URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 84530
[ Назад ]

Исходное сообщение
"Сайт открытого проекта Notepad++ подвергся взлому"

Отправлено opennews , 14-Май-12 21:20 
Зафиксировано (http://www.h-online.com/open/news/item/Notepad-web-site-comp...) проникновение злоумышленников на сайт проекта Notepad++ (http://notepad-plus-plus.org/), в рамках которого развивается популярный свободный (GPL) редактор кода для платформы Windows. После взлома злоумышленники модифицировали заглавную страницу сайта и организовали перенаправление пользователей на форму авторизации Facebook, судя по всему, использующую официальный Facebook API для сбора параметров аккаунтов пользователей данной социальной сети от лица сайта Notepad++.


Официальных комментариев об инциденте от администрации проекта Notepad++ пока не поступило, но работа сайта уже восстановлена. Также непонятно, насколько глубоко затронута инфраструктура проекта, в частности, не затронула ли атака  SVN-репозиторий (http://svn.tuxfamily.org/viewvc.cgi/notepadplus_repository/) с исходными текстами и архив пакетов для загрузки.

<center><a href="http://www.h-online.com/imgs/43/8/4/0/1/4/5/notepad-plus-plu... src="http://www.opennet.me/opennews/pics_base/0_1337015327.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>

URL: http://www.h-online.com/open/news/item/Notepad-web-site-comp...
Новость: http://www.opennet.me/opennews/art.shtml?num=33844


Содержание

Сообщения в этом обсуждении
"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 14-Май-12 21:20 
> Не затронула ли атака SVN-репозиторий с исходными текстами

А вот использовали бы git, этой проблемы бы не было.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Zenitur , 14-Май-12 21:33 
GIT моложе SVN, а обычно самые опасные уязвимости находят в молодых проектах.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 14-Май-12 21:42 
Расскажи это Линусу либо kernel.org...

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 14-Май-12 21:56 
>Расскажи это Линусу либо kernel.org...

Это который поломали осенью?


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено sse , 14-Май-12 22:12 
Не через гит, однако.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Алексей , 14-Май-12 23:15 
Ну дык и этот не через svn

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено атом , 15-Май-12 07:30 
svn централизованное хранилище git распределенное
Если у кого-то еще есть копия. У автора например восстановить вообще не проблема

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 09:15 
> svn централизованное хранилище git распределенное
> Если у кого-то еще есть копия. У автора например восстановить вообще не проблема

Недавно на Опеннете уже была дискуссия, что svn и git - это всего лишь фронт-энды к более общим технологиям VCS и DVCS. Потому что за этим стоят математически обоснованные алгоритмы и структуры. Программные интерфейсы здесь вторичны, а уж тем более пользовательские интерфейсы.

Ничто не мешает сделать к svn распределенный бак-энд. А фронт-энд git можно тоже прикрутить к чему угодно.

Что собственно и делается уже давно в таких веб-сервисах, как github.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено x , 15-Май-12 12:57 
ок, тогда скажем по другому, с DVCS автору бы не составило проблем восстановится

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 16:29 
> ок, тогда скажем по другому, с DVCS автору бы не составило проблем восстановится

Я ничего не имел против DVCS, но разве в этом их отличие от остальных VCS?
Если вы выбираете DVCS только ради бакапов, то вы просто не знаете, зачем DVCS на самом деле нужны.

А восстанавливать прекрасно можно и централизованные системы. И они в этом ничуть не уступают. И в небольших проектах имеют явное преимущество.

Keep it simple, stupid! (c)
Распределенную систему гораздо труднее защищать.
Ведь атаковать можно любой узел.

Если злоумышленник с какими то целями инжектировал свои правки, или подделал чужие правки, и это обнаружилось только спустя некоторое время, когда эти правки уже разошлись по распределенным репозиториям. Особенно если атака продолжалась в течение какого-то времени.

Потом придется делать аудит всего кода, и если какие то ветки остались у кого-то на узлах, они потом опять могут вернуться после мержей.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:28 
> Ничто не мешает сделать к svn распределенный бак-энд.

Теоретически, ничто не мешает вам стать долларовым миллиардером. Практически же с этим будут определенные трудности :)


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 16:33 
>> Ничто не мешает сделать к svn распределенный бак-энд.
> Теоретически, ничто не мешает вам стать долларовым миллиардером. Практически же с этим будут определенные трудности :)

Трудности вообще-то могут возникнуть в любой момент, совершенно неожиданно, при любой попытке что-либо сделать.

Если вы не знаете, как это делается практически, это еще не означает, что никто этого не умеет, и не означает, что это исключительно теоретическая возможность.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Michael Shigorin , 16-Май-12 03:00 
> Ничто не мешает сделать к svn распределенный бак-энд.

До такой степени не мешает, что вместо SVK хором советуют юзать git-svn...


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 00:07 
> Это который поломали осенью?

Ага, и даже на взломанном сервере исходному коду ничего не угрожало.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:23 
> Это который поломали осенью?

... и которые использовали распределенную природу гит и факт использования криптографии чтобы проверить что ничего не вброшено + временно перенести реп в другое место.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Atterratio , 14-Май-12 23:32 
Человек имел в виду, не то, что через SVN ломанули, а через GIT не смогли бы, а то, что в гит на каждое изменение иходников наложен ключ закомитевшего, и впринципе можно поверить, а не добавилили чего...

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено arisu , 15-Май-12 00:16 
более того: взять весь репозиторий у любого довереного девелопера и тупо восстановить. а вот взять весь репозиторий у пользователя svn несколько проблематично.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено тигар , 16-Май-12 00:12 
> более того: взять весь репозиторий у любого довереного девелопера и тупо восстановить.
> а вот взять весь репозиторий у пользователя svn несколько проблематично.

в чем сложность? особенно с _весь репозиторий_, в контексте "а в git это вот так делается, круче же!" ;-)


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 06:14 
При чём тут уязвимости? git проверяет контрольные суммы, и любое изменение в репозитории будет мгновенно обнаружено.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:26 
> При чём тут уязвимости? git проверяет контрольные суммы,

Он не только проверяет их, но и пользует их как идентификаторы коммитов. Для вброса нелегитимного коммита куда-то в середину (где никто не заметит это действо) - надо пересчитывать все дерево. А вот это вызовет массовый развал по сравнению с другими распределенными копиями и будет мгновенно запалено толпенью разработчиков при попытке синхронизации. Так что даже без цифровых подписей палива будет выше крыши :)


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Карбофос , 15-Май-12 11:15 
это зависит не от возраста проекта, а от подхода разработчиков к проекту.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Сергей , 15-Май-12 12:12 
Linux моложе Windows. Да уж, смешно от таких аргументов.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:01 
> GIT моложе SVN,

...что не мешает ему быть крайне проблематичным для вбросов задним числом из-за задействования криптографии и распределенности. Попытка заныкать в середину коммит с левым кодом приведет к массовому разъезду распределенных копий и воплям толпы народа. А в свн все тихо схавают добавку как легитимное изменение...


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Kibab , 15-Май-12 01:15 
Я знал! После упоминания SVN в исходной новости просто обязан был появиться линуксовый фанбой и радостно насрать в каменты про git! :-)

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:03 
> линуксовый фанбой и радостно насрать в каменты про git! :-)

Ну так если вы начнете орать что ваш запор лучше мерсов и фордов - ясень пень вам в коменты насрут. И не то чтобы будут совсем уж неправы утверждая обратное :)


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 15:24 
зависит от подборки критериев, как-бы

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноным , 14-Май-12 21:33 
На версии для Мака и Линя намекают?

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Anonym , 14-Май-12 22:01 
> На версии для Мака и Линя намекают?

SciTe?


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 14-Май-12 22:15 
Ну зачем они так... :'(

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Atterratio , 14-Май-12 23:29 
А что такого то??? Плохо если они что ни будь запилили в исходники(хотя кого я обманываю срать мне на Notepad++), а если сайт ломанули, потому что админы идиоты, то это невинная шалость.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:04 
> Плохо если они что ни будь запилили в исходники

А ты поди теперь определи с SVNом - подбросили туда бяку или нет, удачи :)


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено azex , 14-Май-12 23:06 
Хороший редактор, когда раньше сидел на Windows, часто им использовался.
Не понимаю, каким уродам могло понадобится ломать и дефейсить сайт этого проекта. Печально :-(

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено trdm , 14-Май-12 23:39 
редактор действительно отличный.
до сих пор пользуюсь.
однако есть одно нарекание: почему-то убрали вертикальную полоску показывающую какие блоки кода менялись. с ней было удобнее намного. хорошо в основной иде она есть.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено XoRe , 15-Май-12 03:33 
> однако есть одно нарекание: почему-то убрали вертикальную полоску показывающую какие блоки кода менялись.

Вот он, мотив!


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено анон , 15-Май-12 17:31 
> почему-то убрали вертикальную полоску показывающую какие блоки кода менялись

NppPlugin_ChangeMarker.dll
нестабильно работает, вешает n++ последних версий


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено arisu , 15-Май-12 00:19 
а какому дятлу, например, понадобилось дефейсить princed.org?

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:40 
> а какому дятлу, например, понадобилось дефейсить princed.org?

Как будто мало дятлов. Ну и вообще, дятлы - санитары леса :)


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 15:26 
>> а какому дятлу, например, понадобилось дефейсить princed.org?
> Как будто мало дятлов. Ну и вообще, дятлы - санитары леса :)

ну таки пусть вон в лесу и "санитарят"


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено DFX , 18-Май-12 11:35 
да уж, я вот тоже редко использую Кривую.
но когда я это делаю, я первым делом ставлю N++

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено 17 , 14-Май-12 23:45 
И давно уже. По крайней мере в середине прошлой недели уже болтался дефейс. Судя по характеру изменений на сайте (изменен левый фрейм (или таблица) с меню) и изменение загрузочных ссылок на лицокнигу (при этом осталась доступной основная страница загрузки, которую подсказывает гугл-поиск) кидисы получили ограниченный доступ к cms сайта, ну и о том что такое git или svn они скорее всего даже не подозревают.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:06 
> такое git или svn они скорее всего даже не подозревают.

Или же некто специально прикинулся шлангом чтобы подольше версию с бэкдором отгружать.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено filosofem , 14-Май-12 23:58 
Skype, теперь Notepad++, день новостей из далекого прошлого какой-то. )
По теме взлома, чтоб сайт на шаред хотинге дефесить часто достаточно ковырнуть любой соседский сайт с дырявой цмс-кой. Но судя по тому, что SVN на том же хостинге, могли влезть и в него.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 10:11 
Это - пиар акция чтобы привлечь внимание.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Xasd , 15-Май-12 13:01 
привлечь внимание к Wine? или к Windows?

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 15:29 
> Это - пиар акция чтобы привлечь внимание.

вы это написали чтобы вас прочли, охренеть!


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 12:58 
> не затронула ли атака SVN-репозиторий

Да, это вам не гит - там хрен теперь поймешь...


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено свищ , 15-Май-12 13:07 
тупые git-фанбои даже не в состоянии вообразить, что нормальные админы делают бекапы репозиториев независимо от используемой vcs/dvcs

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 13:38 
> тупые git-фанбои даже не в состоянии вообразить,

Тупые ???-фанбои не в состоянии вообразить что очень круто когда dvcs палит нелегитимные потуги сама + хранит полноценную копию канающую как бэкап у каждого разработчика вообще.

Одно дело какая-то там копия какого-то там сервака у какого-то там пальцатого кулсисопа, которая по закону подлости еще и не прочтется или окажется месячной давности и другое - когда у каждого разработчика есть свой полноценный "бэкап" со всей историей. Несомненно, бричка тоже средство передвижения, но автомобили оказались технологичнее и удобнее.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Аноним , 15-Май-12 16:41 
> Тупые ???-фанбои не в состоянии вообразить что очень круто когда dvcs палит нелегитимные потуги сама + хранит полноценную копию канающую как бэкап у каждого разработчика вообще.

Точно тупые. ибо не знают что есть такая штука как force update которая радостно перетрет что запросили и при этом никаких воплей не будет.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Michael Shigorin , 16-Май-12 03:05 
> ибо не знают что есть такая штука как force update которая радостно перетрет
> что запросили и при этом никаких воплей не будет.

Вы хоть раз сделайте и глазами выхлоп посмотрите, "не будет".


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Тощий Тролль , 16-Май-12 00:52 
Наверное, его ломанули после того, как была расширена лицензия, защищающая от создания инсталляторов с вредоносными модулями.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Nas_tradamus , 16-Май-12 16:17 
Запилили бы под *nix этот редактор. Ничего лучше из легковесных редакторов так и не видел.

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено arisu , 16-Май-12 20:37 
ну дык исходники же открыты, нет? взял — и пилишь, пилишь…

"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Nas_tradamus , 18-Май-12 11:50 
> ну дык исходники же открыты, нет? взял — и пилишь, пилишь…

Открыл вчера для себя Bluefish. Всего минут 15 копания в конфигах - и получаю почти такую же прогу, как Notepad++ по функционалу, удобству и скорости работы.

Вот правда не умеет менять кодировку файла и формат конца строки. :(

Ну и Zoom по ctrl + колесо мыши почему-то бесконечно уменьшает и не увеличивает. Но это я переживу.


"Сайт открытого проекта Notepad++ подвергся взлому"
Отправлено Онон , 22-Май-12 09:18 
> Запилили бы под *nix этот редактор. Ничего лучше из легковесных редакторов так
> и не видел.

Дык, эта.... gvim-же!