کد منبع گیت هاب در داخل گیت هاب فاش شد

زوميت

بروزرسانی 1399/08/19 - 09:36

زوميت/ رسانه‌ها در خبري از افشاي کد منبع گيت هاب در داخل وب‌سايت خودِ اين پلتفرم خبر دادند. موضوع چيست؟ آيا کد منبع گيت هاب واقعا فاش شده است؟

توسعه‌دهنده‌اي با نام کاربري Resynth1943 که خودش را يکي از فعالان حوزه‌ي حريم خصوصي معرفي مي‌کند، چند شب پيش، اعلام کرد کد منبع (Source Code) گيت هاب در داخل مخزن قانون کپي‌رايت هزاره‌ي ديجيتال (DMCA) خود اين پلتفرم فاش شده است. بررسي ابعاد اين موضوع به تحليل نياز دارد؛ اما نکته‌اي که همين ابتدا بايد بدانيد، اين است که فاش‌شدن کد منبع گيت هاب آن‌طور که ممکن است در نگاه اول به‌نظر برسد، فاجعه‌بار نيست.

زمان زيادي از مطرح‌شدن ادعاهاي Resynth1943 در وب‌سايت هکر نيوز نگذشته بود که نت فرايدمن، مديرعامل گيت هاب، در هکر نيوز حاضر شد تا جزئياتي درباره‌ي فاش‌شدن کد منبع گيت هاب در خودِ گيت هاب ارائه دهد. براساس گفته‌هاي فرايدمن، کد منبعِ فاش‌شده ‌به سرور سازماني گيت هاب (GitHub Enterprise Server) متعلق بوده است، نه وب‌سايت گيت هاب. سرور سازماني گيت هاب و وب‌سايت رسمي اين پلتفرم کدهاي مشترک فراواني دارند؛‌ اما تفاوت‌هايي درخورتوجه با يکديگر دارند. همين تفاوت در کد باعث شده است جمله‌ي «گيت هاب هک شد» جمله‌اي غلط باشد.

در نظر داشته باشيد که گيت هاب و سرور سازماني گيت هاب متن‌باز (Open Source) نيستند؛ بااين‌حال کد منبع سرور سازماني گيت هاب معمولا براي مشتريان ارسال مي‌شود؛ البته به‌طور مبهم. نکته‌ي مهم ديگر اين است که نسخه‌ي کامل کد منبع سرور سازماني گيت هاب براي مشتريان ارسال نمي‌شود. نت فرايدمن گفت گيت هاب به‌صورت تصادفي نسخه‌ي کامل و غيرمبهم سرور سازماني گيت هاب را چند ماه پيش براي تعدادي از مشتريان ارسال کرد. اين همان کدي است که چند شب پيش در داخل مخزن DMCA گيت هاب منتشر شد.

به‌نظر مي‌رسد Resynth1943 که فعلا هويتش برايمان نامعلوم است، با گيت هاب خصومت دارد؛ به‌همين‌دليل، از روي عصبانيت خبر هک‌شدن اين پلتفرم را در رسانه‌ها منتشر کرده است. کد فاش‌شده ‌درون مخزن DMCA گيت هاب منتشر شد؛ مخزني که به‌عنوان تاريخچه‌اي براي درخواست‌ حذف کدها بر‌اساس قوانين کپي‌رايت فعاليت مي‌کند. Resynth1943 ضمن اشاره به هک‌شدن گيت هاب، از مايکروسافت به‌‌دليل باز‌نکردن منبع گيت هاب انتقاد کرد.

در مخزني که کد فاش شد، گفته شده بود کاميت (Commit) فاش‌کننده‌ي کد را Nat (نت فرايدمن، مديرعامل گيت هاب) ايجاد کرده است. همچون محتويات خود کاميت، اين ادعا نيز نادرست است. گيت (Git) کد منبعي است که سيستم گيت هاب برپايه‌ي آن ساخته شده و در‌برابر جعل‌شدن هويت کاربران امنيت زيادي ندارد. کاميتي که کد در آن فاش شده بود، برچسب «تأييد‌شده»‌ نداشت و همين موضوع نشان مي‌دهد که نت فرايدمن ايجادکننده‌ي آن کاميت نبوده است.

کاميت‌هاي گيت همچون پيغام‌هايي که در ايميل ردوبدل مي‌کنيد، به کاربران امکان مي‌دهد اطلاعات دلخواهشان را در بخش‌هاي user.name و user.email وارد کنند و همين موضوع جعل‌کردن هويت‌ را ساده مي‌کند. البته تنها به کاميت‌هايي برچسب «تأييدشده» داده مي‌شود که حساب‌هاي کاربري رسمي با کليد مجازي GPG ايجاد کنند.

سؤالي که مطرح مي‌شود، اين است: کاميتِ ايجادشده‌ي کاربران عادي چگونه از مخزن DMCA گيت هاب سر در مي‌آورد؟‌ تحليلگران مي‌گويند فرد سودجو به‌منظور ايجاد اين تصور که کاميت فاش‌کننده‌ي کد گيت هاب را نت فرايدمن ساخته است، در ابتدا مجبور بوده نسخه‌اي کاملا مشابه از مخزن DMCA بسازد. در مرحله‌ي بعد، تنها کاري که بايد انجام مي‌شد، قراردادن کد در کاميت و واردکردن نام فرايدمن در بخش‌هاي user.name و user.email بود.

در نظر داشته باشيد که گيت هاب هک نشده است؛ اما متخصصان امنيت مي‌گويند که اين پلتفرم ازلحاظ امنيتي جاي پيشرفت زيادي دارد. در اين حادثه، کد سرور سازماني گيت هاب آگاهانه وهرچند تصادفي براي مشتريان ارسال شد و نکته‌ي مهم‌تر اين است که کسي به حساب شخصي نت فرايدمن دسترسي پيدا نکرد.

در کانال آي‌تي و ™CanaleIT هم کلي عکس و ويدئوي دسته اول و جذاب داريم