Активы | Конечные собственники |
+ GitHub |
GitHub — это веб-сервис для хостинга ИТ-проектов и их совместной разработки. GitHub позиционируется его создателями как социальная сеть для разработчиков. На 30 сентября 2015 года число пользователей сервиса составляло 11 млн человек, а штат компании — 350 человек.
2024: Удаление кода и выкуп: Хакеры начали шантажировать разработчиков на GitHub
В начале июня 2024 года появилась информация о новой киберпреступной кампании, нацеленной на разработчиков GitHub. Злоумышленники атакуют репозитории на этой площадке, уничтожают их содержимое, а затем предлагают жертвам заплатить выкуп за восстановление данных.
О новой хакерской схеме рассказал специалист в области информационной безопасности из чилийской компании CronUp Херман Фернандес (German Fernandez). За атакой стоит злоумышленник (или группа) с Telegram-ником Gitloker — он выдает себя за ИБ-аналитика. Согласно проведенному расследованию, киберпреступник компрометирует записи GitHub, используя украденные учетные данные.
После взлома хакер очищает и переименовывает GitHub-репозиторий, а также добавляет в него файл Readme.me, в котором жертве предлагается выйти на связь через Telegram. При этом подчеркивается, что информация из репозитория была удалена, но имеется резервная копия, которую можно использовать для восстановления.TAdviser выпустил новую Карту «Цифровизация ритейла»: 280 разработчиков и поставщиков услуг
«Надеюсь, это сообщение застанет вас в добром здравии. Это срочное уведомление: информируем вас о том, что ваши данные были скомпрометированы, но мы создали резервную копию», — говорится в требовании выкупа.
Некоторые пострадавшие отмечают, что взлом их репозиториев произошел после перехода по ссылке, указанной в электронном письме о наборе персонала. Жертвы жалуются, что после атаки их учетные записи и проекты стали недоступны, а данные уничтожены.
Ранее сервис GitHub для защиты от злоумышленников рекомендовал активировать двухфакторную аутентификацию, добавить ключ доступа для безопасного входа в систему без пароля, а также проверить все адреса электронной почты, связанные с учетной записью. По состоянию на 7 июня 2024 года нет сведений о том, сколько пользователей GitHub пострадали от действий Gitloker.[1]
2023: Сокращение 10% штата
9 февраля 2023 года GitHub, веб-сервис для хостинга ИТ-проектов и их совместной разработки, объявил об изменении модели работы. В результате реорганизации штат этой площадки, принадлежащей корпорации Microsoft, будет сокращён приблизительно на 10%.
Об изменениях объявил Томас Домке (Thomas Dohmke), генеральный директор GitHub. По его словам, компания стремится к сокращению операционных расходов, что особенно важно в сложной экономической ситуации. GitHub планирует сосредоточить усилия на тех направлениях, которые наилучшим образом соответствуют поставленным целям и максимально удовлетворяют потребности клиентов.
Устойчивый рост важен для любого бизнеса. Сегодня мы объявляем о ряде трудных решений, в том числе о прощании с некоторыми сотрудниками и о введении новых бюджетных корректировок, призванных защитить краткосрочное здоровье нашего бизнеса, а также предоставить нам возможность инвестировать в долгосрочную стратегию. Я понимаю, что это будет сложно для всех вас, и мы подойдём к этому периоду с максимальным уважением к каждому работнику, — сообщил Домке. |
По состоянию на начало февраля 2023 года штат GitHub насчитывал около 3000 сотрудников. Таким образом, будут уволены примерно 300 человек. Они получат выходное пособие и поддержку при трудоустройстве на новом месте. Кроме того, компания воздержится от приёма новых специалистов. Реорганизация также предусматривает переход полностью на удалённую работу. Сообщается, что GitHub закроет все свои офисы по мере истечения сроков аренды помещений. Отчасти это объясняется тем, что многие сотрудники уже предпочитают выполнять свои обязанности дистанционно. Кроме того, закрытие офисов обеспечит значительную экономию средств. Ещё одной мерой, нацеленной на уменьшение затрат, стало увеличение цикла обновления ноутбуков с трёх до четырёх лет.[2]
2022
Утечка данных Slack после кибератаки
31 декабря 2022 года корпоративный мессенджер Slack сообщил о хакерской атаке, в результате которой злоумышленники получили доступ к некоторым частным репозиториям сервиса на GitHub. Подробнее здесь.
Исходники Okta украдены из-за взлома закрытых репозиториев на GitHub
21 декабря 2022 года поставщик решений для идентификации и многофакторной проверки подлинности Okta сообщил о том, что его частные репозитории исходного кода на GitHub были взломаны неизвестными злоумышленниками. Подробнее здесь.
«Закладки» от иранской группировки
Группировка Cobalt Mirage, связанная с правительством Ирана, использует вредоносное ПО Drokb для атак на различные организации США, используя GitHub в качестве тайника Dead Drop. Об этом стало известно 12 декабря 2022 года.
Dead Drop Resolver – техника атаки, в ходе которой злоумышленники размещают на легитимных веб-сервисах контент со встроенными вредоносными доменами или IP-адресами, пытаясь скрыть свои намерения. Вредоносный код не содержит адрес C&C-сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки.
Вредоносная программа Drokbk написана на .NET и состоит из дроппера и полезной нагрузки. Она используется для установки веб-оболочки на скомпрометированный сервер, после чего в ходе бокового перемещения развертываются дополнительные инструменты.
По словам исследователей Secureworks Counter Threat Unit (CTU), Drokbk предоставляет хакерам удаленный доступ и дополнительный вектор атаки, наряду с инструментами туннелирования Fast Reverse Proxy (FRP) и Ngrok. Более того, Drokbk малоизучен и может незаметно находиться в сетях компаний прямо сейчас.
CTU советует организациям применять следующие меры защиты:
- исправлять системы с выходом в Интернет, поскольку Cobalt Mirage эксплуатирует известные уязвимости ProxyShell и Log4Shell;
- искать индикаторы компрометации (IOC) , чтобы обнаружить возможное вторжение хакеров;
- поддерживать актуальность антивирусного ПО;
- развертывать EDR- и XDR-решения для обеспечения полного мониторинга сетей и облачных систем.
Аналитики Secureworks уже сталкивались с атаками Cobalt Mirage , нацеленными на организации в Израиле, США, Европе и Австралии. Тогда специалисты отметили, что Cobalt Mirage создала 2 совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных[3].
Кража аккаунтов с помощью поддельных уведомлений
26 сентября 2022 года стало известно о том, что злоумышленники крадут GitHub-аккаунты, подделывая уведомления от CircleCI. Цель злоумышленников – кража учетных данных и кодов двухфакторной аутентификации.
Ранее GitHub выпустила предупреждение о фишинговой кампании, целью которой является кража учетных данных и кодов двухфакторной аутентификации (2FA) пользователей. О начале кампании стало известно 16 сентября 2022 года, когда пользователям начали приходить фейковые сообщения якобы от CircleCI.
Злоумышленники пытаются обмануть жертву двумя способами:
- В сообщении говорится, что у пользователя истек срок сессии CircleCI, а чтобы ее продлить, необходимо войти в систему, используя учетные данные от своего GitHub-аккаунта, перейдя по прикрепленной к сообщению ссылке.
- В сообщении жертве сообщается об изменениях в политике конфиденциальности и условиях использования, которые необходимо принять, перейдя по прикрепленной ссылке и войдя в GitHub-аккаунт.
Оба способа ведут на одну и ту же страницу, похожую на страницу входа в GitHub. Она используется злоумышленниками для кражи учетных данных и одноразовых паролей, сгенерированных по алгоритму TOTP (Time-based one-time Password), что позволяет обойти 2FA.
Получив доступ, злоумышленники следуют одному их двух сценариев:
- Создают токены личного доступа (personal access token, PAT), авторизуют OAuth-приложения и добавляют SSH-ключи, чтобы иметь доступ к аккаунтам жертв даже после смены пароля;
- Скачивают содержимое приватных репозиториев и добавляют другие учетные записи в репозиторий организации, если обладают достаточными привилегиями.
Специалисты GitHub сообщают, что уже сбросили пароли пострадавших пользователей и уведомили их о случившемся. Созданные злоумышленниками учетные записи были удалены из корпоративных репозиториев[4].
Волна форков с вредоносными изменениями
GitHub выявили активность по массовому созданию форков и клонов популярных проектов, с внедрением в копии вредоносных изменений, включающих бэкдор. Об этом стало известно 4 августа 2022 года. Поиск по имени хоста (ovz1.j19544519.pr46m.vps.myjino.ru), к которому осуществляется обращение из вредоносного кода, показал наличие в GitHub более 35 тысяч изменений, присутствующих в клонах и форках различных репозиториев, включая форки проектов crypto, golang, python, js, bash, docker и k8s.
Атака нацелена на то, что пользователь не станет отслеживать оригинал и воспользуется вместо репозитория основного проекта кодом из форка или клона с немного отличающимся именем. На начало августа 2022 года GitHub уже удалил большую часть форков с вредоносной вставкой. Пользователям, приходящим на GitHub из поисковых систем, рекомендуется внимательно проверять связь репозитория с основным проектом перед использованием кода из него.
Добавляемый вредоносный код отправлял содержимое переменных окружения на внешний сервер с расчётом на кражу токенов к AWS и системам непрерывной интеграции. Кроме того, в код интегрировался бэкдор, запускающий shell-команды, возвращённые после отправки запроса к серверу злоумышленников. Большинство вредоносных изменений было добавлено в июле 2022 года, но присутствуют отдельные репозитории, в которых вредоносный код прослеживается с 2015 года[5].
Вредоносный код в доверенных репозиториях
Доверенные репозитории GitHub содержат вредоносный код. Об этом стало известно 19 июля 2022 года.
Исследователи безопасности Checkmarx предупредили об еще одной тактике атак на цепочку поставок, включающей фальсификацию метаданных коммитов, чтобы представлять вредоносные репозитории GitHub как заслуживающие доверия. Этот метод атаки позволяет злоумышленнику обманом заставить разработчиков использовать вредоносный код.
В системе контроля версий Gut коммиты являются важными элементами, поскольку они фиксируют каждое изменение в документе и тех, кто внес изменения. Более того, каждый коммит имеет уникальный хэш или идентификатор.
Исследователи определили, что киберпреступник может изменить метаданные коммитов, чтобы репозиторий выглядел старше, чем есть на самом деле. Также злоумышленник может обмануть разработчиков, продвигая репозитории как надежные (поскольку их поддерживают доверенные участники). Также можно подделать личность коммиттера и приписать фиксацию подлинной учетной записи GitHub.
Исследователи Checkmarx объяснили, что злоумышленник может манипулировать временными метками коммитов на GitHub. Фальшивые коммиты также могут генерироваться автоматически и добавляться в график активности пользователя на GitHub, что позволяет злоумышленнику сделать его активным на платформе в течение длительного времени. График отображает активность в частных и общедоступных репозиториях, что делает невозможным выявление поддельных коммитов.
Этот метод обмана трудно обнаружить, - заявили эксперты. |
Злоумышленник может получить идентификатор электронной почты жертвы, который пользователи обычно скрывают в настройках. С помощью определенных команд злоумышленник может заменить исходный email-адрес и имя пользователя поддельной версией в интерфейсе командной строки Git CLI, чтобы улучшить репутацию репозитория.
Пользователь не получит уведомления о том, что его личность используется в злонамеренных целях. Чтобы представить проект как надежный, субъект угрозы может включать известных и уважаемых пользователей в раздел участников репозитория и сделать проект законным и доверенным.
Для предотвращения атаки исследователи Checkmarx призвали разработчиков подписывать свои коммиты и использовать «режим бдительности» ( Vigilant mode ), чтобы обеспечить оптимальную безопасность экосистемы кода. В Vigilant mode отображается статус проверки коммитов, что является защитой против атаки на цепочку поставок[6].
План перехода на использование обязательной двухфакторной аутентификации
5 мая 2022 года стало известно о том, что компания GitHub собирается до конца 2023 года перевести всех пользователей сервиса GitHub.com, участвующих в разработке кода, на обязательное использование двухфакторной аутентификации (2FA). По мнению GitHub получение злоумышленниками доступа к репозиториям в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка скрытых изменений в популярные продукты и библиотеки, используемые в качестве зависимостей.
Данное требование позволит усилить защиту процесса разработки и обезопасить репозитории от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. По статистике GitHub на май 2022 года двухфакторной аутентификацией пользуются только 16.5% активных пользователей сервиса. К концу 2023 года GitHub намерен запретить возможность отправки изменений без применения двухфакторной аутентификации[7].
Остановка продаж Enterprise Server в России и расширение санкционных ограничений на другие территории
1 мая 2022 года компания GitHub сообщила, что с 30 апреля перестала продавать Enterprise Server в России и расширила санкционные ограничения на другие территории в мире.
GitHub Enterprise Server и другие платные сервисы платформы стали недоступны для покупки в таких странах, как: Куба, Иран, Северная Корея, Сирия, Россия и Белоруссия. Также это ограничение касается Крыма и теперь ЛНР и ДНР.
GitHub уточнил, что допускает ограничение доступа к своим публичным репозиториям и приватным сервисам платных учётных записей пользователей из стран по санкциями. Например, репозитории могут быть переведены в режим «только для чтения».
Ограничения для обычных пользователей с территорий под санкциями заключаются в том, что им сохраняется предоставление неограниченного доступа к публичным репозиториям открытых проектов, gist-заметкам и бесплатным Action-обработчикам при условии персонального использования, а не для коммерческих целей. В противном случае на аккаунты пользователей будут наложены ограничения.
Издание OpenNet пояснило, что «законодательство США, регулирующее экспорт, запрещает предоставлять резидентам находящихся под санкциями стран коммерческие сервисы или сервисы, которые могут использоваться в коммерческих целях. При этом GitHub применяет, насколько это возможно, мягкую юридическую интерпретацию закона (ограничения экспорта не распространяются на публично доступное открытое ПО), что позволяет не ограничивать доступ пользователей из санкционных стран к публичным репозиториям и не запрещает персональные коммуникации».
«GitHub продолжает просить регуляторов из США предоставить возможность дать полный доступ к платформе для разработчиков в регионах, на которые распространяются санкции, таких как Сирия, Крым и другие, включая доступ к частным репозиториям. GitHub считает, что предоставление всех сервисов способствует человеческому прогрессу, международному общению и неизменной внешней политике США по продвижению свободы слова и свободного распространения информации», - подытожил GitHub в коммите. |
Блокировка учетных записей российских компаний
15 апреля 2022 г американский веб-сервис для хостинга ИТ-проектов GitHub заблокировал аккаунты российских компаний: «Сбера», «Альфа-банка» и некоторых индивидуальных разработчиков из России. В компании связали свои действия с западными санкциями.
GitHub, как и любая компания, работающая в США, вынужден соблюдать требования властей и может ограничивать доступ к аккаунтам для пользователей, которые попали под блокирующие санкции (SDN-список) или которые используют GitHub от имени попавших под блокирующие санкции сторон, говорится в заявлении сервиса.
6 апреля 2022 года Минфин США ввел блокирующие санкции против Сбербанка и Альфа-банка. Санкции предусматривают заморозку активов банков и введение запрета для граждан и компаний из США на ведение бизнеса с ними. Также были заблокированы аккаунты Sberbank-Technology, Sberbank-ai-lab , Alfa-laboratory.
Исследователь Сергей Бобров, который, по информации издания Cointelegraph, не имеет связей ни с одной из таких фирм, сообщил, что его аккаунт был приостановлен 15 апреля 2022 года, а затем немедленно восстановлен. Рабочий аккаунт был восстановлен без некоторых проектов на нем.
Мой аккаунт на GitHub был приостановлен без предварительного уведомления. Возможно, потому что я этнически русский! Видение GitHub - быть домом для всех разработчиков, независимо от того, где они проживают... ERROR 404!, - сказал индивидуальный разработчик Вадим Яницкий (Vadim Yanitskiy). |
После того, как несколько российских разработчиков связались с GitHub по поводу приостановки, они получили ответ, в котором объяснялись причины приостановки их деятельности с добавлением ссылки, по которой они могли подать апелляцию. Некоторые заблокированные пользователи уже получили письмо о том, что их аккаунт могут управляться из санкционной территории, а именно со стран: Ливии, Мьянма, Сомали, Южного Судана, Судана, Ирака, Ливана, Либерии, Ирана, Сирии, Беларуси, Бурунди, ЦАР, КНДР, Д.Р. Конго, Кот-д'Ивуар, России, Молдовы, Йемена, Зимбабве, Кубы, Венесуэлы, Сербии, Черногории. Также с регионов Луганской Народной Республики и Донецкой Народной Республики на Украине.
Блокировка аккаунтов отдельных разработчиков вызвала много вопросов у ИТ-сообщества, по информации издания Cointelegraph, особенно когда платформа GitHub пообещала обеспечить доступность бесплатных сервисов с открытым исходным кодом для всех, включая разработчиков в России.[8].
Отказ блокировать российских разработчиков
GitHub отказался блокировать российских разработчиков. Об этом стало известно 3 марта 2022 года.
Пользователи сервиса неделю спорили о необходимости блокировки Российских пользователей.
GitHub — это дом для всех разработчиков, где бы они ни находились,— говорится в сообщении сервиса. — Мы крайне серьезно относимся к своей обязанности следовать правительственным указам, чтобы быть уверенными, что наши пользователи и клиенты не будут ограничены в работе. Это включает в себя защиту открытого сотрудничества и свободного потока информации в нашем взаимосвязанном сообществе для поддержки коммуникаций, гуманитарной деятельности и организации изменений. |
В ходе обсуждения возможной блокировки одна сторона настаивала на том, что наивысшей ценностью является свобода доступа, и блокировки не принесут ощутимых результатов, а санкции и разжигание ненависти отнюдь не способствуют установлению мира. Их оппоненты говорили, что российских разработчиков необходимо вынудить на крайние меры, тогда как блокировка сервиса в любом случае не вызовет гуманитарной катастрофы.
Услуги Github запрещены в Крыму, Кубе, Иране, Северной Кореи и Сирии. Что касается Ирана, GitHub имеет лицензию Управления по контролю за иностранными активами Министерства финансов США (OFAC) на предоставление облачных услуг разработчикам, находящимся или иным образом проживающим в этой стране. Облачные сервисы GitHub, как бесплатные, так и платные, также в основном доступны для разработчиков, находящихся на Кубе[9].
2021
Штраф на 1 млн рублей за отказ удалять запрещенный в РФ контент
23 декабря 2021 года Мировой суд Москвы оштрафовал GitHub на 1 млн рублей за отказ удалять контент, запрещенный российским законодательством. Это первое такое наказание сервиса для совместной разработки ПО в РФ.
«ГитХаб Инк.» признан виновным в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.41 КоАП РФ («Неудаление владельцем сайта информации в случае, если обязанность по удалению такой информации предусмотрена законодательством Российской Федерации»).
В соответствии с законодательством, штраф по каждому административному делу на основе протокола Роскомнадзора в данном случае может быть от 800 тыс. до 4 млн рублей. В случае выявления повторного нарушения, сервис может получить штраф по пункту 4 ст. 13.41 КоАП РФ, который уже более серьезнее — от 3 до 8 млн рублей. В случае не выплаты штрафов ведомство может замедлить или заблокировать доступ к GitHub на территории РФ. По закону у GitHub есть 60 суток на выплату штрафа с момента, когда решения суда по нему вступит в законную силу.
Как ранее уточнили в суде, претензии Роскомнадзора к GitHub связаны с публикацией сервисом данных «Умного голосования» и неудалением их. В сентябре 2021 года Роскомнадзор заблокировал этот сервис, объяснив это тем, что он используется для продолжения деятельности Фонда борьбы с коррупцией (признан в России экстремистской и запрещена) и внесен в реестр запрещенной в РФ информации, передаёт «Интерфакс». Ранее Apple и Google удалили из своих магазинов приложений сервис «Умного голосования» по требованию Роскомнадзора.
В начале декабря 2021 года сообщалось, что GitHub пригрозили штрафом до 4 млн рублей за неудаление запрещенного в России контента. В 2021 году российским и зарубежным ИТ-компаниям были выписаны штрафы в общем размере более 200 млн рублей за отказ удалять запрещенный контент.[10]
Михаил Мишустин призвал создать в России аналог GitHub
21 сентября 2021 года глава Правительства РФ Михаил Мишустин предложил создать российскую платформу для совместной разработки ИТ-проектов, подобной GitHub. Подробне здесь.
Запуск организации для создания Open Source инструментов разработки мобильного ПО
В начале марта 2021 года Linux Foundation запустила организацию Mobile Native Foundation, призванной поощрять создание инструментов с открытым исходным кодом для разработки мобильных приложений. Подробнее здесь.
Возобновление работы в Иране и планы возвращению в Крым
5 января 2021 года GitHub сообщил о полном возобновлении работы в Иране после блокировки сервиса из-за американских санкций. Компания добилась соответствующего разрешения OFAC (Office of Foreign Assets Control, подразделение Министерства финансов США, отвечающее за правоприменение в области санкций).
Таким образом, лицензию на работу с иранскими разработчиками GitHub получил напрямую от американского правительства. Теперь им доступны все сервисы GitHub, как платные, так и бесплатные, хотя раньше они имели доступ только к публичным репозиториям. Ограничения сняты как для частных разработчиков, так и для компаний, работающих с GitHub.
Мы смогли продемонстрировать, что использование GitHub разработчиками способствует прогрессу человечества, международному общению и неизменной внешней политике США по продвижению свободы слова и свободного потока информации, — сообщил глава GitHub Нат Фридман, комментируя возобновление работы сервиса в Иране. |
По его словам, процесс восстановления полного доступа к учётным записям иранских программистов потребует некоторого времени. Фридман добавил, что к началу января 2021 года GitHub работает над тем, чтобы восстановить сервис на территории Сирии и Крыма.
Мы хотим, чтобы каждый разработчик мог работать с GitHub, и мы работаем с правительством США, чтобы обеспечить аналогичные разрешения для разработчиков в Крыму (ИТ-блокада Крыма) и Сирии, — написал Фридман в официальном блоге GitHub.[11] |
Ранее США ввели широкие санкции против нескольких стран, включая Иран. Эти санкции запрещают любой американской компании вести дела с кем-либо в стране, на которую наложены санкции. Эти санкции также могут распространяться на неамериканские компании, деятельность которых прямо или косвенно связана с США, включая просто платежи, которые проходят через банки США или платежные механизмы, такие как Visa.
2020
Анонс GitHub Code Scanning - автоматического сканера уязвимостей для разработчиков ПО
В начале октября 2020 года GitHub запустила новую функцию под названием GitHub Code Scanning («сканирование кода GitHub»), которая автоматически находит уязвимости в проектах разработчиков программного обеспечения. Это дополнение не только сделает набор функций GitHub более конкурентоспособным, но и потенциально повысит безопасность экосистемы с открытым исходным кодом в целом. Подробнее здесь.
Пользователей GitHub атакуют фишеры
18 апреля 2020 года стало известно, что команда реагирования на инциденты (SIRT) платформы GitHub предупредила пользователей о фишинговой кампании, в ходе которой злоумышленники похищают учетные данные через лендинговые страницы, выдаваемые ими за страницы авторизации GitHub.
В ходе кампании, получившей название Sawfish, киберпреступники не только взламывают чужие учетные записи, но сразу же выгружают все содержимое их репозиториев.
Если атакующему успешно удалось похитить учетные данные пользователя GitHub, он может быстро создать токены доступа или авторизовать приложения OAuth, для того чтобы сохранить доступ к учетной записи на случай, если пользователь изменит свой пароль, - сообщает SIRT. |
Атака начинается с получения жертвой фишингового письма, авторы которого пытаются различными способами заставить ее нажать на вредоносную ссылку. В одних письмах сообщается, будто к учетной записи пользователя был получен несанкционированный доступ, а в других уведомляется о репозиториях и изменениях в настройках учетной записи.
Если жертва нажмет на представленную в письме ссылку, она попадет на поддельную страницу авторизации GitHub, отправляющую вводимые учетные данные на подконтрольные злоумышленникам серверы. В случае использования жертвой мобильного приложения TOTP поддельная лендинговая страница в режиме реального времени также собирает коды для двухфакторной аутентификации. То есть, жертвами атаки могут стать даже учетные записи, защищенные с помощью двухфакторной аутентификации на базе технологии TOTP. Тем не менее, учетные записи, защищенные с помощью аппаратных ключей, не являются уязвимыми к данной атаке.
Как сообщает SIRT, кампания все еще продолжается. Киберпреступники нацелены только на активные учетные записи, принадлежащие сотрудникам технологических компаний в разных странах мира. Электронные адреса для рассылки вредоносных писем злоумышленники получают из открытых коммитов GitHub.
Фишинговые письма рассылаются с легитимных доменов – либо с взломанных заранее почтовых серверов, либо с помощью похищенных учетных данных API провайдеров сервисов электронной почты. С целью скрыть URL-адрес поддельной страницы злоумышленники используют сервисы для сокращения ссылок[12].
Минэкономики решило выделить 2,1 млрд рублей на создание аналога GitHub
20 января 2020 года стало известно о предложении Минэкономразвития создать в России аналог крупнейшей в мире платформы для совместной разработки программного обеспечения GitHub. На эти цели ведомство планирует потратить 2,1 млрд рублей.
О создании российской альтернативы GitHub говорится в последней версии федерального проекта «Искусственный интеллект», разработанного Минэкономразвития и Сбербанком, пишет «Коммерсантъ». По данным газеты, власти хотят создать аналог сервиса из-за риска отключения России от зарубежных хранилищ кода «из-за репутационных и санкционных рисков».
В Минэкономразвития подтвердили изданию, что идея российского аналога GitHub актуальна. По данным ведомства, платформу планируется использовать при создании открытых библиотек ИИ в рамках реализации национальной стратегии развития искусственного интеллекта до 2030 года.
В российское хранилище предлагается копировать наиболее востребованные программы из зарубежных открытых источников. Из проекта следует, что российский аналог GitHub может появиться к 2021 году, а к 2024-м таких репозиториев должно стать пять.
По мнению генерального директора «Базальт СПО» Алексея Смирнова, аналог GitHub может быть полезен только в случае обязательной публикации в нем результатов разработки софта за бюджетные деньги, причем под открытой лицензией. Исполнительный директор ассоциации «Отечественный софт» Ренат Лашин согласен с этим мнением и добавляет, что такая площадка позволила бы значительно сократить расходы на поддержку и развитие софта, а также разработку новых программ за счет возможности повторного использования кода.
Заместитель директора по специальным программам ICL Services Андрей Крехов сомневается в успехе проект. Российский аналог GitHub будет «напоминать ситуацию, когда накрыли и украсили стол, а гости не пришли», считает он.[13]
2019
Данные пользователей Github оказались в открытом доступе
24 ноября 2019 года стало известно, что американский исследователь в области безопасности Винни Тройя (Vinny Troia) обнаружил доступную базу данных, содержащую более 4 ТБ информации - в общей сложности 1,2 млрд записей, включающих данные из профилей сотен миллионов пользователей социальных сетей Facebook, Twitter, LinkedIn и Github. Подробнее здесь.
Microsoft распечатала все исходники проектов с GitHub и спрятала в Арктике
В середине ноября 2019 года стало известно о том, что Microsoft распечатала все исходники проектов с GitHub и спрятала в Арктике на случай конца света.
Проект включает монументальное хранилище Arctic Code Vault. Его поместили в бывшей угольной шахте на архипелаге Шпицбергене в зоне вечной мерзлоты за северным полярным кругом. Хранилище располагается на глубине 250 метров. Данные сохраняются на плёночных катушках Piql, срок службы которых превышает 1000 лет.
Прочесть данные можно будет с помощью обычного увеличительного стекла, или, например, лупы. Теперь, даже если пропадут все записывающие и считывающие устройства на планете, архив поможет восстановить пропажу ценной информации.
В сохранённый актив вошли активные публичные репозитории и что-то из архивов. Коллекция содержит фрагменты исходных кодов для Linux и Android, языки программирования Python, Ruby и Rust, веб-платформы Node, V8, React и Angular, криптовалютное ПО для Bitcoin и Ethereum, ИИ-инструменты TensorFlow и FastAI, а также многое другое.
Исходники загружены в дата-центр Piql, известный как Arctic World Archive. В нём также хранятся исторические данные Европейского космического агентства, рукописи Ватикана, документы Siemens, копии акта о независимости Мексики и многое другое. Также там есть Глобальное хранилище семян.
Между тем, Microsoft презентовала Project Silica — устройство для сверхдолговечного хранения данных в холодных условиях, которое выглядит как прозрачный квадратный кусок стекла. В обычных оптических дисках информация записывается как травленая и не травленая область дорожки, что обозначает единицу или ноль. В новом устройстве информация кодируется целой или деформированной нанорешеткой в кварцевом стекле.[14]
80% разработчиков на GitHub проживают не в США
В ноябре 2019 года GitHub опубликовал ежегодный отчёт о результатах работы сервиса. Выяснилось, что лишь 20% разработчиков, которые пользуются GitHub, проживают в США.
За год к ноябрю 2019 года в сервисе было создано 44 млн новых репозиториев, а число разработчиков, создавших свой первый репозиторий, увеличилось на 44%. Почти 1,4 млн овых пользователей приняли участие в разработке и передали свои изменения открытым проектам.
Число представленных на GitHub компаний увеличилось с 2,1 до 2,9 млн. А учетные записи GitHub Enterprise Cloud принадлежат командам разработчиков из 70 разных стран.
Более 3,6 млн репозиториев связаны зависимостями с 50 топовыми открытыми проектами. Например, миллионы зависимостей имеют такие проекты, как rails, jest и axios. Среднее число зависимостей для одного репозитория составляет 203. Наибольшее число зависимостей отмечено для NPM-пакетов (3.5 млн), RubyGems (737 тыс.), Maven (167 тыс), NuGet (94 тыс.) и pip (78 тыс.).
Рейтинг наиболее быстро развивающихся репозиториев возглавляют: AspNetCore, flutter, vsts-docs, istio, amplify-js, charts и Proton.[15]
GitHub начал блокировать разработчиков из стран, попавших под санкции США
В конце июля 2019 года стало известно о том, что сервис GitHub начал блокировать разработчиков из стран, попавших под санкции США.
О том, что в GitHub отключает аккаунты из регионов, на которых распространяются американские санкции, одним из первых написало издание ZDNet. В качестве примера журналисты привели 21-летнего россиянина Анатолия Кашкина, проживающего в Крыму. Этот разработчик размещает GitHub свой сайт и лаунчер для Linux, который объединяет игры Steam, GOG и Humble Bundle в один пользовательский интерфейс.
Кашкин больше всего переживает за свой проект GameHub, на который есть определенный спрос. Разработчик не видит лучшего места для размещения и поддержки GameHub, поскольку благодаря GitHub пользователи легко находят лаунчер и так же легко сообщают о багах, если обнаруживают их.
Как сообщают в GitHub, сервис ограничивает услуги пользователям в Крыму, Иране, Северной Корее, Сирии, на Кубе и других регионах, которые попали под санкции. Такие разработчики могут использовать сервис совместной разработки ИТ-проектов для личных коммуникаций.
GitHub ссылается на документ, где описаны меры по контролю за торговлей. Администрация сервиса отметила, что подчиняется американским законам и регулирует информацию, размещенную пользователями, в соответствии с Правилами экспортного контроля США (U.S. Export Administration Regulations).
GitHub Enterprise Server — это коммерческий продукт для массового рынка, которому присвоен классификационный номер экспортного контроля. И хотя он может быть экспортирован в большинство пунктов назначения без лицензии, есть и исключения.
Разработчики из Крыма и Ирана массово сообщают, что их доступ к GitHub был ограничен. Так, иранский пользователь сообщил в своём посте на Medium, что его Git-репозиторий отключен, и он не может скачать свои данные. Разработчик надеется, что ситуация разрешится, ведь ему нравился сервис.[16]
- ИТ-блокада Крыма
- Иностранные санкции в отношении российских граждан и компаний
- Санкции Украины в отношении России
- Санкции США и ЕС в отношении российского нефтегазового сектора
- Санкции против Huawei
Нас считали антихристами. Почему Microsoft хотела, но не купила GitHub в 2014 году
В начале июня 2019 года глава облачного подразделения Microsoft Скотт Гатри (Scott Guthrie) рассказал, почему Microsoft хотела, но не купила GitHub в 2014 году.
Гатри понимал, что на тот момент Microsoft просто не готова была приобрести популярный веб-сервис для хостинга ИТ-проектов и их совместной разработки. По мнению Гатри, разработчики GitHub просто взбунтовались бы – многие из них рассматривали Microsoft как врага № 1 из-за атак компании на свободно распространяемое программное обеспечение с открытым исходным кодом.
Мир проектов с открытым исходным кодом справедливо считал нас антихристом, - говорит Гатри. — Разработчики таких проектов совершенно нам не доверяли. В то время Microsoft по-прежнему была в основном ориентирована на программное обеспечение, полностью созданное собственными силами и принадлежащее компании. |
С тех пор Microsoft превратилась в одного из крупнейших разработчиков программного обеспечения с открытым исходным кодом и убедила клиентов доверять приложениям, созданным с помощью конкурирующих инструментов и программ, а также службе облачных вычислений Microsoft Azure. Более 60% команды Microsoft, которая разрабатывает облачные приложения, получили должность благодаря богатому опыты работы с инструментами программирования или облачными службами сторонних разработчиков.
В июне 2018 года Гатри и генеральный директор Microsoft Сатья Наделла наконец представили соглашение о приобретении GitHub. Несмотря на некоторое возмущение в сообществе разработчиков, сделка не стала поводом для войны. Большинство пользователей GitHub просто продолжили размещать на портале свой код. Microsoft потратила много лет, чтобы наладить доброжелательные отношения с сообществом открытого кода, и эти усилия не пропали втуне.[17]
Перевод всех проектов фонда Apache на GitHub
29 апреля 2019 года некоммерческая организация Apache Software Foundation, которая считается крупнейшим в мире сообществом по разработке программного обеспечения с открытым исходным кодом, объявила о переносе всех своих проектов на GitHub. Подробнее здесь.
Частные репозитории стали доступны бесплатным пользователям
В январе 2019 года частные репозитории на GitHub стали доступны пользователям, которые работают только с бесплатными функциями. Ранее непубличные или не подлежащие разглашению проекты можно было развивать только за деньги.
Однако нововведение было принято с ограничением. Бесплатные приватные репозитории могут включать не более трех участников. Таким образом, новшество рассчитано в основном на ведение небольших личных проектов, а не на групповую разработку серьезных программных продуктов. Например, приватные репозитории смогут применяться для проведения непубличных экспериментов перед релизом, для индивидуального ведения закрытых проектов работодателя или для работы с кодом, не подлежащим разглашению.
Участники GitHub, пользующиеся бесплатным тарифным планом, могут создавать приватные репозитории в неограниченном количестве. Предел установлен лишь на количество пользователей, вовлеченных в проект.
Если нужно подключить к репозиторию более трех пользователей, то придется переходить на платный тариф. При этом такого ограничения нет в конкурирующем сервисе — GitLab. На него мигрировали тысячи разработчиков после продажи GitHub корпорации Microsoft.
В Microsoft объяснили внедрение возможности работы с частными репозиториями для бесплатных подписчиков желанием многих разработчиков поработать над сторонними проектами без лишних проблем. При этом компания также добавила новые возможности для корпоративной подписки.
Еще одним нововведением на GitHub стал универсальный тариф GitHub Enterprise, в рамках которого были объединены опции GitHub Enterprise Cloud (ранее известный как GitHub Business Cloud) и Enterprise Server (ранее назывался GitHub Enterprise). Теперь командам, которым нужна гибкость в использовании GitHub в облачной или автономной конфигурации, могут получить доступ к обеим по одной цене.
К концу 2018 года в GitHub насчитывалось более 100 млн репозиториев. Сколько из них приватные, не уточнялось.[18]
2018
Тысячи разработчиков перешли на GitLab после продажи GitHub
В начале июня 2018 года тысячи разработчиков начали переводить свои проекты на платформу GitLab с GitHub после покупки последней компанией Microsoft.
Массовая миграция на GitLab обусловлена опасениями разработчиков по поводу того, что Microsoft может закрыть часть сторонних проектов с открытым исходным кодом и развивать собственные разработки.
Однако генеральный директор Microsoft Сатья Наделла обещал, что компания не будет вводить ограничения по языкам программирования, технологиям и облачным сервисам, которые будут использовать разработчики на GitHub. По словам Наделлы, Microsoft продолжит развитие GitHub и оставит платформу открытой.
По собственным данным GitLab, количество новых пользователей сервиса за 4 июня 2018 года, когда Microsoft объявила о поглощении GitHub, увеличилось в пять раз. На площадку было импортировано более 41 тыс. проектов, а количество новых проектов превысило 75 тыс.
К началу июня 2018 года на GitHub насчитывалось около 80 млн проектов и свыше 28 млн разработчиков. Аудитория GitLab не раскрывается, в компании лишь говорят о «миллионах» пользователей.
В течение 24 часов наблюдалось настоящее безумие. Мы видели, как тысячи разработчиков переводят свои проекты и сообщают об этом в Twitter, — рассказал агентству Reuters генеральный директор GitLab Ситсе Сиджбранд (Sytse Sijbrandij). |
По его словам, с момента объявления о продаже GitHub к 5 июня на GitHub было переведено более 100 тыс. проектов, а количество заказов выросло в семь раз.
В сети быстро появилось более 1000 твитов с хэштегом #movingtogitlab, и GitLab предложила скидку в размере 75% на свои тарифные планы, чтобы «подсластить» сделку и ускорить переход с GitHub.
Вице-президент консалтинговой компании SPR Марк Сами полагает, что пользовательская база GitHub не сократится значительно, и привел в пример сервис Yammer, аудитория которого существенно выросла после продажи Microsoft.[19]
Microsoft покупает GitHub за $7,5 млрд
4 июня 2018 года корпорация Microsoft объявила о достижении соглашения о приобретении веб-сервиса GitHub, аудитория которого на май 2018 года насчитывает более 28 млн разработчиков. Благодаря сделке корпорация рассчитывает расширить число пользователей своих инструментов и сервисов для разработчиков.
По условиям соглашения, стоимость приобретения составит $7,5 млрд. Ожидается, что сделка будет закрыта к концу 2018 года после выполнения всех необходимых условий и получения одобрения со стороны регуляторов.
Согласно заявлению Microsoft, по завершении сделки GitHub продолжить работать независимо, предоставляя открытую платформу для разработчиков из самых разных отраслей. Кроме того, разработчики, как и прежде, смогут отдавать предпочтение любым языкам программирования, инструментам и операционным системам при разработке своих проектов.
Пост CEO GitHub займет Нат Фридман (Nat Friedman), вице-президент Microsoft, основатель компании Xamarin и эксперт в области open source-решений. В свою очередь, нынешний глава GitHub Крис Ванстрат (Chris Wanstrath) станет техническим специалистом Microsoft, подотчетным исполнительному вице-президенту Скотту Гифри (Scott Guthrie), и будет отвечать за разработку стратегических инициатив в области разработки ПО.
Согласно оценкам Microsoft, приобретение GitHub окажет аккретивный эффект на операционную не-GAAP прибыль корпорации за 2020 финансовый год.[20]
Крупнейшая DDoS-атака в истории
В марте 2018 года стало известно о самой сильной хакерской атаке в истории, которая обрушилась GitHub. Вечером 28 февраля и ночью на 1 марта известный сервис для хостинга ИТ-проектов и их совместной разработки справился с DDoS-трафиком, который на пике достигал 1,35 Тбит/с.
Атака осуществлялась с более тысячи различных автономных систем через десятки тысяч уникальных конечных точек. Использовались так называемые серверы Memcached. По мнению исследователей, реализация протокола UDP в таких серверах является неправильной, и любой может совершить крупную атаку DDoS без каких-либо проблем.
Как пишет Wired, DDoS-атака длилась более восьми минут, но ее мощность, по всей видимости, была самой большой за все время — по крайней мере, среди всех инцидентов, о которых сообщалось публично. Для сравнения, прежней крупнейшей атакой считалась та, которую в 2016 году пережил поставщик DNS-услуг Dyn. Тогда пострадало большое количество крупных сайтов, а мощность атаки достигала 1,2 Тбит/с.
Таким образом, GitHub отделалась легко, ведь сервис был недоступен лишь около 10 минут. В компании объяснили, что ее ИТ-инфраструктура создавалась с таким учетом, чтобы она могла выдержать в пять раз больше трафика, чем в крупнейшей до этого DDoS-атаке.
Кроме того, для смягчения последствий кибернападения администрация GitHub обратилась к стартапу Akmai Prolexic, который специализируется на очистке трафика от «мусорных» пакетов, перенаправляя их в обход атакуемого сервиса.
По словам Хардика Моди (Hardik Modi), старшего директора отдела ИБ-разработки и реагирования на угрозы подразделения Arbor Networks компании NetScout, использование Memcached не требует обращения к огромным ботнетам. GitHub стала крупнейшей целью для таких атак, однако это может быть лишь началом перед нападениями на другие крупные компании, предупреждает эксперт.[21]
2016: Лидерство Microsoft по популярности Open Source-проектов среди разработчиков
В сентябре 2016 года сервис для разработчиков ПО GitHub опубликовал статистику, связанную с работой портала за год. В отчете отмечается лидерство Microsoft по количеству участников в открытых проектах.
В 2016 году Microsoft заняла первое место по количеству пользователей GitHub, участвующих в Open Source-проектах компаний. У софтверного гиганта насчитывается 16 419 разработчиков-пользователей сервиса. На втором месте по этому показателю расположилась Facebook с 15 682 пользователями.
В тройку лидеров вошла Docker — 14 059 разработчиков, задействованных в проектах компании на портале GitHub. У Google число таких пользователей достигло 12 140.
По словам главы и основателя GitHub Криса Ванстрата (Chris Wanstrath), Microsoft по-настоящему заинтересована в участии в сообществе Open Source. В интервью Fortune Ванстрат отметил следующее:
В большом .NET-проекте участвует больше людей со стороны, чем людей, которые работают в Microsoft. |
К сентябрю 2016 года в GitHub представлены 5,8 млн активных пользователей, 331 тыс. организаций и 19,4 млн репозиториев. Microsoft vscode (репозиторий проекта Visual Studio Code) занял шестое место в списке репозиториев с наибольшим числом участников (5855). На первой позиции расположился Font-Awesome (10 654 разработчика; проект Font Awesome — иконочный шрифт и CSS-инструментарий).
Приверженность Microsoft проектам Open Source осуществляется в рамках стратегии, которую компания называет Microsoft loves Linux. ИТ-гигант старается придерживаться этого принципа во всем: в 2016 году почти треть виртуальных машин в облаке Azure работают под Linux, был выпущен SQL Server для Linux, а также открыт исходный код .NET. Microsoft активно участвует в различных Open Source-проектах, в том числе OpenSSH, FreeBSD, Mesos, Docker, Linux и др.
В статистике GitHub также говорится, что за 12-месячный период, конец которого пришелся на сентябрь 2016 года, Россия заняла четвертое место по росту количества пользователей сервиса — их прибавилось на 74%. Наибольший подъем произошел в Китае (+97%). [22]
2015: GitHub официально приходит в Россию
12 ноября 2015 года было объявлено об официальном выходе GitHub на российский рынок. Партнером этого сервиса для хостинга ИТ-проектов и их совместной разработки в России выбрана дистрибуторская компания VDEL.
В рамках заключенного партнерского соглашения VDEL займется технологическим и коммерческим развитием бизнеса GitHub по таким направлениям, как локализация, сотрудничество с техническими институтами и вузами, технологическое развитие для использования в государственных учреждениях и внедрение методологий быстрого программирования.
Кроме того, VDEL будет продвигать в России и СНГ платный корпоративный продукт GitHub Enterprisе. Благодаря этому клиентам сервиса не нужно будет «волноваться относительно последних законодательных изменений, касающихся хранения персональных данных в России», отметил «Коммерсанту» исполнительный директор VDEL Милан Прохаска.
«Мы получили сильного союзника, — говорит региональный менеджер GitHub Марко Беркович. — Россия – одна из самых активных стран в Европе по использованию GitHub для работы над проектами с открытым кодом».
Независимый разработчик мобильных приложений Олег Овечкин, пользующийся GitHub в основном для хранения кода мобильных приложений, сообщил газете о том, что не представляет, зачем сервису понадобилась российская локализация, поскольку многие разработчики привыкли читать и писать на английском языке.
Глава Postgres Professional Олег Бартунов объясняет появление представителя GitHub в России «политической ситуацией». Он напомнил, что конкурент GitHub — американский ресурс SourceForge — с 1 февраля 2015 года из-за санкций США заблокировал доступ пользователям из Крыма.
«Возможно, поэтому GitHub хочет локализоваться. Или же верят, что санкции отменят», — считает Бартунов.[23]
Примечания
- ↑ New Gitloker attacks wipe GitHub repos in extortion scheme
- ↑ GitHub lays off 10% and goes fully remote
- ↑ Иранская группировка оставляет «закладки» в GitHub
- ↑ Злоумышленники крадут GitHub-аккаунты, подделывая уведомления от CircleCI
- ↑ На GitHub зафиксирована волна форков с вредоносными изменениями
- ↑ Доверенные репозитории GitHub могут содержать вредоносный код
- ↑ GitHub переходит на использование обязательной двухфакторной аутентификации
- ↑ Github suspends accounts of Russian developers linked to sanctioned firms
- ↑ GitHub отказался блокировать российских разработчиков
- ↑ Суд в Москве впервые оштрафовал веб-сервис GitHub
- ↑ GitHub says it will now operate in Iran after receiving sanction exemption
- ↑ Пользователей GitHub атакуют фишеры
- ↑ Для российского кода откроют хранилище
- ↑ GitHub to store software repositories at Piql's long-term storage data center in Svalbard
- ↑ GitHub says 80 percent of repository contributions come from outside the U.S.
- ↑ GitHub starts blocking developers in countries facing US trade sanctions
- ↑ Open-Source ‘Great Satan’ No More, Microsoft Wins Over Skeptics
- ↑ Microsoft-Owned GitHub Just Made It Free for Coders to Keep Projects Private in Small Teams
- ↑ GitLab gains developers after Microsoft buys rival GitHub
- ↑ Microsoft to acquire GitHub for $7.5 billion
- ↑ GITHUB SURVIVED THE BIGGEST DDOS ATTACK EVER RECORDED
- ↑ Microsoft has more open source contributors on GitHub than Facebook and Google
- ↑ GitHub закодировался