GitHub, Adata i Chrome OS: o czym nie pisaliśmy w ubiegłym tygodniu
Jak zawsze, newsy toczą ze sobą bitwę o stronę główną. Te, które przegrywają, lądują "pod kreską" i często unikają publikacji. Oto tematy, które w ubiegłym tygodniu spotkał taki los, a o których warto jednak wspomnieć.
GitHub i hasła
Agregator repozytoriów GitHub rozszerza swoje narzędzia do przeszukiwania haseł w kodzie, który hostuje. Dziś wiele firm hostuje swój kod w chmurze GitHuba i nierzadko jego części są dostępne publicznie, jako open source. Jednak nieostrożna automatyzacja może prowadzić do wycieku tajemnic, publikowanych wraz z kodem.
Przypadkowo wklejane connection strings z zapisanymi na sztywno hasłami mogą być jedynie zawstydzającą wpadką, gdy dotyczą testowych systemów w ramach CI. Ale są poważnym problemem, gdy zawierają np. domyślne hasła produktu, których zmiana jest opcjonalna, lub sztywne poświadczenia dla usług i baz danych. Wtedy ich wyciek naraża klientów na niebezpieczeństwo.
Hasło solarwinds123, pełniące rolę w zbiorze historii związanych z włamaniem do producenta systemów backupu SolarWinds, zostało opublikowane właśnie na repozytorium na GitHubie. Eksperymenty z pozostawianiem w kodzie haseł lub kluczy SSH kończą się próbami logowań do honeypotów w czasie nieco ponad minuty. Problem jest więc nie tylko poważny, ale i podatny na automatyzację, którą już przeprowadzono.
Rozwiązanie GitHuba ma ustrzec twórców open source przed opublikowaniem sekretów w katalogach pakietów (jak npm i NuGet). Od teraz skan jest rozszerzony o PuPI i RubyGems.
Adata zaatakowane przez ransomware
Bleeping Computer donosi, że firma ADATA, producent pamięci, został zaatakowany trojanem Ragnar. Jest to zyskujący na popularności, acz nienowy (2019), ransomware o wysokim poziomie złożoności. Poza zaszyfrowaniem dysków firmowych, przestępcy ukradli też pond 1,5 terabajta danych wrażliwych.
Według deklaracji firmy, to raczej ta druga kwestia (kradzież danych) będzie bardziej dotkliwa, ponieważ atak udało się zatrzymać, a złośliwy kod usunąć z firmowej infrastruktury. Przedsiębiorstwo wróciło już do pracy na zwyczajowych warunkach.
Atak nie wpłynął na łańcuch produkcyjny (co oznacza ukierunkowanie na "biurokrację", a nie produkcję), więc produkowany przez firmę ADATA sprzęt pozostaje bezpieczny. W historii zdarzały się jednak odmienne scenariusze. Jednym z bardziej urokliwych, z naszej lokalnej perspektywy, jest obecność zielonogórskiego wirusa Angelina na fabrycznie zapakowanych dyskach twardych Seagate 5850. Miało to miejsce w roku 1995.
Chrome OS jeszcze częściej
W trzecim kwartale 2021, Google rozpocznie dostarczanie nowych wersji Chrome OS w cyklu czterotygodniowym zamiast sześciotygodniowego. Oznacza to mniejsze zmiany i szybsze dostarczanie funkcji, co jest osiągalne jedynie przy bardzo wydajnie pracującym pipeline'ie CI/testowym oraz odpowiednio dojrzałym kodzie, który da się rozwijać na takich warunkach.
Szybsze dostarczanie wydań wiąże się oczywiście z koniecznością wymuszania aktualizacji u klienta. Z tym jednak nie jest w Chrome OS aż tak źle. Mimo, że jest to "chmurowy system", istnieje kanał wsparcia o cyklu półrocznym, dla firm i szkół.
Szybszy cykl wydawniczy i comiesięczne dostarczanie funkcji to coś, nad czym bardzo intensywnie pracuje Microsoft, zwłaszcza odkąd rozwój Windowsa jest wspomagany zespołem Azure (a to Azure zarabia dziś dla Redmond pieniądze). Droga do tak elastycznej metody jest jednak długa, a w dotarciu do jej celu przeszkadza stos serwisowy oparty o monolityczne pliki WIM.