يوم آخر ، خرق آخر لقاعدة بيانات تعتمد على رمز الوصول.
هذه المرة ، الضحية (ومن بعض النواحي ، بالطبع ، الجاني أيضًا) هو Microsoft GitHub جيثب: عمل.
يدعي GitHub أنه رصدت الخرق بسرعة ، في اليوم التالي لحدوثه ، ولكن بحلول ذلك الوقت كان الضرر قد حدث:
في 6 ديسمبر 2022 ، مستودعاتنا من
atom
,desktop
، وغيرها من المؤسسات المملوكة لشركة GitHub التي تم إهمالها من خلال رمز وصول شخصي (PAT) تم اختراقه مرتبط بحساب الجهاز. بمجرد اكتشافه في 7 ديسمبر 2022 ، قام فريقنا على الفور بإلغاء بيانات الاعتماد المخترقة وبدأ في التحقيق في التأثير المحتمل على العملاء والأنظمة الداخلية.
ببساطة: استخدم شخص ما رمز وصول تم إنشاؤه مسبقًا تم الحصول عليه من من يعرف مكانًا لامتصاص محتويات مستودعات كود المصدر المختلفة التي تنتمي إلى GitHub نفسها.
نحن نخمن أن GitHub تحتفظ بالكود الخاص بها على GitHub (سيكون تصويتًا بعدم الثقة في نفسها إذا لم تفعل ذلك!) ، ولكن لم يتم اختراق شبكة GitHub الأساسية أو البنية التحتية للتخزين ، فقط بعض مشاريع GitHub الخاصة التي تم تخزينها هناك.
رؤوس الجسور والحركة الجانبية
فكر في هذا الانتهاك مثل المحتال الذي يحصل على كلمة مرور أرشيف البريد الإلكتروني في Outlook وتنزيل رسائل الشهر الماضي.
بحلول الوقت الذي لاحظت فيه ، كان بريدك الإلكتروني قد اختفى بالفعل ، ولكن لن يتأثر Outlook نفسه ولا حسابات المستخدمين الآخرين بشكل مباشر.
لاحظ ، مع ذلك ، استخدامنا الدقيق للكلمة "مباشرة" في الجملة السابقة ، لأن اختراق حساب واحد على نظام ما قد يؤدي إلى تأثيرات غير مباشرة ضد مستخدمين آخرين ، أو حتى ضد النظام ككل.
على سبيل المثال ، من شبه المؤكد أن حساب البريد الإلكتروني لشركتك يحتوي على مراسلات من وإلى زملائك وقسم تكنولوجيا المعلومات وشركات أخرى.
في رسائل البريد الإلكتروني هذه ، ربما تكون قد كشفت عن معلومات سرية حول أسماء الحسابات وتفاصيل النظام وخطط العمل وبيانات اعتماد تسجيل الدخول والمزيد.
يُعرف استخدام ذكاء الهجوم من جزء واحد من النظام للتلوي إلى أجزاء أخرى من نفس النظام أو أنظمة أخرى في المصطلحات باسم الحركة الجانبية، حيث يحدد المجرمون الإلكترونيون أولاً ما يمكن أن تسميه "رأس جسر التسوية" ، ثم يحاولون توسيع نطاق وصولهم من هناك.
ماذا يوجد في مستودعاتك على أي حال؟
في حالة قواعد بيانات التعليمات البرمجية المصدر المسروقة ، سواء تم تخزينها على GitHub أو في أي مكان آخر ، هناك دائمًا خطر يتمثل في أن المستودع الخاص قد يتضمن بيانات اعتماد الوصول إلى أنظمة أخرى ، أو السماح لمجرمي الإنترنت بالحصول على شهادات توقيع التعليمات البرمجية التي يتم استخدامها بالفعل عند إنشاء برنامج للإصدار العام.
في الواقع ، يمكن أن يكون هذا النوع من تسريب البيانات مشكلة للمستودعات العامة ، بما في ذلك مشاريع التعليمات البرمجية مفتوحة المصدر غير السرية ، والتي من المفترض أن تكون قابلة للتنزيل من قبل أي شخص.
يمكن أن يحدث تسرب البيانات مفتوحة المصدر عندما يقوم المطورون عن غير قصد بتجميع الملفات الخاصة من شبكة التطوير الخاصة بهم في حزمة التعليمات البرمجية العامة التي يقومون بتحميلها في النهاية ليتمكن الجميع من الوصول إليها.
يمكن أن يؤدي هذا النوع من الخطأ إلى تسريب عام جدًا (وقابل للبحث بشكل عام) لملفات التكوين الخاصة ، والخادم الخاص مفاتيح الوصولوالشخصية رموز الوصول وكلمات المرور وحتى كاملة أشجار الدليل التي كانت ببساطة في المكان الخطأ في الوقت الخطأ.
للأفضل أو للأسوأ ، استغرق الأمر GitHub ما يقرب من شهرين لمعرفة مقدار الأشياء التي حصل عليها المهاجمون في هذه الحالة ، ولكن الإجابات قد انتهت الآن ، ويبدو الأمر كما لو:
- حصل المحتالون على شهادات توقيع التعليمات البرمجية لمنتجات GitHub Desktop و Atom. هذا يعني ، من الناحية النظرية ، أنه يمكنهم نشر برامج محتالة مع ختم رسمي للموافقة عليها من Github. لاحظ أنك لن تحتاج بالفعل إلى أن تكون مستخدمًا حاليًا لأي من هذه المنتجات المحددة ليتم خداعك - يمكن للمجرمين منح تصريح GitHub لأي برنامج يريدونه تقريبًا.
- تم تشفير شهادات التوقيع المسروقة ، ويبدو أن المحتالين لم يحصلوا على كلمات المرور. هذا يعني ، من الناحية العملية ، أنه على الرغم من أن المحتالين لديهم الشهادات ، فلن يتمكنوا من استخدامها ما لم يتم كسر كلمات المرور هذه.
العوامل المخففة
يبدو هذا وكأنه أخبار جيدة لما كان بداية سيئة ، وما يجعل الأخبار أفضل حتى الآن هو:
- ثلاث فقط من الشهادات لم تنتهي صلاحيتها بعد يوم سرقتها. لا يمكنك استخدام شهادة منتهية الصلاحية لتوقيع رمز جديد ، حتى إذا كانت لديك كلمة المرور لفك تشفير الشهادة.
- انتهت صلاحية إحدى الشهادات المسروقة مؤقتًا بتاريخ 2023-01-04. كانت تلك الشهادة لتوقيع برامج Windows.
- الشهادة الثانية المسروقة تنتهي غدا 2023-02-01. هذه أيضًا شهادة توقيع لبرنامج Windows.
- تنتهي صلاحية الشهادة الأخيرة فقط في عام 2027. هذا واحد لتوقيع تطبيقات Apple ، لذلك يقول GitHub إنه كذلك "العمل مع Apple لمراقبة أي [...] تطبيقات جديدة موقعة." لاحظ أن المحتالين سيظلون بحاجة إلى كسر كلمة مرور الشهادة أولاً.
- سيتم إبطال جميع الشهادات المتأثرة بتاريخ 2023-02-02. تتم إضافة الشهادات التي تم إبطالها إلى قائمة تحقق خاصة يمكن أن تستخدمها أنظمة التشغيل (جنبًا إلى جنب مع التطبيقات مثل المتصفحات) لحظر المحتوى المضمون بشهادات لا ينبغي الوثوق بها بعد الآن.
- وفقًا لـ GitHub ، لم يتم إجراء أي تغييرات غير مصرح بها على أي من المستودعات التي تم امتصاصها. يبدو أن هذا كان بمثابة حل وسط "للقراءة فقط" ، حيث كان المهاجمون قادرين على النظر ، ولكن ليس اللمس.
ماذا ستفعلين.. إذًا؟
الخبر السار هو أنه إذا لم تكن من مستخدمي GitHub Desktop أو Atom ، فلا يوجد ما تحتاج إلى القيام به على الفور.
إذا كان لديك جيثب سطح المكتب، فأنت بحاجة إلى الترقية قبل الغد ، للتأكد من أنك استبدلت أي مثيلات للتطبيق تم توقيعها بشهادة على وشك أن يتم تمييزها بأنها سيئة.
إذا كنت لا تزال تستخدم ذرة (التي تم إيقافها في يونيو 2022 ، وانتهت حياتها كمشروع رسمي لبرنامج GitHub في 2022-12-15) ، ستحتاج إلى حد ما إلى فضول تخفيض إلى إصدار أقدم قليلاً لم يتم توقيعه بشهادة مسروقة الآن.
نظرًا لأن Atom قد وصلت بالفعل إلى نهاية حياتها الرسمية ، ولن تتلقى المزيد من التحديثات الأمنية ، فمن المحتمل أن تستبدلها على أي حال. (يبدو أن برنامج Visual Studio Code الشهير للغاية ، والذي ينتمي أيضًا إلى Microsoft ، هو السبب الرئيسي لإيقاف Atom في المقام الأول.)
إذا كنت مطورًا أو مدير برامج بنفسك ...
... لماذا لا تستخدم هذا كحافز للذهاب والتحقق:
- من الذي يمكنه الوصول إلى أي أجزاء من شبكتنا التنموية؟ خاصة بالنسبة للمشاريع القديمة أو التي انتهى عمرها ، هل هناك أي مستخدمين قديمين لا يزال لديهم وصول متبقي لا يحتاجون إليه بعد الآن؟
- ما مدى دقة الوصول إلى مستودع الأكواد الخاص بنا؟ هل يمتلك أي مستخدم كلمات مرور أو رموز وصول يمكن بسهولة سرقتها أو إساءة استخدامها إذا تم اختراق أجهزة الكمبيوتر الخاصة بهم؟
- هل قام أي شخص بتحميل ملفات لا ينبغي أن تكون موجودة؟ يمكن أن يضلل Windows حتى المستخدمين ذوي الخبرة عن طريق منع الامتدادات في نهاية أسماء الملفات ، لذلك لا تكون متأكدًا دائمًا من أي ملف. تخفي أنظمة Linux و Unix ، بما في ذلك macOS ، تلقائيًا من العرض (ولكن ليس من الاستخدام!) أي ملفات وأدلة تبدأ بحرف نقطة (نقطة).
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- ماهرون
- من نحن
- مطلق
- الوصول
- حسابي
- الحسابات
- المكتسبة
- في الواقع
- وأضاف
- بعد
- ضد
- الكل
- سابقا
- دائما
- و
- آخر
- الأجوبة
- أي شخص
- التطبيق
- تفاح
- موافقة
- التطبيقات
- أرشيف
- أسوشيتد
- ذرة
- مهاجمة
- المؤلفة
- السيارات
- تلقائيا
- خلفية الصورة
- سيئة
- لان
- قبل
- بدأ
- أفضل
- حظر
- الحدود
- الملابس السفلية
- خرق
- المتصفحات
- ابني
- حزمة
- الأعمال
- دعوة
- حذر
- بعناية
- حقيبة
- مركز
- بالتأكيد
- شهادة
- الشهادات
- التغييرات
- حرف
- التحقق
- مطالبات
- الكود
- الزملاء
- اللون
- الشركات
- حل وسط
- تسوية
- أجهزة الكمبيوتر
- الثقة
- الاعداد
- يحتوي
- محتوى
- محتويات
- منظمة
- استطاع
- الدورة
- بهيكل
- صدع
- أوراق اعتماد
- المجرمين
- المحتالون
- العملاء
- مجرمو الإنترنت
- البيانات
- تسرب البيانات
- قاعدة البيانات
- قواعد البيانات
- يوم
- ديسمبر
- فك تشفير
- القسم
- سطح المكتب
- تفاصيل
- الكشف عن
- المطور
- المطورين
- التطوير التجاري
- مباشرة
- الدلائل
- العرض
- لا
- DOT
- إلى أسفل
- بسهولة
- الآثار
- إما
- في مكان آخر
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- مشفرة
- ضمان
- كامل
- خاصة
- إنشاء
- حتى
- كل شخص
- مثال
- القائمة
- تمكنت
- مد
- اضافات المتصفح
- الشكل
- قم بتقديم
- ملفات
- الاسم الأول
- مرصوف
- تبدأ من
- دولار فقط واحصل على خصم XNUMX% على جميع
- الحصول على
- GitHub جيثب:
- منح
- Go
- خير
- يحدث
- حدث
- ارتفاع
- إخفاء
- عقد
- تحوم
- كيفية
- لكن
- HTTPS
- فورا
- التأثير
- in
- حافز
- تتضمن
- بما فيه
- معلومات
- البنية التحتية
- رؤيتنا
- داخلي
- IT
- نفسها
- رطانة
- معروف
- اسم العائلة
- قيادة
- تسرب
- إرث
- الحياة
- لينكس
- مقفل
- يعد
- بحث
- تبدو
- آلة
- ماك
- صنع
- يصنع
- مدير
- هامش
- ماكس العرض
- يعني
- رسائل
- مایکروسافت
- ربما
- خطأ
- مخففا
- مراقبة
- المقبلة.
- الأكثر من ذلك
- أسماء
- تقريبا
- حاجة
- لا هذا ولا ذاك
- شبكة
- جديد
- أخبار
- عادي
- رسمي
- ONE
- المصدر المفتوح
- تعمل
- أنظمة التشغيل
- المنظمات
- أخرى
- بريد اوتلوك
- الخاصة
- صفقة
- جزء
- أجزاء
- كلمة المرور
- كلمات السر
- بول
- فترة
- الشخصية
- المكان
- خطط
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- ان يرتفع المركز
- المنشورات
- محتمل
- ممارسة
- جميل
- سابق
- ابتدائي
- خاص
- المحتمل
- المشكلة
- المنتجات
- البرامج
- تنفيذ المشاريع
- مشروع ناجح
- جمهور
- علانية
- نشر
- وضع
- بسرعة
- التي تم الوصول إليها
- سبب
- الافراج عن
- يحل محل
- استبدال
- مستودع
- أظهرت
- المخاطرة
- نفسه
- الثاني
- سيكريت
- أمن
- تحديثات الأمان
- يبدو
- عقوبة
- ينبغي
- إشارة
- وقعت
- التوقيع
- ببساطة
- So
- تطبيقات الكمبيوتر
- الصلبة
- بعض
- شخص ما
- شيء
- قليلا
- مصدر
- شفرة المصدر
- تختص
- محدد
- بداية
- لا يزال
- مسروق
- تخزين
- تخزين
- ستوديو
- هذه
- مفترض
- SVG
- نظام
- أنظمة
- فريق
- •
- من مشاركة
- هناك.
- هذا الأسبوع
- ثلاثة
- الوقت
- إلى
- رمز
- الرموز
- غدا
- تيشرت
- تواصل
- انتقال
- شفاف
- افضل
- في النهاية
- التي تقوم عليها
- يونيكس
- آخر التحديثات
- ترقية
- تم التحميل
- URL
- تستخدم
- مستخدم
- المستخدمين
- مختلف
- الإصدار
- ضحية
- المزيد
- تصويت
- مطلوب
- طرق
- أسبوع
- ابحث عن
- سواء
- التي
- من الذى
- سوف
- نوافذ
- كلمة
- قيمة
- سوف
- خاطئ
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت