«Это я — Линус Торвальдс. Linux — отстой»: в GitHub появилось странное сообщение от имени легендарного разработчика
В официальном GitHub-репозитории Линуса Торвальдса появилось интересное сообщение. В нем программист признал, что Linux — это плохая операционная система, поэтому всем следует ее удалить и перейти на Windows XP. Если вы уже сомневаетесь в подлинности послания, то чутье вас не подводит, сообщение — фейк и связано, как оказалось, с уязвимостью в GitHub.
Это я — Линус Торвальдс
В теме сообщения Линус Торвальдс якобы призвал пользователей удалить Linux, потому что «это отстой». В файле README было написано следующее:
«Привет всем, это я — Линус Торвальдс, создатель легендарного Linux. Если не верите, что это я, посмотрите на URL и плашку с моими данными, они доказывают мою подлинность. Я удалил Linux, потому что ненавижу его, и думаю, что эта ОС — отстой. Советую вместо нее использовать Windows XP. Она великолепна»
В ходе прочтения сообщения быстро становится понятно, что Линус Торвальдс вряд ли бы написал такое. И правда, внизу файла есть ссылка на обсуждение в HackerNews, которое и объясняет написанное.
Уязвимость в GitHub
О том, как такое возможно, рассказал пользователь HackerNews под ником slimsag. В посте, датированном 3 ноября 2020 года, он объяснил, что в GitHub можно:
- Публиковать любые коммиты под своим URL https://github.com/my/project . Например, поддельный https://github.com/my/project/blob/<faked_commit>/README.md в вашем проекте с описанием установки, который на самом деле описывает установку вредоносного программного обеспечения.
- Публиковать эти коммиты под своим именем, с указанием адреса электронной почты. В таком случае GitHub отобразит их так, как будто вы сделали коммит. Большинство пользователей не используют подписи GPC, и многие не знают, что нужно искать
Verified
.
Чтобы убедиться в том, что это возможно, slimsag предлагает перейти по этой ссылке и попробовать заменить slimsag на torvalds. Вот какие еще в GitHub есть проблемы, которые создатели продукта, вероятно, не собираются пока устранять:
- С
youtube-dl[0]
можно отправить коммит и посмотреть его в веб-интерфейсе под другим пользователем. В GitHub не признают это уязвимостью. - Можно выдать себя за другого пользователя через адреса электронной почты
Git[1]
. GPC-подпись должна решать эту проблему, но многие не используют ее, а даже если и используют, не все знают, что нужно искатьVerified
в веб-интерфейсе GitHub.
По словам slimsag, этого достаточно, чтобы совершить мощную фишинговую атаку, поэтому разработчикам следует быть начеку с URL на GitHub с коммитом SHA. Можно доверять только URL с именами ветвей, в противном случае это может быть фишинговая атака. Подробнее об этом читайте здесь и здесь.
Стоит отметить, что в GitHub на опасность того или иного коммита указывает всплывающее уведомление. В случае с фейковым сообщение от Линуса Торвальдса оно тоже появилось. Будьте внимательны и осторожны.
Ранее мы рассказывали о программе, с помощью которой можно сделать автором коммита другого человека. Кстати, тогда тоже в качестве примера взяли Линуса Торвальдса.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: