GitHub संस्करण नियंत्रण प्रणाली का उपयोग करके परियोजनाओं की मेजबानी के लिए एक फोर्ज है
हाल ही में एक्वा सिक्योरिटी शोधकर्ताओं ने किया खुलासा उनके द्वारा किए गए विश्लेषण के बारे में जानकारी GitHub रिपॉजिटरी पर रेपोजैकिंग हमले की प्रयोज्यता के साथ।
समस्या का सार अर्थात परियोजनाओं को हटाने या नाम बदलने के बाद GitHub पर, तृतीय पक्ष रिपॉजिटरी में लिंक हो सकते हैं उन नामों के लिए जो अब मौजूद नहीं हैं, उदाहरण के लिए, दस्तावेज़ीकरण, स्क्रिप्ट और README इंस्टॉलेशन निर्देशों में।
शोधकर्ताओं का उल्लेख है कि एक हमलावर GitHub पर एक उपयोगकर्ता नाम पंजीकृत कर सकता है किसी नाम की नकल करना पहले से मौजूद उपयोगकर्ता का, एसी रिपोजिटरी में मैलवेयर डालनाडुप्लिकेट नाम पर और किसी के इसे डाउनलोड करने की प्रतीक्षा करें अप्रयुक्त मैनुअल या पुराने कोड का उपयोग करना जो पुराने लिंक से निर्भरता डाउनलोड करता है।
पिछले अध्ययनों के विपरीत, हमारा शोध हमलावरों द्वारा शोषण किए जाने पर इस डेटाबेस के सुरक्षा निहितार्थ और गंभीरता पर जोर देता है। जिनमें से कई इसमें रेपोजैकिंग के प्रति संवेदनशील कई उच्च-गुणवत्ता वाले लक्ष्य पा सकते हैं। इस ब्लॉग में, हम इस हमले के शोषण परिदृश्यों पर गहराई से विचार करते हैं और वास्तविक जीवन के उदाहरणों का उपयोग करके प्रत्येक परिदृश्य का चित्रण प्रदान करते हैं।
उदाहरण के PHP phpass लाइब्रेरी पर नियंत्रण पिछले वर्ष इसी प्रकार प्राप्त किया गया था। GitHub के पास दूरस्थ परियोजनाओं के पुन: पंजीकरण के खिलाफ सुरक्षा है, लेकिन एक मनमाने खाते में उसी नाम के साथ एक रिपॉजिटरी बनाकर और फिर इस खाते का नाम बदलकर लक्ष्य में रखकर इसे बायपास करना संभव था। यदि आप एक उपयोगकर्ता/प्रतिनिधि भंडार को पंजीकृत करना चाहते हैं जहां उपयोगकर्ता खाता हटा दिया गया था, GitHub आपको उपयोगकर्ता "उपयोगकर्ता" को फिर से बनाने की अनुमति देगा, लेकिन यह आपको "प्रतिनिधि" भंडार बनाने की अनुमति नहीं देगा। आप किसी अन्य उपयोगकर्ता के खाते में "प्रतिनिधि" भंडार बनाकर (उदाहरण के लिए, "उपयोगकर्ता1"), और फिर उस उपयोगकर्ता का नाम बदलकर "उपयोगकर्ता" करके इस सीमा के आसपास काम कर सकते हैं।
GitHub अब इस तरह के हेरफेर का विरोध करने की कोशिश कर रहा है, लेकिन एक्वा सिक्योरिटी के अनुसार, सभी समाधान अवरुद्ध नहीं हैं और सुरक्षा केवल सबसे लोकप्रिय परियोजनाओं पर लागू होती है।एस, जिसके नाम बदलने से पहले 100 से अधिक क्लोन थे।
एक ही समय में, संरक्षण उन परियोजनाओं को नहीं पकड़ता जो नाम बदलने के बाद लोकप्रिय हो गए हैं। यह इस बात पर भी ध्यान नहीं देता है कि एक लोकप्रिय परियोजना निर्भरता के रूप में एक कम लोकप्रिय रिपॉजिटरी का उपयोग कर सकती है जिसका पहले नाम बदल दिया गया था और संरक्षित नहीं है (निर्भरता प्रतिस्थापन द्वारा हमला किया जा सकता है)। नाम बदलने के बाद, GitHub स्वचालित रूप से पुराने लिंक को नए रिपॉजिटरी पर रीडायरेक्ट करता है, लेकिन यह रीडायरेक्शन केवल तब तक रहता है जब तक कि समान नाम वाला उपयोगकर्ता चेक इन नहीं करता है, इसलिए कोड अक्सर नए नाम के लिंक को सही करना भूल जाता है।
हमलावरों को इतनी मेहनत करने की ज़रूरत नहीं है. वे किसी विशिष्ट संगठन से बंधे नहीं हैं. वे इंटरनेट को स्कैन कर सकते हैं और किसी भी शिकार को ढूंढ सकते हैं जो वे चाहते हैं और यदि उन्हें लगता है कि हमले के पीछे लाभ है तो वे तब तक जारी रखेंगे जब तक कि वे अपने लाभ को अधिकतम नहीं कर लेते। GHTorrent प्रोजेक्ट जैसी वेबसाइटें अद्भुत और अमूल्य डेटा प्रदान करती हैं।
GHTorrent प्रोजेक्ट Github पर होने वाले किसी भी सार्वजनिक कार्यक्रम (कमिट, पीआर, आदि) को लॉग करता है और इसे डेटाबेस में सहेजता है। कोई भी व्यक्ति किसी विशिष्ट समयावधि से डेटाबेस डंप डाउनलोड कर सकता है। इस डेटासेट का उपयोग करके, दुर्भावनापूर्ण अभिनेता विभिन्न संगठनों के ऐतिहासिक नामों की खोज कर सकते हैं और अपनी संभावित हमले की सतह का विस्तार कर सकते हैं।
का अध्ययन एक्वा सिक्योरिटी ने 1,25 मिलियन रिपॉजिटरी के नमूने की जांच की, जो GitHub पर रिपॉजिटरी की कुल संख्या का लगभग 0,4% है। सूची एक यादृच्छिक महीने (जून 2019) के चेंजलॉग के विश्लेषण से ली गई थी। रेपोजैकिंग हमले की संवेदनशीलता 36983 रिपॉजिटरी (2.95%) में पाई गई।
शोधकर्ताओं ने एक प्रायोगिक हमला भी किया जिससे विधि की दक्षता का पता चला। कई संशोधित रिपॉजिटरी में, रिपॉजिटरी में रखी गई कलाकृतियों को डाउनलोड करने वाले आईपी पते के बारे में जानकारी का संग्रह व्यवस्थित किया गया था। परिणामस्वरूप, कई बड़ी कंपनियों के नेटवर्क पर गलत डेटा के डाउनलोड दर्ज किए गए।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप परामर्श कर सकते हैं निम्नलिखित लिंक में विवरण।