяешь шлаковость? По комментариям на опеннете?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Бывалый смузихлёб , 31-Янв-23 05:08 
Удобным он был до приобретения микрософтом
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 17:27 
Да, это так. И после приобретения этот тренд продолжился. Но опеннетчики традиционно недовольны всем.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 08:34 
GitLab да, сурсфорж и всякие битбакеты - в помойку
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено анон анона , 31-Янв-23 00:11 
Эта хрень началась как мелкомягкий проприентарь купил гитхаб... Но за это ты будешь ратовать...
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 06:35 
> Вот оно - истинное лицо

хозяина сервиса.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Фургал , 31-Янв-23 12:16 
> GitHub
> M$
> опенсурса

это скорее истинное лицо корпоратов, которые поналепили сами себе наклеечки "I love opensource"

но это лицо мы уже давно знаем. оно нам как родное лол. поэтому сказки, что проклятые хаккеры взломали наш продукт и поэтому "не могли бы вы обновиться на новую версию с телеметрией" уже проходили и не раз. знаем-знаем: всё ради вашей безопасности!!111


"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 00:57 
Взял шелл-аккаунт с CGI, поставил на него fossil и выставил наружу - и то безопаснее гитхаба.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 01:08 
CGI...  Одна из худших технологий в мире. Откуда вы дети необучаемые беретесь? Почему вас никто не учит истории?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 01:16 
> необучаемые
> Почему вас никто не учит
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 03:01 
> CGI...  Одна из худших технологий в мире

CGI - Common Gateway Interface... Интерфейс... Карл, тебе не кажется, что ты отморозился?

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 08:35 
Шерето, Карл, шерето!
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Фургал , 31-Янв-23 12:18 
та это необучаемый ребёнок - не пытайся его понять. он - вечный поток творчества.. иногда непонятного, нелогичного или откровенно идиотского. но он такой и мы его принимаем. аминь
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Ann , 31-Янв-23 06:08 
>>Одна из худших технологий в мире.

почему? и что тогда предлагаете вместо как одну из лучших?

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 09:39 
FastCGI, наверное. С одной стороны разделение обработчика и сервера в разные процессы очень гибко, и позволяет писать их на разных языках, и если надо - изолировать в разные песочницы. С другой - поддержка shared library есть везде, и если модуль делать в виде shared library, то будет более тесная интеграция с сервером и отсутствие оверхеда на IPC.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 10:05 
CGI - это интерфейс, а не имплементация. Не путай. В интерфейсе ничего нету про то, как ты будешь что запускать, в каком кол-ве и когда.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 10:39 
Реализации реализуют CGI через запуск процессов, потому что иначе CGI не имеет смысла.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 01-Фев-23 07:05 
> Реализации реализуют CGI через запуск процессов

К бабке не ходи, понятно, что надо что-то как-то где-то запустить. Это как "полёт" на Луну вообще ничего не говорит, что за ТС будет использоваться.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 12:17 
Ты сам то небось только вчера ноду запускать научился, а уже про цги рассуждаешь.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 12:29 
Молоток изобретенный несколько тысяч лет назад стал самым худшим инструментом в мире потому что недавно изобрели электромеханический гвоздезабиватель.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 01-Фев-23 18:08 
В том-то всё и дело, что не был, и именно поэтому выжил. В отличие от палки-копалки. Вот и CGI оказался той самой палкой-копалкой — простой и ужасно неэффективный. Назови хоть один большой (от миллиона пользователей в сутки) проект в публичном интернете, который использует CGI.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено пох. , 02-Фев-23 10:43 
У тебя-то все прожекты по миллиону пользователей в сутки, а иногда и по два.
Жаль, что только в фантазиях.

cgi вполне эффективен для своих целей (и эх... а ведь двадцать лет назад л@п4-е задирали гузочки что вооот, у нас-то, не как у этих вот там, вызов clone() практически бесплатен [так и есть])

Простой, надежный, не требующий отдельных сервисов нуждающихся в отдельном обслуживании и мониторинге, легко позволяет изоляцию и минимизацию ущерба стандартными юниксными средствами без адовых костылей.

Единственный минус - требует веб-сервера (неожиданно). Но это минус как раз не для "миллионов" - у тех сервер на бэкэнде и так есть.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 12:39 

#!/bin/bash
echo -e 'Content-Type: text/plain\n\nHello, world!'

Common Gateway Interface это простейший интерфейс для запуска динамических программ на веб-сервере который не зависит от языка программирования и вообще супер-простой.
CGI программа может быть написана хоть на bash, хоть на java, хоть на asm, хоть на brainfaсk.
CGI программа пишется буквально в 2 строчки.

Удивительно откуда берутся не обучаемые которые не учат истории и запускают cgi. Не надо быть таким не обучаемым.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 12:51 
то что на каждый запрос нужно запустить новый процесс это конечно не очень эффективно, но...
Ведь apache на каждый запрос тоже нужно запустить новый процесс и php, а на php целые биллинги пишут.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 13:25 
В принципе необязательно.
1. Можно распарсить shebang и передать скрипт интерпретатору-модулю в том же процессе.
2. бинарник можно исполнить на виртуальной машине в том же процессе.

https://cs5.pikabu.ru/post_img/big/2015/12/20/12/14506421171...

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 01-Фев-23 07:09 
> нужно запустить новый процесс

Не нужно. В интерфейсе не может быть указана конкретная имплементация.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено pashev.ru , 31-Янв-23 14:12 
Fast CGI на Фортране http://git.pashev.ru/pasture/fortran-fcgi/
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 14:45 
А можно тоже самое, но на bash?
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 23:16 
Когда ж ты уймёшься со своим локалхостом? В каждой новости — ссылка на паше-вру с каким-то нерелевантным hello world.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено пох. , 31-Янв-23 11:10 
Не взял акаунт, не поставил ничего - ничего никуда не выставлял - идеальная безопастность.

В принципе, для тебя-то это и впрямь лучший вариант, кодить-то ты все равно не умеешь, пользы от шитхаба лично тебе будет ноль.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 23:19 
Молодец. Осталось убедить >90 миллионов разработчиков сделать точно так же, и мы возродим помойные хостинги на cPanel, вернём 2007, тот самый тёплый ламповый интернет, и окончательно убьём кооперативную разработку софта.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 01-Фев-23 07:12 
если эти разрабы не имеют даже собственного сайта, а нужны ли они кому?!
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 01-Фев-23 09:00 
Перед тем как зайти на сайт этих разработчиков, я должен узнать о его существовании.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено пох. , 01-Фев-23 09:27 
Во-первых, ЭТИ разрабы в отличие от шитхаба, который _засек_ использование краденого токена и _мгновенно_ принял меры, потому что там все еще остались работать админы на зарплатах - лет пять не будут замечать что у них на собственном помойкосайте рассадник троянцев и попутно зомбоботы для атак на других. А заметив - не будут знать что делать. (Привет palemoon и php и это еще не худшие варианты.)

Во-вторых вон тут уже коммент от гени(т)ального разработчика, "а как я узнаю об их существовании". Ну то есть про репо на шитхабе он как-то узнает (видимо, поиском по шитхабу) а гуглем пользоваться не обучаем вообще.

А других разработчиков, которые ВСЕ были админами с соответствующим уровнем умений и знаний, потому что никто им шитхабы не строил и сопельки не утирал (что попутно, весьма вероятно, спасало нас от совсем уж альтернативно-одаренных) у меня для вас не осталось. Они уже лет десять пиццей вразнос торгуют. Потому что они-то были - умные.


"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 01-Фев-23 18:14 
Ну вот у меня собственного сайта нет, и делать не планирую. Не знаю, зачем он мне был бы нужен, если подумать. Нужен ли я кому? Да хрен его знает, наверное нет. Но при этом клиентов год от года не убавляется, приходится отказывать, и всё равно готовы ждать месяцами.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Ёбаное чмо , 31-Янв-23 09:14 
очень жаль, особенно их PRO подписчиков
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено EuPhobos , 31-Янв-23 09:22 
> Так как ключи были дополнительно зашифрованы с использованием паролей, их использование для вредоносных действий оценивается как маловероятное

Учитывая какой пароль обычно используют полагаясь на сохранность сертификата, нууу...

> тем не менее GitHub принял решение отозвать проблемные сертификаты

Ну скорее всего так и есть, пароли не надёжные там, и они это знают)

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 23:21 
> Учитывая какой пароль обычно используют полагаясь на сохранность сертификата, нууу...

Какой?

> Ну скорее всего так и есть, пароли не надёжные там, и они это знают)

Экспертиза опеннета во весь рост. Действительно, ротация сертификатов нужна только при плохих паролях, и всем известно, что у каждого опеннетчика пароль из 100 символов, хранимый в голове.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено EuPhobos , 02-Фев-23 10:09 
>> Учитывая какой пароль обычно используют полагаясь на сохранность сертификата, нууу...
> Какой?
>> Ну скорее всего так и есть, пароли не надёжные там, и они это знают)
> Экспертиза опеннета во весь рост. Действительно, ротация сертификатов нужна только при
> плохих паролях, и всем известно, что у каждого опеннетчика пароль из
> 100 символов, хранимый в голове.

Открой для себя keepassxc

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 11:36 
Ну, начинается - опять журнализды пытаются привлечь внимание к своим высерам жёлтыми заголовками.

Не было атаки на github, никто их не взламывал. С технической стороны всё было легитимно, с точки зрения "цифровой" безопасности - тоже. Был несанкционированный доступ с использованием токена одного из разработчиков.

Не надо выдавать вину разработчика, который недоглядел за токеном за вину всего гитхаба.

Жаль, что таких профанов из-за таких вонючих заголовков статей невозможно уволить из профессии раз и навсегда. И даль, что их невозможно призвать хотябы к финансовой ответственности за введение в заблуждение читателя.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 11:44 
Пиши свои правильные статьи и места таким плохим журналистам как сабж просто не останется.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Фургал , 31-Янв-23 12:20 
> Не надо выдавать вину разработчика, который недоглядел за токеном за вину всего гитхаба.

каковы работнички - такова и конторка. чего тут удивляться это ж M$ у них славные традиции по работе с кадрами

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 23:23 
Ну так покажи уже свои наработки и кадровые традиции. Сверкни мастерством. Удиви всех. Пусть «M$» умрёт от зависти.
"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено mos87 , 31-Янв-23 12:37 
>захвачены ключи для подписи приложений GitHub Desktop и Atom

отлична, например.

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 31-Янв-23 13:32 
Можно поподробнее?
>>неработоспособности некоторых версий GitHub Desktop и Atom

Какие версии и на каких ОС сломаются.
В качестве решения предлагается скачать новую версию с "взломанного" гитхаба?

"В ходе атаки на GitHub захвачены ключи для подписи приложени..."
Отправлено Аноним , 01-Фев-23 06:59 
Предлагается откатить системные часы на 2022 год :)