forum.opennet.ru - "Анализ подверженности репозиториев на GitHub атаке RepoJacking" (19)

"Анализ подверженности репозиториев на GitHub атаке RepoJacking"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Анализ подверженности репозиториев на GitHub атаке RepoJacking"	+/–
Сообщение от opennews (ok), 24-Июн-23, 11:25
Исследователи из компании Aqua Security проанализировали применимость атаки RepoJacking к репозиториям на GitHub. Суть проблемы в том, что после удаления или переименования проектов на GitHub, в сторонних репозиториях могут остаться ссылки на уже несуществующие имена, например, в документации, скриптах и инструкциях по установке из README-файлов. Атакующий может зарегистрировать на GitHub имя пользователя, повторяющее ранее существовавшее имя, разместить в репозитории с повторяющимся именем вредоносное ПО и ожидать, что кто-то загрузит его, пользуясь неисправленными руководствами или старым кодом, загружающим зависимости по старым ссылкам... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59339
Ответить \| Правка \| Cообщить модератору

Оглавление

Держать исходники на блокчейне -- было бы самым надёжным решением Держать в обл, Анониссимус (?), 13:17 , 24-Июн-23, (6) –6

Блокчейн ничем не лучше просто проверки контрольной суммы Но это только для кон, Всем Анонимам Аноним (?), 13:54 , 24-Июн-23, (8) +2

Лучше Чтобы добавить блок, нужно заплатить Т е чтобы создать repojacking надо , Аноним (14), 17:58 , 24-Июн-23, (14)

Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности пук бу, КО (?), 18:39 , 24-Июн-23, (16) +3

Можно Но вся централизация упирается в бесконечное количество всяких джекингов, Аноним (28), 04:59 , 26-Июн-23, (28)

чтобы взымать плату блокчейн не обязателенну а второй аргумент - по сути, можно , Бывалый смузихлёб (?), 10:17 , 25-Июн-23, (26)

Можно, но если это централизация, то привет проблемы гитхаба собственно имя это, Аноним (28), 04:52 , 26-Июн-23, (27)

У блокчейна есть одна важная особенность защита от подделки истории Если туда , Анониссимус (?), 20:40 , 24-Июн-23, (19) –1

Деньги Вы не против организовать нам всем халявный аналог гитхаба, раз уж так хо, Аноним (-), 13:55 , 24-Июн-23, (9)

Так есть же, но вы же сами им не пользуетесь Поколение рабов хочет жить по-царс, Аноним (14), 18:00 , 24-Июн-23, (15) +2

Если ты сейчас не про хостинг кода pashev ru, то больше не разговаривай со мной , Аноним (21), 22:30 , 24-Июн-23, (21) –1
пофиксил , Аноним (22), 23:37 , 24-Июн-23, (22)

В git целостность истории обеспечивается на основе дерева хешей Чем это не блок, Amonim (?), 21:26 , 24-Июн-23, (20) +5

Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого може, Анониссимус (?), 01:08 , 25-Июн-23, (23) –2

Чё правда , Аноним (30), 22:29 , 03-Июл-23, (30)

Я в устройстве гита глубоко не разбираюсь Но есть вполне понятные соображения , Анониссимус (?), 01:35 , 04-Июл-23, (31)

Хотелось бы детализации на основе ЯП, а то я подозреваю, что уязвимость сильно з, Аноним (-), 13:53 , 24-Июн-23, (7)

Может на всеми любимый тут go, Аноним (24), 07:19 , 25-Июн-23, (24)

Потому что гит это горбуха идеологически Вот и страдайте А нормальные люди пол, Аноним (29), 10:15 , 27-Июн-23, (29) +2

Сообщения [Сортировка по ответам | RSS]

6. Сообщение от Анониссимус (?), 24-Июн-23, 13:17 –6 +/–

Держать исходники на блокчейне -- было бы самым надёжным решением. Держать в облачном сервисе -- самое ненадёжное.
Есть ещё компромиссный вариант: держать на своём сервере. Вот что мешало например гуглу хранить свою либу на своём сервере? Но нет же, всем гетхапчик подавай.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9, #20

7. Сообщение от Аноним (-), 24-Июн-23, 13:53 +/–

Хотелось бы детализации на основе ЯП, а то я подозреваю, что уязвимость сильно завязана на лефтпады.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

8. Сообщение от Всем Анонимам Аноним (?), 24-Июн-23, 13:54 +2 +/–

Блокчейн ничем не лучше просто проверки контрольной суммы. Но это только для конкретной версии.
Если нужна последняя версия, то тогда блокчейн не спасет в случае кражи ключей. Более того, будет куча исходников, которые навечно будут туда ссылаться. Поэтому этот вирус будут получать и через 50 лет.
Нет простых и идеальных решений.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #14, #19

9. Сообщение от Аноним (-), 24-Июн-23, 13:55 +/–

Деньги.
Вы не против организовать нам всем халявный аналог гитхаба, раз уж так хорошо разбираетесь в надежности и что кому мешает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #15

14. Сообщение от Аноним (14), 24-Июн-23, 17:58 +/–

> Блокчейн ничем не лучше просто проверки контрольной суммы.
Лучше.
Чтобы добавить блок, нужно заплатить. Т.е. чтобы создать repojacking надо заплатить хотя бы минимальную комиссию за каждый репозиторий (а скорее всего существенно больше, зависит от реализации), что резко сужает круг репозиториев, которые имеет смысл реподжектить.
Во-вторых в биткойне (а остальные блокчейны не нужны) ещё и по адресу можно определять владельца. Т.е. это не только контрольная сумма, но и подпись. Владеешь кошельком - значит владеешь репозиторием (что все же лучше по безопасности чем емейл/пароль на гитлабе). Есть даже аутентификации на lightining (LNURL-auth).
> Более того, будет куча исходников, которые навечно будут туда ссылаться. Поэтому этот вирус будут получать и через 50 лет.
Но и полезный софт тоже будет доступен через 50 лет. Кроме того пользователи легко смогут отфильтровать проекты по времени.
> Нет простых и идеальных решений.
Абсолютно верно! В наше время любят про это забывать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #16, #26

15. Сообщение от Аноним (14), 24-Июн-23, 18:00 +2 +/–

Так есть же, но вы же сами им не пользуетесь. Поколение рабов хочет жить по-царски, но боится ломать цепи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21, #22

16. Сообщение от КО (?), 24-Июн-23, 18:39 +3 +/–

Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности пук будет примерно такой же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #28

19. Сообщение от Анониссимус (?), 24-Июн-23, 20:40 –1 +/–

> Блокчейн ничем не лучше просто проверки контрольной суммы. Но это только для
> конкретной версии.
> Если нужна последняя версия, то тогда блокчейн не спасет в случае кражи
> ключей. Более того, будет куча исходников, которые навечно будут туда ссылаться.
> Поэтому этот вирус будут получать и через 50 лет.
> Нет простых и идеальных решений.
У блокчейна есть одна важная особенность: защита от подделки истории. Если туда что-то записано, изменить это нельзя (если это сильный блокчейн). Поэтому, теоретически, разные библиотеки и пр. можно было бы аудировать и конкретные версии записывать в блокчейн (или хеш просто). Тогда эта конкретная версия ПО была бы защищена и от потенциальных взломщиков, и даже от самого автора софта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

20. Сообщение от Amonim (?), 24-Июн-23, 21:26 +5 +/–

В git целостность истории обеспечивается на основе дерева хешей. Чем это не блокчейн? В основе те же принцыпы и технологии.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #23

21. Сообщение от Аноним (21), 24-Июн-23, 22:30 –1 +/–

Если ты сейчас не про хостинг кода pashev.ru, то больше не разговаривай со мной никогда.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (22), 24-Июн-23, 23:37 +/–

>рабы хотят вкалывать бесплатно, делая свои никому кроме них не нужные хобби-проекты, но при этом чтобы их хобби оплачивал кто-то другой
пофиксил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

23. Сообщение от Анониссимус (?), 25-Июн-23, 01:08 –2 +/–

Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить. А в блокчейне это невозможно, если только не завладеешь контролем над всей сетью.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #30

24. Сообщение от Аноним (24), 25-Июн-23, 07:19 +/–

Может на всеми любимый тут go

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

26. Сообщение от Бывалый смузихлёб (?), 25-Июн-23, 10:17 +/–

чтобы взымать плату блокчейн не обязателен
ну а второй аргумент - по сути, можно просто сделать доступ по ИД репы без возможности его менять

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #27

27. Сообщение от Аноним (28), 26-Июн-23, 04:52 +/–

> чтобы взымать плату блокчейн не обязателен
> ну а второй аргумент - по сути, можно просто сделать доступ по
> ИД репы без возможности его менять
Можно, но если это централизация, то привет проблемы гитхаба (собственно имя это ид, а то что его можно менять это бага, то что ид станет цифровым, не избавит от багов, не говоря уже о других проблемах, на мой взгляд более весомых).
Если это децентрализация, то нужны методы борьбы с фейками. В биткойне уже это есть (собственно он изначально и вырос из антиспамера для почты).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

28. Сообщение от Аноним (28), 26-Июн-23, 04:59 +/–

> Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности
> пук будет примерно такой же.
Можно. Но вся централизация упирается в бесконечное количество всяких *джекингов, фишингов, атак на владельца, злоупотреблений и пр. Ну а с децентрализацией предлагайте, попробую рассказать почему этот способ хуже (ну или позорно посыплю голову пеплом если предложите что-то стоящее).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

29. Сообщение от Аноним (29), 27-Июн-23, 10:15 +2 +/–

Потому что гит это горбуха идеологически. Вот и страдайте. А нормальные люди пользовались и будут пользоваться централизованными, платными сервисами.

Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Аноним (30), 03-Июл-23, 22:29 +/–

> Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить.
Чё правда?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #31

31. Сообщение от Анониссимус (?), 04-Июл-23, 01:35 +/–

>> Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить.
> Чё правда?
Я в устройстве гита глубоко не разбираюсь. Но есть вполне понятные соображения. Репозиторий чаще всего хранится на одном главном хосте (хоть система и является распределённой). С этого же главного хоста потом и скачиваются исходники. И если тот, кто управляет главным репозиторием (или тот, кто захватил контроль) внедрит какой-нибудь вредонос в исходники; то те, кто делает `git clone` (пользователи, мейнтейнеры, скрипты -- не важно) ничего не заметят. Потому что почти никто не будет сверять хеши. Да и с чем сверять? Где хранится хеш от "правильной", не подменённой версии ПО? Такую проблему может решить только хранилище, в котором историю действительно невозможно переписать задним числом. И насколько я знаю, единственной такой технологией является блокчейн.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

6. Сообщение от Анониссимус (?), 24-Июн-23, 13:17	–6 +/–
Держать исходники на блокчейне -- было бы самым надёжным решением. Держать в облачном сервисе -- самое ненадёжное. Есть ещё компромиссный вариант: держать на своём сервере. Вот что мешало например гуглу хранить свою либу на своём сервере? Но нет же, всем гетхапчик подавай.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #9, #20

7. Сообщение от Аноним (-), 24-Июн-23, 13:53	+/–
Хотелось бы детализации на основе ЯП, а то я подозреваю, что уязвимость сильно завязана на лефтпады.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24

8. Сообщение от Всем Анонимам Аноним (?), 24-Июн-23, 13:54	+2 +/–
Блокчейн ничем не лучше просто проверки контрольной суммы. Но это только для конкретной версии. Если нужна последняя версия, то тогда блокчейн не спасет в случае кражи ключей. Более того, будет куча исходников, которые навечно будут туда ссылаться. Поэтому этот вирус будут получать и через 50 лет. Нет простых и идеальных решений.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #14, #19

9. Сообщение от Аноним (-), 24-Июн-23, 13:55	+/–
Деньги. Вы не против организовать нам всем халявный аналог гитхаба, раз уж так хорошо разбираетесь в надежности и что кому мешает?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #15

14. Сообщение от Аноним (14), 24-Июн-23, 17:58	+/–
> Блокчейн ничем не лучше просто проверки контрольной суммы. Лучше. Чтобы добавить блок, нужно заплатить. Т.е. чтобы создать repojacking надо заплатить хотя бы минимальную комиссию за каждый репозиторий (а скорее всего существенно больше, зависит от реализации), что резко сужает круг репозиториев, которые имеет смысл реподжектить. Во-вторых в биткойне (а остальные блокчейны не нужны) ещё и по адресу можно определять владельца. Т.е. это не только контрольная сумма, но и подпись. Владеешь кошельком - значит владеешь репозиторием (что все же лучше по безопасности чем емейл/пароль на гитлабе). Есть даже аутентификации на lightining (LNURL-auth). > Более того, будет куча исходников, которые навечно будут туда ссылаться. Поэтому этот вирус будут получать и через 50 лет. Но и полезный софт тоже будет доступен через 50 лет. Кроме того пользователи легко смогут отфильтровать проекты по времени. > Нет простых и идеальных решений. Абсолютно верно! В наше время любят про это забывать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #16, #26

15. Сообщение от Аноним (14), 24-Июн-23, 18:00	+2 +/–
Так есть же, но вы же сами им не пользуетесь. Поколение рабов хочет жить по-царски, но боится ломать цепи.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #21, #22

16. Сообщение от КО (?), 24-Июн-23, 18:39	+3 +/–
Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности пук будет примерно такой же.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #28

19. Сообщение от Анониссимус (?), 24-Июн-23, 20:40	–1 +/–
> Блокчейн ничем не лучше просто проверки контрольной суммы. Но это только для > конкретной версии. > Если нужна последняя версия, то тогда блокчейн не спасет в случае кражи > ключей. Более того, будет куча исходников, которые навечно будут туда ссылаться. > Поэтому этот вирус будут получать и через 50 лет. > Нет простых и идеальных решений. У блокчейна есть одна важная особенность: защита от подделки истории. Если туда что-то записано, изменить это нельзя (если это сильный блокчейн). Поэтому, теоретически, разные библиотеки и пр. можно было бы аудировать и конкретные версии записывать в блокчейн (или хеш просто). Тогда эта конкретная версия ПО была бы защищена и от потенциальных взломщиков, и даже от самого автора софта.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

20. Сообщение от Amonim (?), 24-Июн-23, 21:26	+5 +/–
В git целостность истории обеспечивается на основе дерева хешей. Чем это не блокчейн? В основе те же принцыпы и технологии.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #23

21. Сообщение от Аноним (21), 24-Июн-23, 22:30	–1 +/–
Если ты сейчас не про хостинг кода pashev.ru, то больше не разговаривай со мной никогда.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (22), 24-Июн-23, 23:37	+/–
>рабы хотят вкалывать бесплатно, делая свои никому кроме них не нужные хобби-проекты, но при этом чтобы их хобби оплачивал кто-то другой пофиксил.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

23. Сообщение от Анониссимус (?), 25-Июн-23, 01:08	–2 +/–
Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить. А в блокчейне это невозможно, если только не завладеешь контролем над всей сетью.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #30

24. Сообщение от Аноним (24), 25-Июн-23, 07:19	+/–
Может на всеми любимый тут go
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

26. Сообщение от Бывалый смузихлёб (?), 25-Июн-23, 10:17	+/–
чтобы взымать плату блокчейн не обязателен ну а второй аргумент - по сути, можно просто сделать доступ по ИД репы без возможности его менять
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #27

27. Сообщение от Аноним (28), 26-Июн-23, 04:52	+/–
> чтобы взымать плату блокчейн не обязателен > ну а второй аргумент - по сути, можно просто сделать доступ по > ИД репы без возможности его менять Можно, но если это централизация, то привет проблемы гитхаба (собственно имя это ид, а то что его можно менять это бага, то что ид станет цифровым, не избавит от багов, не говоря уже о других проблемах, на мой взгляд более весомых). Если это децентрализация, то нужны методы борьбы с фейками. В биткойне уже это есть (собственно он изначально и вырос из антиспамера для почты).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26

28. Сообщение от Аноним (28), 26-Июн-23, 04:59	+/–
> Все эти ваши смузидвижения можно произвести и без блокчейна и по мощности > пук будет примерно такой же. Можно. Но вся централизация упирается в бесконечное количество всяких *джекингов, фишингов, атак на владельца, злоупотреблений и пр. Ну а с децентрализацией предлагайте, попробую рассказать почему этот способ хуже (ну или позорно посыплю голову пеплом если предложите что-то стоящее).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

29. Сообщение от Аноним (29), 27-Июн-23, 10:15	+2 +/–
Потому что гит это горбуха идеологически. Вот и страдайте. А нормальные люди пользовались и будут пользоваться централизованными, платными сервисами.
Ответить \| Правка \| Наверх \| Cообщить модератору

30. Сообщение от Аноним (30), 03-Июл-23, 22:29	+/–
> Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить. Чё правда?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #31

31. Сообщение от Анониссимус (?), 04-Июл-23, 01:35	+/–
>> Отличие в том, что в гите можно перестроить это дерево хешей, и никто этого может и не заметить. > Чё правда? Я в устройстве гита глубоко не разбираюсь. Но есть вполне понятные соображения. Репозиторий чаще всего хранится на одном главном хосте (хоть система и является распределённой). С этого же главного хоста потом и скачиваются исходники. И если тот, кто управляет главным репозиторием (или тот, кто захватил контроль) внедрит какой-нибудь вредонос в исходники; то те, кто делает `git clone` (пользователи, мейнтейнеры, скрипты -- не важно) ничего не заметят. Потому что почти никто не будет сверять хеши. Да и с чем сверять? Где хранится хеш от "правильной", не подменённой версии ПО? Такую проблему может решить только хранилище, в котором историю действительно невозможно переписать задним числом. И насколько я знаю, единственной такой технологией является блокчейн.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30