«Это я — Линус Торвальдс. Linux — отстой»: в GitHub появилось странное сообщение от имени легендарного разработчика

В официальном GitHub-репозитории Линуса Торвальдса появилось интересное сообщение. В нем программист признал, что Linux — это плохая операционная система, поэтому всем следует ее удалить и перейти на Windows XP. Если вы уже сомневаетесь в подлинности послания, то чутье вас не подводит, сообщение — фейк и связано, как оказалось, с уязвимостью в GitHub. 

Это я — Линус Торвальдс

В теме сообщения Линус Торвальдс якобы призвал пользователей удалить Linux, потому что «это отстой». В файле README было написано следующее: 

«Привет всем, это я — Линус Торвальдс, создатель легендарного Linux. Если не верите, что это я, посмотрите на URL и плашку с моими данными, они доказывают мою подлинность. Я удалил Linux, потому что ненавижу его, и думаю, что эта ОС — отстой. Советую вместо нее использовать Windows XP. Она великолепна» 

В ходе прочтения сообщения быстро становится понятно, что Линус Торвальдс вряд ли бы написал такое. И правда, внизу файла есть ссылка на обсуждение в HackerNews, которое и объясняет написанное. 

Уязвимость в GitHub

О том, как такое возможно, рассказал пользователь HackerNews под ником slimsag. В посте, датированном 3 ноября 2020 года, он объяснил, что в GitHub можно: 

• Публиковать любые коммиты под своим URL https://github.com/my/project . Например, поддельный https://github.com/my/project/blob/<faked_commit>/README.md в вашем проекте с описанием установки, который на самом деле описывает установку вредоносного программного обеспечения.
• Публиковать эти коммиты под своим именем, с указанием адреса электронной почты. В таком случае GitHub отобразит их так, как будто вы сделали коммит. Большинство пользователей не используют подписи GPC, и многие не знают, что нужно искать Verified.

Чтобы убедиться в том, что это возможно, slimsag предлагает перейти по этой ссылке и попробовать заменить slimsag на torvalds. Вот какие еще в GitHub есть проблемы, которые создатели продукта, вероятно, не собираются пока устранять: 

• С youtube-dl[0] можно отправить коммит и посмотреть его в веб-интерфейсе под другим пользователем. В GitHub не признают это уязвимостью.
• Можно выдать себя за другого пользователя через адреса электронной почты Git[1]. GPC-подпись должна решать эту проблему, но многие не используют ее, а даже если и используют, не все знают, что нужно искать Verified в веб-интерфейсе GitHub.

По словам slimsag, этого достаточно, чтобы совершить мощную фишинговую атаку, поэтому разработчикам следует быть начеку с URL на GitHub с коммитом SHA. Можно доверять только URL с именами ветвей, в противном случае это может быть фишинговая атака. Подробнее об этом читайте здесь и здесь. 

Стоит отметить, что в GitHub на опасность того или иного коммита указывает всплывающее уведомление. В случае с фейковым сообщение от Линуса Торвальдса оно тоже появилось. Будьте внимательны и осторожны.

Ранее мы рассказывали о программе, с помощью которой можно сделать автором коммита другого человека. Кстати, тогда тоже в качестве примера взяли Линуса Торвальдса.