• مازندران، بابل، حدفاصل کارگر و کشوری، مجتمع تجاری غفاری، واحد24
  • پشتیبانی: 09361444655
کد منبع گیت هاب در داخل گیت هاب فاش شد؛ ادعایی حقیقی یا ‌دور از واقعیت؟

کد منبع گیت هاب در داخل گیت هاب فاش شد؛ ادعایی حقیقی یا ‌دور از واقعیت؟

توسعه‌دهنده‌ای با نام کاربری Resynth1943 که خودش را یکی از فعالان حوزه‌ی حریم خصوصی معرفی می‌کند، چند شب پیش، اعلام کرد کد منبع (Source Code) گیت هاب در داخل مخزن قانون کپی‌رایت هزاره‌ی ديجيتال (DMCA) خود این پلتفرم فاش شده است. بررسی ابعاد این موضوع به تحلیل نیاز دارد؛ اما نکته‌ای که همین ابتدا باید بدانید، این است که فاش‌شدن کد منبع گیت هاب آن‌طور که ممکن است در نگاه اول به‌نظر برسد، فاجعه‌بار نیست.

زمان زیادی از مطرح‌شدن ادعاهای Resynth1943 در وب‌سایت هکر نیوز نگذشته بود که نت فرایدمن، مدیرعامل گیت هاب، در هکر نیوز حاضر شد تا جزئیاتی درباره‌ی فاش‌شدن کد منبع گیت هاب در خودِ گیت هاب ارائه دهد. براساس گفته‌های فرایدمن، کد منبعِ فاش‌شده ‌به سرور سازمانی گیت هاب (GitHub Enterprise Server) متعلق بوده است، نه وب‌سایت گیت هاب. سرور سازمانی گیت هاب و وب‌سایت رسمی این پلتفرم کدهای مشترک فراوانی دارند؛‌ اما تفاوت‌هایی درخورتوجه با یکدیگر دارند. همین تفاوت در کد باعث شده است جمله‌ی «گیت هاب هک شد» جمله‌ای غلط باشد.

در نظر داشته باشید که گیت هاب و سرور سازمانی گیت هاب متن‌باز (Open Source) نیستند؛ بااین‌حال کد منبع سرور سازمانی گیت هاب معمولا برای مشتریان ارسال می‌شود؛ البته به‌طور مبهم. نکته‌ی مهم دیگر این است که نسخه‌ی کامل کد منبع سرور سازمانی گیت هاب برای مشتریان ارسال نمی‌شود. نت فرایدمن گفت گیت هاب به‌صورت تصادفی نسخه‌ی کامل و غیرمبهم سرور سازمانی گیت هاب را چند ماه پیش برای تعدادی از مشتریان ارسال کرد. این همان کدی است که چند شب پیش در داخل مخزن DMCA گیت هاب منتشر شد.

به‌نظر می‌رسد Resynth1943 که فعلا هویتش برایمان نامعلوم است، با گیت هاب خصومت دارد؛ به‌همین‌دلیل، از روی عصبانیت خبر هک‌شدن این پلتفرم را در رسانه‌ها منتشر کرده است. کد فاش‌شده ‌درون مخزن DMCA گیت هاب منتشر شد؛ مخزنی که به‌عنوان تاریخچه‌ای برای درخواست‌ حذف کدها بر‌اساس قوانین کپی‌رایت فعالیت می‌کند. Resynth1943 ضمن اشاره به هک‌شدن گیت هاب، از مایکروسافت به‌‌دلیل باز‌نکردن منبع گیت هاب انتقاد کرد.

در مخزنی که کد فاش شد، گفته شده بود کامیت (Commit) فاش‌کننده‌ی کد را Nat (نت فرایدمن، مدیرعامل گیت هاب) ایجاد کرده است. همچون محتویات خود کامیت، این ادعا نیز نادرست است. گیت (Git) کد منبعی است که سیستم گیت هاب برپایه‌ی آن ساخته شده و در‌برابر جعل‌شدن هویت کاربران امنیت زیادی ندارد. کامیتی که کد در آن فاش شده بود، برچسب «تأیید‌شده»‌ نداشت و همین موضوع نشان می‌دهد که نت فرایدمن ایجادکننده‌ی آن کامیت نبوده است.

کامیت‌های گیت همچون پیغام‌هایی که در ایمیل ردوبدل می‌کنید، به کاربران امکان می‌دهد اطلاعات دلخواهشان را در بخش‌های user.name و user.email وارد کنند و همین موضوع جعل‌کردن هویت‌ را ساده می‌کند. البته تنها به کامیت‌هایی برچسب «تأییدشده» داده می‌شود که حساب‌های کاربری رسمی با کلید مجازی GPG ایجاد کنند.

مقاله‌های مرتبط:

  • گیت هاب، سرویسی که طی ۱۰ سال دنیای برنامه‌نویسی را تغییر داد
  • گیت هاب ماه آینده نام مخازن اصلی را از master به main تغییر می‌دهد

سؤالی که مطرح می‌شود، این است: کامیتِ ایجادشده‌ی کاربران عادی چگونه از مخزن DMCA گیت هاب سر در می‌آورد؟‌ تحلیلگران می‌گویند فرد سودجو به‌منظور ایجاد این تصور که کامیت فاش‌کننده‌ی کد گیت هاب را نت فرایدمن ساخته است، در ابتدا مجبور بوده نسخه‌ای کاملا مشابه از مخزن DMCA بسازد. در مرحله‌ی بعد، تنها کاری که باید انجام می‌شد، قراردادن کد در کامیت و واردکردن نام فرایدمن در بخش‌های user.name و user.email بود. 

در نظر داشته باشید که گیت هاب هک نشده است؛ اما متخصصان امنیت می‌گویند که این پلتفرم ازلحاظ امنیتی جای پیشرفت زیادی دارد. در این حادثه، کد سرور سازمانی گیت هاب آگاهانه  وهرچند تصادفی برای مشتریان ارسال شد و نکته‌ی مهم‌تر این است که کسی به حساب شخصی نت فرایدمن دسترسی پیدا نکرد. 

مراجع

  • https://www.zoomit.ir/security/364716-github-source-code-leaked-github-report/