LINUX.ORG.RU

Организация Gentoo на Github была взломана

 , ,


2

1

28 июня, где-то в районе 20:20 UTC, неизвестные заполучили контроль над организацией Gentoo на Github, модифицировали состояния репозиториев и страниц. На данный момент команда разработчиков работает над восстановлением.

Все зеркала проекта Gentoo на Github на данный момент считаются скомпрометированными. Это не касается непосредственно инфраструктуры Gentoo.

>>> Подробности

Deleted

Проверено: shell-script ()
Последнее исправление: cetjs2 (всего исправлений: 3)
Ответ на: комментарий от Deleted

я на ресурсы, которые редко посещаю даже не запоминаю пароль - если что, просто восстанавливают и генерю новый

grem ★★★★★
()
Ответ на: комментарий от Deleted

Ты что, сделать pwgen -scny 20 и запомнить этот бред каким-нить сохранятелем паролей ни как не возможно!

mandala ★★★★★
()
Ответ на: комментарий от grem

просто восстанавливают и генерю новый

Я.Браузер умеет генерить сложные пароли одним кликом рядом с кнопкой «запомнить» (нет, мне не платит яндекс, просто я смотрю тут открыть шелл и вбить команду многие не осиливают).

mandala ★★★★★
()
Ответ на: комментарий от mandala

Я не храню пароли, используя, встроенную запоминалку. Либо храню только посредством кукисов, всякие автозаполнения тоже отключены.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)

Почему взломали и объявили об этом после покупки гит-хаба компанией МС ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Потому что шизикам нужна пища для конспирологий.

Deleted
()
Ответ на: комментарий от Deleted

потому наверное когда касается дополнительных расходов финансовых гунту особо выбирать нечего.

Расходы можно снижать технологически, а можно - организационно. На данный момент расходы снижены организационными методами в первую очередь.

кстати не может ли этот инцедент стать тем, что вдохновит gentoo и они сделают собственый git объедиившись с остальными дистрами linux?

Зачем, когда git ничейный? Если захотят, свой сервис поднять смогут, но будут нести дополнительные затраты.

почему до сих пор акого нет, а какой то гитхаб есть и гитлаб есть, неужели вопрос только в бабле.

Savannah же. Да и сервисы типа github и gitlab - это в первую очередь предоставление услуг, причём не бесплатное.

Quasar ★★★★★
()
Ответ на: комментарий от jazzman

Мелкософт как раз на школьников делает ставку. Ведь они могут в будущем стать индусами.

Quasar ★★★★★
()

Ну что, всё? Нужно окончательно валить на exherbo?

Einstok_Fair ★★☆
()
Ответ на: комментарий от Deleted

GNU Savannah. Только туда не так просто попасть, да и не всем нравится этот сервис технически. В любом случае git не требует централизованного сервиса для работы, а перенести всё с гитхаба на адекватный на данный момент хостинг мало что трудно.

Quasar ★★★★★
()

Скорее бы уже этот убогий дистр для красноглазиков загнулся. Вы всё ещё конпеляете? Тогда мы идём к вам! rm -rf /* !

anonymous
()
Ответ на: комментарий от Quasar

понял благодарю, так он и не особо известный получается, первые три ссылки из гугла совсем не про это были, но это лирика, гугл странен проста, то учитывает интересы юзера при выдаче то не учитывает :)

Deleted
()

Наказать хакеров принудительной установкой Gentoo на срок от 1 до 3 лет. Мне кажется, достаточно сурово.

dpronyaev
()
Ответ на: комментарий от WindowsXP

«Если в кране нет воды,её выпила Майкрософт!»

anonymous
()
Ответ на: комментарий от dpronyaev

Хакеров Х накажешь, они тебя сами накажут, принудительным сносом этого говнища с гитхаба. И это, как по мне, вот ни капельки не сурово. Сурово было бы мочкануть костяк гентушных красноглазов автобусом, и что бы все подумали, что это несчастный случай.

anonymous
()

Все правильно. Gentoo изжил себя.

time_LORd
()
Ответ на: комментарий от grem

Я от критичных сервисов тоже не храню, а от вякого мусора почему нет?

mandala ★★★★★
()

А подскажите кто знает - как умыкаются пароли? Ну генерите вы его, допустим, неужели кто-то его брутфорсить будет? Нахрена слишком сильно заморачиваться вообще при создании паролей?

DiversantBivnev
()
Ответ на: комментарий от Zlogene

А саму репозиторий отключили до починки или вообще удалили (показывает ошибку 404) и собираются поднять заново?

grem ★★★★★
()
Ответ на: комментарий от Quasar

когда начнётся тотальный запрет установки приложений.

а сколько ждать еще не подскажете?

cuelebra
()

Казалось бы, причем тут микрософт.

entefeed ☆☆☆
()

ясно-понятно, воблака во все поля.

скоро хомячки будут радостно кушать запереподписанные блобы и на предложения кочнуть опсоц неистово крутить пальцем у виска(ря).

печально конечно, но когда утятя начинают раздувать код, скрипты, наворачивать всего, то финал, вот, предсказуем

Deleted
()

Обновление:

Update: 04:26 UTC. Gentoo has regained control of the the Gentoo Github Organization. We are currently working with Github on a procedure for resolution. Please continue to refrain from using code from the Gentoo Github Organization. Development of Gentoo primarily takes place on Gentoo operated hardware (not on github) and remains unaffected. We continue to work with Github on establishing a timeline of what happened and we commit to sharing this with the community as soon as we can.

Today 28 June at approximately 20:20 UTC unknown individuals have gained control of the Github Gentoo organization, and modified the content of repositories as well as pages there. We are still working to determine the exact extent and to regain control of the organization and its repositories. All Gentoo code hosted on github should for the moment be considered compromised.

This does NOT affect any code hosted on the Gentoo infrastructure. Since the master Gentoo ebuild repository is hosted on our own infrastructure and since Github is only a mirror for it, you are fine as long as you are using rsync or webrsync from gentoo.org.

Also, the gentoo-mirror repositories including metadata are hosted under a separate Github organization and likely not affected as well.

All Gentoo commits are signed, and you should verify the integrity of the signatures when using git.

More updates will follow.


Обновление: 04:26 UTC. Gentoo восстановила контроль над «Gentoo Github Organization». В данный момент работаем совместно с Github над процедурой разрешения проблемы. Пожалуйста, продолжайте воздерживаться от использования кода полученного из репозитория «Gentoo Github Organization». Разработка Gentoo преимущественно ведётся на собственной площадке оборудования Gentoo (не на Github) и остаётся незатронутой упомянутым взломом. Мы продолжаем работу совместно с Github над установлением хронологии событий того, что произошло и мы обязательно сообщим сообществу детали как только сможем.

Сегодня, 28 июня примерно в 20:20 UTC неизвестные получили контроль над «Github Gentoo organization» и изменили содержимое репозиториев и его страниц. Мы продолжаем работать над установлением степени повреждений и восстановлением контроля над «организацией» и её репозиториев. Весь код из репозитория Gentoo на github должен рассматриваться в данный момент как скомпрометированный.

Атака НЕ ЗАТРАГИВАЕТ любой код, хранящийся в инфраструктуре Gentoo. Так как master Gentoo ebuild репозиторий расположен в собственной инфраструктуре Gentoo и так как на Github расположено только зеркало, вы в безопасности, пока используете rsync или webrsync с gentoo.org.

Также, gentoo-mirror репозитории включающие metadata привязаны к отдельной «организации» внутри Github и, вероятно, также не пострадали.

Все Gentoo коммиты подписываются и вы должны проверять целостность подписей в случае, если используте git.

Последующие обновления будут позже.

grem ★★★★★
()
Ответ на: комментарий от Quasar

GNU Savannah. Только туда не так просто попасть

Зачем им куда-то попадать? У них собственные сервера есть и площадка, где основная разработка ведётся. На гитхабе только зеркала.

grem ★★★★★
()
Ответ на: комментарий от olegd

В 2016 сервере сумели сломать стартовое меню

Они его ещё в 2012 сломали.

h578b1bde ★☆
()
Ответ на: комментарий от grem

you should verify the integrity of the signatures when using git

а как проверять эту целостность, при обновлении дерева с гит при обновлении дерева?

grem ★★★★★
()

Дядьки из Microsoft славно поработали. А так, ждемс, когда загнется Gentoo.

Odalist ★★★★★
()

Организацию Красноглазых взломали. Вместо того, чтобы решать проблемы - гентушники сидят у компилатора и ждут окончания процесса.

FilosofeM ★★
()

Не удивительно походу идет воина дистров , кернелов и нетворк манагеров

Griggorii
()
Ответ на: комментарий от Deleted

для местной газеты держу аккаунт на фейсбуке, собственно только для таких случаев и существует фейсбук.

Thero ★★★★★
()
Ответ на: комментарий от grem

ЕМНИП гит вроде как ругнётся если подпись подменится и там нужно просто не нажать да я доверяю этой странной новой подписи которую вижу впервые..

Thero ★★★★★
()
Ответ на: комментарий от Quasar

Современный линукс, со своими (внезапно победившими) веяниями типа системды вместо системы инициализации, вейланда вместо иксов, и прочего г-на вместо конфигурации плейнтекстом, увы, трудно назвать более адекватным, чем винду10 (которая, кстати, очень и очень ничего)

yoghurt ★★★★★
()
Ответ на: комментарий от Thero

ну.... у меня часть коммитов не подписана, особенно, если я делал ребейз; даже если в учёте накосячено с почтой, то пуш форс всё равно возможно, если знаешь логин-пароль и если на сервере нет на это ограничений.

grem ★★★★★
()
Ответ на: комментарий от Quasar

Зачем, когда git ничейный? Если захотят, свой сервис поднять смогут, но будут нести дополнительные затраты.

Он и так есть. Github нужен что-бы только пулл реквксты принимать

Zlogene
()
Ответ на: комментарий от grem

мне кажется в этом абзаце продолжается речь про обновление portage через гит а не rsync, а не про отправку коммитов, но это не точно.

Thero ★★★★★
()
Ответ на: комментарий от Thero

да, что-то я не то ответил, но при sync через git, насколько я понял, подписи не проверяются.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от question4

и там ведь проблема с которой каждый линуксовый пакетный менеджер уже сталкивался и так или иначе навчился решать.. ну а майкрософт это не починят пока не перейдут на другой более надёжный механизм развёртывания appx.. это может к 2020 серверу произойдёт..

Thero ★★★★★
()
Ответ на: комментарий от Thero

Кстати, спасибо. Надо будет завести учётку в мордокниге для постов в местечковых газетах. Ибо иногда и хочешь высказаться, чтобы поправить аффтара или развить его мысль, а не можешь.

Deleted
()
Ответ на: комментарий от anonymous

> один большой коммит добавляющий во все ебилды rm -fr /*

если это правда, то это больше похоже на то, что кто-то из своих разозлился и решил надавать всем по шапке.

Кто-то из своих, кто не понимает как работают ебилды, ага.

Gentooshnik ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.