Самый популярный хостинг OpenSource-проектов пострадал от взломщиков

ПО Свободное ПО Софт Открытое ПО
, Текст: Егор Гребнев
В конце января самый популярный в прошлом хостинг для проектов по разработке ПО с открытым кодом – SourceForge.net – подвергся атаке злоумышленников. Хотя некоторые функции сервиса были на время отключены, в целом, злоумышленники не смогли оказать существенного ущерба размещенным на SourceForge проектам. Одна из причин взлома – слабая архитектура безопасности и использование устаревшего плохо масштабируемого ПО для управления версиями (CVS, ViewVC). Использование унаследованных программ и отсутствие новых возможностей – это также причина, по которой SourceForge сдает позиции конкурентам – Google и GitHub.

В четверг 27 января старейший портал для хостинга OpenSource-проектов SourceForge.net временно приостановил предоставление части сервисов (CVS, веб-доступ к исходным текстам ViewVC, возможность загрузки новых релизов, удаленный терминальный доступ). На следующий день, 28 января, зарегистрированным пользователям SourceForge.net пришло уведомление по электронной почте с уведомлением о том, что их пароли были сброшены.

Подробный отчет о вторжении по итогам “первого раунда анализа” администраторы SourceForge.net опубликовали в субботу 29 января. Впервые факт вторжения удалось обнаружить в среду 26 числа: по-видимому, атаке были в первую очередь подвержены серверы, на которых работала система управления версиями ПО CVS. Однако следы вторжения удалось обнаружить и на других серверах, обслуживающих портал.

Согласно сведениям SourceForge, общая последовательность атаки “была вполне стандартной”: “Все началось с повышения привилегий до уровня суперпользователя на одной из наших платформ, что позволило злоумышленнику получить аутентификационные данные, которые были затем использованы для доступа к машинам с активированным SSH-интерфейсом”. Однако сегментированная архитектура внутренней сети SourceForge позволила предотвратить распространение атаки на другие зоны сети. Именно в этот момент администраторы SourceForge обнаружили атаку.

Отключение части сервисов портала было предпринято для того, чтобы снизить вероятность распространения атаки. Что же касается сброса пользовательских паролей, то он был обусловлен обнаружением модифицированного сервера SSH, который был запрограммирован на сбор пользовательских паролей: “У нас нет оснований полагать, что взломщик преуспел в сборе паролей, – сообщается в блоге SourceForge. – Но наличие этого [модифицированного] сервера и наличие доступа к размещенным на сервере односторонне захэшированным и зашифрованным данным побудили нас принять превентивные меры и сбросить все пароли пользователей SourceForge”.

Помимо срочных мер, администраторы SourceForge приступили к анализу изменений, произошедших за время вторжения. “Лучше перестраховаться, чем сожалеть впоследствии, – сообщается в блоге, – поэтому мы решили провести широкомасштабную проверку данных проекта: от релизов файлов до новых добавлений в SCM”. 1 февраля администраторы SourceForge объявили о восстановлении возможности загрузки файлов через SSH с более строгими настройками по безопасности, была восстановлена возможность загрузки файлов и обновления с помощью веб-интерфейса. В то же время, сервисы CVS и ViewVC (веб-доступ к CVS) пока что оставались заблокированными, равно как и интерактивный терминальный доступ через SSH.

Очевидно, что в дальнейшем архитектура безопасности SourceForge станет более строгой: “В большинстве случаев, решения в прошлом принимались исходя из общего принципа доверия к разработчикам ПО с открытым кодом, которые работают вместе, играют по правилам и в целом делают то, что надо”, – сообщается в блоге. Но сегодня “наступило время пересмотреть баланс между всеобщим доверием и безопасностью”. Администраторы уже приступили к разворачиванию нового варианта веб-интерфейса доступа к исходным текстам “secure project web”, основанного на защищенной архитектуре. Кроме того, рассматривается вариант отказа от использования старой системы управления версиями CVS, которая обладает архитектурными ограничениями и с трудом поддается масштабированию. Администраторы SourceForge рекомендуют пользователям перейти на альтернативные системы SVN и Git.

Длительное время SourceForge являлся самым популярным хостингом для проектов по разработке свободного ПО, однако в последние годы он стал сдавать позиции новым сервисам, прежде всего, GitHub и Google Code, которым разработчики отдают предпочтение при создании новых проектов. Среди причин упадка популярности SourceForge – отсутствие существенных функциональных и интерфейсных улучшений на протяжении последних лет, избыточность интерфейса, большое число неподдерживаемых проектов. Важно и то, что компания Geeknet, являющаяся владельцем SourceForge, так и не смогла найти прибыльную бизнес-модель. На протяжении 2000-х годов эта фирма (неоднократно менявшая свое имя: VA Research, VA Software, SourceForge, Geeknet) большую часть времени оставалась убыточной. При этом, будучи старейшим хостингом для свободных проектов, SourceForge вынуждена поддерживать ряд устаревших технологий, что накладывает лишь дополнительные ограничения на работу программистов – в то время как конкуренты из GitHub и Google Code могут свободно экспериментировать с новыми технологиями. Как следует из официального блога SourceForge, именно унаследованные технологии и послужили источником проблем при недавнем взломе.