YouTube-dl事件刚刚过去不久,GitHub又登上了Hacker News榜首。
原因是其源代码被全部泄露!
从开发者Resynth 发表的一篇博客中了解到,在一个向 GitHub 官方 DMCA 仓库提交的可疑 Commit 中,一名不明身份人员利用 GitHub 应用程序中的bug 假冒GitHub CEO 奈特·弗里德曼 (Nat Friedman)上传了机密源代码。
泄露文件已被全部删除
GitHub想必大家都非常熟悉,它是一个大型代码存储库,主要为企业和开发人员提供托管项目和服务代码。苹果,亚马逊,谷歌,Facebook以及其他许多大型科技公司都是其主要客户。同时,GitHub已托管超过1亿个存储库,为4000万开发人员提供资源支持。
因此,此泄露事件一出便迅速冲上了Hacker News热搜,不少开发者表示为GitHub平台的安全性感到担忧。
对此,GitHub CEO Friedman本人则第一时间在热帖下做出了解释。他表示,
GitHub没有被黑客入侵,被泄露的是部分GitHub Enterprise Server源代码。二者虽然共享大量代码,但GitHub主要是由Ruby编写,还是有很大差异的。
另外,这一事件的起因是几个月前,开发人员无意间将企业 服务器 源代码的未脱敏/混淆的 tarball 交付给了一些客户造成的。我们正在全力修复平台Bug,防止未经授权的不明人士通过伪造身份随意盗用、修改他人项目。
最后,Friedman为了安抚用户甚至还吟了首勃朗宁的诗:一切都很好,情况也很正常,云雀展翅飞翔,蜗牛在荆棘上爬动,世上一切顺当!
不过,开发者们对此回应并不买账。从他们的吐槽来看,Github代码管理系统早已存在多项Bug,比如提交代码时,Git不会对用户身份进行核验。这一点会给源代码带来极大的安全风险,但GitHub平台对此从未重视过。
另外,有人表示正是利用这一缺陷,不明人士才得以冒充Friedman身份发布了机密代码。
Git,是Github用来托管源代码的分布式版本管理系统,简单来说,就是源代码管理器。
它的设计存在一种明显的缺陷,即没有为防止其他用户盗用提供太多的保护。具体来说,Git 上传代码文件的过程,类似于发送电子邮件。用户可以在user.name和user.email字段中输入任何信息。这一过程中,如果两个字段之间不采用GPG密钥关联,系统就不会核查它的指定来源,那么信息造假会变得非常容易。
上述不明人士顺利提交成功,显然是Friedman没为相关字段建立GPG(General Planning Group)密钥。
那么,在绕过这层限制后,不明人士又是如何提交至存储库,同时又不损害实际存在账户的?据了解,将提交内容上传到Git存储库会得到一个散列,可用于查找树。GitHub是Web应用程序的一部分,提供了对浏览器中底层Git结构的访问权限,因此,它可以将Git存储库的所有分支存储在一个单独的底层存储库中,尽管通常不会在URL结构中显示这种方式。
为了假冒别人的账户,不明人士首先需要克隆一个DMCA储存库。在扩展到存储库之后,再提交泄漏源代码,并伪造成Friedman的姓名和电子邮件地址。这个过程Fork存储库可能会出现错误,换句话说,URL可能依然指向假冒者真正的用户名和账户。
但在底层Git上,父级和Fork都是同一个存储库的一部分,这将允许假冒者创建一个URL,该URL可以在主存储库中提交,而不是在Fork中。
因此,假冒者从开始,将tree/$hash追加到末尾,其中$hash是攻击者自己的fork提交的散列值。
结果假冒者得以代替Friedman使用了一个URL在GitHub上提交了自己的机密代码。
值得一提的是,除了代码安全性的担忧之外,这件事也再度引起了开发者们对GitHub开源态度的关注。长久以来,GitHub 一直因为未公开源代码而饱受诟病,而恰好前几日,GitHub再度因封杀视频神器YouTube-dl而陷入舆论风波。
据了解,此次泄露事件的发生,很可能是这位不知名开发者对封杀YouTube-dl一事的报复。
上个月,在美国唱片业协会(RIAA)的要求下,GitHub 封禁了7.5万Star的热门开源项目 YouTube-dl。
当时RIAA其给出的理由是,YouTube-dl其违反了DMCA的反规避条款:
此源代码的明确目的是:1)规避 YouTube 等授权流媒体服务所使用的技术保护措施;2)未经授权复制和分发会员公司拥有的音乐视频和音频。3)除YouTube外,该源代码在 GitHub上支持更多网站下载视频。
但GitHub将YouTube-dl下架,却激怒了开发者们,他们在GitHub上复制并上传了大量代码副本,以此对该下架行为表示抗议。目前在GitHub上搜索YouTube-dl,相关结果高达4108个。
后来,GitHub公司法律团队不得不发出最新警告,称如果继续发布代码副本,可能会对其进行封号处理。
虽然造成此次泄露事件的不知名人士并未对此事公开表态,但有人猜测称可能是他对GitHub下架该项目的报复。
另外,在Friedman回应泄露事件的帖子下可以看到,不少网友对GitHub因DMCA协议而下架YouTube-dl表示不满。
还有一位用户表示,GitHub之所以这样做,很可能是因为微软是RIAA的成员。他说,DMCA 所要求的下架不是让代码版权所有者本身下架,GitHub作为一家倡导开源的独立公司,它不需要遵守RIAA的非法请求。
可以看出,网友们的不满显示是因为封禁一事与GitHub最初的开源初衷背道而驰。
2018年,微软以75亿美元的价格收购GitHub。新任 CEO Nat Friedman 曾表示:GitHub 将始终坚持开发者优先并独立运营。
Resynth在博客中也表示:微软一再强调致力于开源,这一点我们从很多商业广告中经常可以看到,它的目的是让微软出于开源发展的最前沿。
但现在来看,微软似乎并没有做到承诺的那样。而且YouTube-dl也只是最近发生的一例而已。事实上,GitHub因将其源代码保密的问题已经在业内广受批评。
另外,Resynth也提醒称,这次事件也不得不让人们担心 GitHub 源代码的安全性。因为闭源应用程序执行的是“隐蔽式安全 (Security By Obscurity)”,即源代码是隐藏的,目的是降低安全风险。如果 GitHub 真的公开源代码,很可能会损害其整体的安全性。
《喂——出来》续写
人们还是按照以往的秩序正常的生活着,陶醉在那“美丽、繁华”的大城市中,把“己所不欲”的东西都施于那深不可测的洞中。 有一天,在天色朦胧亮的时候,地壳微微发生了一点震动,把人们从睡梦中惊醒过来。 人们很快地意识到:是庙堂的那个洞的附近发生了意外,便纷纷跑到那里,想看个究竟。 果然,在某处的一块小小的空间,堆放着一些日记本、照片……开始,人们还感到很震惊,可是,渐渐的,习以为常,即使地壳的震动也不能打破人们“甜美的”梦乡。 就这样,日子一天天地过去了。 人们突然感觉到空气的气味几乎令人窒息,各种花、草、树木的清新的气息已被覆盖住,一种无能为力的感觉从人们心底油然而生。 就在此时,人们再一次想到了那个洞,便纷纷赶往,企图找到解决的办法。 然而,再去那个庙堂的路上,可怕的气味越来越烈,人们也好像迷路在这郊野。 “看啊,这不是那个洞吗?”“它怎么会在这儿?”“那个庙堂呢?”人们议论纷纷……此时,就在这嘈杂的议论声中,耳后传来了一阵痛哭声,人们顺着这声音向前走去,一个衣衫破旧、精神好像崩溃了的人出现在了人们的视线之中。 “这不是那个商人吗?”有人认出了他。 “你的填洞公司呢?”“不复存在了!……”他的脸色显得凄凉。 商人目光惨淡地望着远方。 人们感到奇怪,顺着商人的目光延伸望去——“这,这怎么出现了这么多山?”有个人好奇地向那些山的方向跑去,人们也迫不及待地想弄个究竟,一束束目光投向了那个人,渴望着他的答案。 “不,这不是山!”“那,是什么?”“是一些奇怪的东西,不知道是从哪儿冒出来的。 ”突然,他的眼睛折射出的光好像被什么东西吸住似的,就好像宇宙黑洞把光吸入,却不放出一样。 “怎么了?”有人问。 “这,……我从前丢入洞中的日记本!”其他人也在“山”中开采出了似曾相识的东西。 天气阴冷,乌云密布于天空之中,发出了一声声震耳欲聋的响声……风声冲灌着人们的两耳,雨点拍打着人们的肩膀,一股股寒气涌向人们的内心。 人们彼此互相凝望,却没有说出一句话,似乎明白了些什么…………
装系统总是蓝屏
你说故障我处理过,在重装系统过程中蓝屏:一种可能是你的硬盘有坏道,你可以尝试把整个硬盘格式化,然后再分区.另外一种可能你的主板有问题(包括BIOS),你可以把主板上的所有硬件拔掉(包括电池),也就是回复组装机状态.然后再重新把主机装好. 再如果两者都试了无效的话,那么问题也出来了,请更换一块新的硬盘. 祝你好运!
小石头飞出来之后续写
小石头飞出来以后…… 有一天,一位工人爬在一幢正在施工的大楼顶上工作,忽然,他听到头顶上传来了奇怪的叫声。 “喂——出来!” 然而,他抬起头来朝天上看了看,却什么也没有,晴空万里,清澈如洗。 他以为是刚才干得有点头晕了,产生了什么错觉。 他大声喊叫着,人们都围过来围观,半晌,只见一个秤砣由相同的方向从空中袭来,上面还绑着一节支离破碎的麻绳。 “是谁这么没有功德心!”人们喊道。 然后,源源不断地有怪事发生。 繁忙的公路上,时不时从空中掉下用铅做的箱子,公路都出现了撞车、塞车等交通事故。 警署的警察和警车根本不够用,并且许多箱子都摔得粉身碎骨,从中散发令人窒息的味道,许多人都晕倒在马路上、家中和公司里,城市的急救中心和许多医院也忙得不开交。 这成为了当时地头条重大新闻,各大媒体披露了社会各领域人士对此事的看法与观点。 接着,从天而降了许多大大小小的纸张,其中有机密文件、企业资料、有日记、账单、假钞、照片、情书,甚至还有许多不为人知的犯罪证据以及偷税单据等。 过了几天,突然从空中掉下来许多动物和人类的已经腐朽变质的尸体,大家都四散而逃。 有些世世代代居住于此的居民也都移民了。 更可怕的是,有一年冬天,在降雪时,天空突然下起了一些不明物质,经有关人员测定,这些物质是核反应堆的废料。 这场降雪使大面积土地和水域遭到严重核辐射。 近年来,农作物颗粒无收,鱼类、鸟类、哺乳类……大面积死亡,许多居们因皮肤大面积溃烂而死。 由于现存的市民寥寥无几、资金周转不灵,“填洞公司”——破产了。 那位商人携仅剩的一点资金跑到国外下海经商去了。 许多年老的居民经亲友的再三劝说仍不愿离开养育自己的这片热土,他们从未为以前所犯下的一切罪孽所忏悔,在他们眼中,这只是老天爷对自己的考验,只要咬紧牙关,就一定会挺过去的!因此,他们天天烧香拜佛,恳求老天爷还他们一片蔚蓝的天空。 过了几年,这座城市已完全被毒气所抱绕,被污水所淹没了,人类终究被大自然所征服了!当人们再次回首往日的辉煌时,不禁暗自慨叹。 这个城市中最后一个人类还剩最后一口气,他尽力睁大双眼,想看清这一切到底是不是个梦!事实无言地告诉他,不!死神一步步向他逼近,他仍旧不知所措,“老天对我不公平!”这是他的最后一句遗言。 人类为自己满斟了一杯苦酒,带着欣慰和喜悦将之一饮而尽……这又能怪谁呢…………
发表评论