Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Broncodes van repositories van tientallen bedrijven verschijnen op GitLab-server

De broncodes van repositories van tientallen bedrijven zijn online verschenen. Een ontwikkelaar heeft ze gevonden en gekregen, en openbaar op GitLab gezet. Het gaat om repo's van techbedrijven als Adobe en Lenovo, maar ook van bijvoorbeeld Disney.

De repo's bevatten broncode van interne systemen. Ze zijn verzameld door een ontwikkelaar genaamd Tillie Kottmann, die de repo's via verschillende kanalen wist te verzamelen. In sommige gevallen gaat het om oude code die inmiddels zelf door ontwikkelaars online is gezet, maar Kottmann zegt tegen Bleeping Computer dat de code ook vaak op slecht geconfigureerde servers staat en daarom publiek toegankelijk is. Kottmann kijkt daarbij bijvoorbeeld naar servers waarop het code-auditingplatform SonarQube draait. Kottmann vraagt het publiek op Twitter echter ook om nieuwe broncodes.

De repo's werden onder andere bekeken door beveiligingsonderzoeker Bank Security. Die keek vooral naar code van banken en fintechbedrijven, maar de repo's zijn ook afkomstig van bedrijven als Microsoft, Qualcomm, Motorola, Adobe en Disney. Kottmann heeft de repo's in een eigen GitLab-opslag geplaatst, maar die is op dit moment offline.

In sommige repo's waren hardcoded wachtwoorden en authenticatiemiddelen te vinden. Die credentials zijn door Kottmann naar eigen zeggen zoveel mogelijk weggehaald, al is dat waarschijnlijk niet overal het geval. Ook is niet duidelijk of de repo's privé- of vertrouwelijke informatie bevatten. Kottmann zegt tegen Bleeping Computer dat eventuele takedownverzoeken gehonoreerd worden.

Door Tijs Hofmans

Redacteur privacy & security

28-07-2020 • 09:58

91 Linkedin

Submitter: TheVivaldi

Reacties (91)

Wijzig sortering
Ik ben gisteren al even door de tweets en dergelijke gegaan.
In een van de stukken software voor banken, geschreven door een bedrijf waar verschillende banken klant van zijn, zitten bewust backdoors ingeprogrammeerd.

Er valt wat te zeggen over auteursrecht maar ik ben van mening dat het goed is dat dit naar buiten komt.
En hoe leuk de source code van Nintendo-games ook is, het was niet nodig om dat naar buiten te brengen. Kottman had daar best keuzes in mogen maken.
public enum LoanCredentialAttributes {
AO_BACKDOOR_CLIENT_ID, AO_BACKDOOR_CLIENT_ID_PASSWORD
}
https://pbs.twimg.com/med...QmD?format=png&name=small
Kan je ook motiveren waarom dit goed is en waarom je het wel OK vindt bij de ene en liever niet ziet bij de andere? Dat lijkt mij dan weer het hanteren van een dubbele standaard.
Het lijkt dat de gevoeligheid en kwetsbaarheid van het ene zwaarder weegt dan het andere.

Welke schade kun je aanrichten met een Nintendo game en welke met een backdoor van een bank?

Pak de weegschaal en doe een poging.
Een programma dat op de apparaten van miljoenen consumenten staat? Ik weet niet wat voor persoonlijke data mensen op die apparaten weten neer te zetten, maar aangezien mensen switch abonnementen kunnen kopen, en ook andere digitale meuk, denk ik dat dit een aardig groot platform is waarbij aanvallers gestructureerd betalingsinformatie en misschien nog wel andere persoonlijke informatie buit kunnen maken.

Een bank heeft vele audits en zodra er geld mist komt men er meestal best snel achter. Dat is hoe de financiele wereld overleeft. Maar die closed-source consumenten spelcomputertjes? Het zou me niet verbazen als het mogelijk was om dingen te doen die geen mens ooit opmerkt.
Dus schade voor een bedrijf is minder belangrijk dan schade voor een bank?

Nintendo kan hierdoor economische schade ondervinden (gekraakte versies == minder omzet)
Nintendo Intellectual Property (wat je daar ook van vindt) ligt mogelijk op straat, dit kan de concurrentiepositie van een bedrijf behoorlijk verzwakken.
Nintendo kan hierdoor naamschade krijgen als een game "gepatched" wordt met kwaadwillige code.

En het grootste gevaar: spelcomputers zitten bij de meeste mensen in het vertrouwde thuisnetwerk, met alle toegang naar persoonlijke documenten, foto's en filmpjes etc die daar bij horen. Alleen al van de Nintendo Switch zijn er 55 miljoen units verkocht. Allemaal potentiele botnet clients of "sniffers" voor interessante data op thuisnetwerken. Zeker met alle sensoren e.d. die tegenwoordig standaard zijn ingebouwd (beweging, geluid, licht, aangesloten camera's), die bijvoorbeeld ook gebruikt kunnen worden door inbrekers om te zien of er iemand thuis is.

Of banken die een enorm beveiligingsbudget hebben. In die optiek weegt de Nintendo leak dan mijns insziens eerder zwaarder.
Is dit een ongelukkig gekozen variabele naam, of echt een nieuwswaardig iets?
Ik gok toch echt op dat eerste. Anders heb je bij de eerste de beste audit een groot probleem.
Dan moet ie de rest ook niet naar buiten brengen. Hoezo meten met 2 maten?
Of ik lees dit verkeerd, of dit is een public method, welke 2 waarden oppraagt: een username en een password.
In wat normaler nederlands: de programmeurs versie van een veld: voer naam en ww in.

Dit zegt dus niks over wel of niet veilig zijn: het kan best zijn dat er naast een Single signon oplossing voor je medewerkers (door bijv. google of azure ad) je een extra optie er bij zet, met een username en password, voor het scenario waarin je credentuial provider niet beschikbaar is.
Uiteraard dien je hier wel voorzichtig mee om te gaan: (mfa, certificates etc.) maar dit is niet uitzonderlijk imo.
Alleen al het woord "gevonden" is raar in deze context. Ja, je kan er naar op zoek zijn, maar je moet toch echt huisvredebreuk plegen om de broncode "te vinden". Als je de broncode van een ander "krijgt" ben je een heler.

Vraag me af wat het achterliggende doel is want hardgecodeerde wachtwoorden klinkt als erg foute jaren negentig-code. En dan de term "zoveel mogelijk weggehaald". Als je wilt dat bedrijven zorvuldiger worden moet je dat zelf ook toepassen, ofwel pas online zetten als je zelf alles gescreend hebt! Ja, saai werk maar wel zo netjes.

Als de repo's publiekelijk toegankelijk zijn, zou ik het trouwens nog steeds niet zelf openbaar maken. Je kan ook als eerste de beheerder verwittigen en daarna openbaar maken dat hij publiek toegankelijk is/was.

Klinkt eerder als een gray hat dan een ontwikkelaar die het beste met iedereen voor heeft.
Het is maar welke metafoor je gebruikt. Als ik mijn voordeur open laat staan en jij neemt mijn TV mee dan is dat diefstal want jij bevond je ongeoorloofd op mijn terrein etc..
Als je echter er van uitgaat dat deze bedrijven door deze niet te beveiligen effectief op straat bij het afval hebben gezet dan is het een hele andere zaak.
Ik neig eerder na de eerste uitleg. Maar ik heb begrip voor de tweede. De "schade" van publicatie is al gedaan en niets gaat dat verhelpen. Het enige verschil is ruchtbaarheid, van vele anderen kunnen het in stilte hebben gedownload voor sinistere redenen.
Je metafoor gaat op internet niet echt op. Code staat niet echt op straat. Een repo kan je wel openbaar maken maar in het verhaal staat duidelijk 'slecht geconfigureerde servers'. Dan is het dus een al dan niet wagenwijd openstaande deur waar je echt naartoe/doorheen moet. Zodra je de website niet standaard benaderd (telnet/SSH etc.), weet je al dat het huisvredebreuk is.

Het enige geval dat ik nu even kan bedenken waarop geen huisvredebreuk van toepassing zou kunnen zijn, is als de server en repo beide vanaf afstand via de webserver worden kunnen benaderd en dat je er toevallig op stuit. Dan bevindt je je op een normale plek.
Computervredebreuk. Detail ;)
In veel landen in Europe is het nog steeds diefstal als je iets uit iemand ander's vuilnis meepakt. Niet dat de politie er moeilijk over doet als een dakloze voedsel uit een afval container 'steelt', maar als je door de vuilnis van je buurman gaat zoeken naar weggegooide rekeningen dan heb je toch echt wel een probleem.
En toch als je je raam op de 1ste verdieping niet op slot doet, is het insluiping en geen inbraak. Koste me 2 best dure gitaren en de politie wimpelde het af.
'inbraak' is enkel een verzwarende faktor voor diefstal. In jouw geval zou het binnen Nederland inklimming zijn (insluiping is via normale toegangsroutes) . In alle gevallen is het huisvredebreuk. Probleem is dat de politie meestal in het algemeen niet al te veel kan doen met huisvredebreuken met de capaciteit die ze hebben. Bij mij was er sprake van inklimming, maar de dader had een baksteen mee om een raam mee in te gooien (wat open bleek te zijn), waardoor het automatisch toch inbraak werd als ik het goed begreep. Hoe dan ook, persoonlijk had ik super geluk dat de dader direct daarna ergens anders probeerde in te breken waar hij op heterdaad werdt betrapt en mijn spullen op straat liet liggen 😅😂 , maar anders betwijfel ik dat de politie veel had gedaan.
In sommige gevallen kan het ook onachtzaamheid zijn van developers.

Bijvoorbeeld, als je SonarCloud gaat gebruiken (en je neemt geen licentie) wordt alles wat je daarop doet als open source beschouwd en is dus door iedereen toegankelijk, mits je het kunt vinden. Iemand die denkt 'even snel' static code analysis uit te voeren op een stuk code publiceert daarmee code op internet.
Door op SonarCloud te gaan grasduinen zou je dus zomaar code kunnen 'vinden'.

Idem met een aantal andere tools (zoals destijds github, hoewel tegenwoordig een gratis repo ook private kan worden gezet).

Dit alles is natuurlijk terug te voeren op het goed doorlezen van de voorwaarden van een dienst en niet zomaar klakkeloos een tool gebruiken, maar ja, je weet hoe goed iedereen een EULA doorleest....
Kottmann zegt tegen Bleeping Computer dat eventuele takedownverzoeken gehonoreerd worden.
Dus je komt broncode tegen waarvoor je geen licentievoorwaarden hebt, die dus automatisch beschermd is door copyright en beslist om ze dan, zonder licentie, online te gooien met de melding dat ze maar moeten verzoeken om deze terug offline te halen.

Ik denk dat hier enkele advocaten goed aan gaan verdienen.
Ja, dit is gewoon dom. IANAL (IBGA?) maar het feit dat hij een verzoek om de code offline te halen zonder tegenstribbelen accepteert kan vgm worden gebruikt als bewijs dat hij bewust auteursrechten aan het schenden is.

Daarnaast hoop ik dat hij HEEL zeker weet dat hij alle credentials of vertrouwelijke informatie uit de source code heeft gehaald. Want als er ook maar iets te vinden is wat een van de bedrijven geld zou kunnen kosten wordt hij juridisch gestenigd.
Nee takedown requests zijn een voorwaarde om te voldoen aan copyright.
Als copyright niet bekend is dan moet je daar zsm (= direct) op reageren, dan is er nog geen reden voor rechtzaak.
Niet reageren op takedown notices zet je in de hoek van TPB en co.
Disney maakt een screenshot van de repository, gaat naar een rechter en vraagt vervolgens om een bevel om bij GitLab alle access logs op te vragen (IP addressen). Als daar een IP van een concurrent tussen zit, dan kan Disney er zelfs een bedrijfs spionage zaak van maken met grote financiele gevolgen. DreamWorks kan nu immers in bezit van proprietary Disney tools..

Dit gaat veel en veel verder dan alleen auteursrecht.. Daarnaast zijn TakeDown requests geen onderdeel van Copyright, maar van de DMCA. De DMCA geld wel voor GitLab (hosting partij), maar niet voor Kottman (uploader).

Kottman had in plaats van de code in een eigen repository te plaatsen, ook contact kunnen opnemen met deze bedrijven. Aangezien Disney kantoren heeft is diverse Amerikaanse staten, kunnen zij er zeer eenvoudig een federale case van maken waardoor de FBI ingeschakeld kan worden.

Ook is het mogelijk dat de SEC wordt ingeschakeld. Als blijkt dat Kottman bijvoorbeeld short is gegaan op bijvoorbeeld Adobe of Disney, dan heeft hij ook tal van financiele wetten overtreden (handel op basis van voorkennis)..
Deze regel geldt idd voor de platforms die de content (zonder het te weten) hosten. Maar ik weet niet hoe het werkt voor een individuele uploader, al helemaal als je het op je eigen GitLab host. Volgens die logica zou ik de sourcecode van de nieuwe Call of Duty online kunnen zetten zonder repercussies, zolang ik het maar offline haal als Acti-Blizz het netjes vraagt.
EDIT: @Niemand_Anders legt het een stuk beter uit, zie comment hierboven.

[Reactie gewijzigd door RaptorGsus op 29 juli 2020 11:48]

Daarnaast hoop ik dat hij HEEL zeker weet dat hij alle credentials of vertrouwelijke informatie uit de source code heeft gehaald. Want als er ook maar iets te vinden is wat een van de bedrijven geld zou kunnen kosten wordt hij juridisch gestenigd.
Dat is maar zeer de vraag. Indien hij kan aantonen dat de info uit een publieke bron komt is het voor de klagende partij niet meer aan te tonen dat hij de verspreider van de credentials is. En niet de klager zelf.
Het publiceren van credentials is net zo strafbaar als het stelen daarvan. Daarnaast is een slecht beveiligde server *GEEN* publieke bron!
Een slecht beveiligde server die publiek toegankelijk is kan heel goed een open ftp server zijn waar geen wachtwoord op staat. Of een webserver waar geen login op zit. Dit zijn openbare bronnen. Dat dit niet de bedoeling was is jammer dan. Als er een beveiliging doorbroken moet worden hoe slecht deze dan ook is dan heb je gelijk.
Met die instelling is een huis zonder voordeur ook openbaar terrein? Zo werkt het m.i. niet.
Een huis is in deze vergelijking ook een cliënt...

Een server serveert in de basis informatie. Of naar het internet, of een intern netwerk.

Als dat idd een ftp server is, zonder authenticate, is het niet na te gaan of dit wel/geen publieke bron is, tenzij er ergens nog een notificatie/discpaimer is die aangeeft waar de bron voor bedoeld is.

Of een website waarbij als je op login klikt, je meteen in het members gedeelte zit door een bug. Hoe weet je dan zeker dat dit niet zo bedoeld is?

In dit geval kun je echter met gezond boeren verstand aannemen, dat deze meneer heel goed wist waar die mee bezig was, wss is ie daarom ook zo stellig dat ie takedown gaat honoreren.
SonarQube vereist een login. Dat maakt het een beveiligde server en niet een openbare server ondanks dat deze aan het internet hangt. Zelfs als het default admin/admin wachtwoord niet is gewijzigd, is de omgeving (slecht) beveiligd.

Een paar jaar geleden was er een rechtszaak (weet helaas niet meer welke) waarbij de aanklager aangaf dat als Google de website niet kan indexeren, het geen openbare server betreft. Dat statement is om een of andere reden bij mij blijven hangen..

Om aan te tonen dat je bij een database kunt, is het voldoende om 10 records te tonen welke je as-is doorstuurt naar de organanisatie van wie de database is. Als er geen tijdige reactie komt, kun je die records publiceren op social media, mits je prive gegevens blurred. Het is echter niet nodig om de complete database te downloaden en openbaar te maken..

Kottmann claimed een beveiligingsonderzoeker te zijn. Een professional wordt geacht verstandig te werk te gaan. In de VS zijn er zeer hoge boetes en zelfs gevangenis straffen uitgedeeld vanwege het delen van muziek bestanden. Dan is het publiceren van broncode van proprietary broncode van een van de grootste entertainment bedrijven ter wereld niet heel erg verstandig. Disney zal geen enkel probleem hebben om een bevel te krijgen om bij GitLab de access logs op te vragen. Als GitLab DMCA bescherming wil blijven genieten (doorgeefluiken zijn niet strafbaar/medeplichtig zolang zij meewerken) moeten zij die logs overhandigen. Als er in die access logs ook maar 1 IP voorkomt van een Disney concurrent, dan kan Disney ernstige schade (bedrijfs spionage) aantonen bij een federale rechter. Een federale rechter heeft de mogelijk om een internationaal opsporingsbevel uit te vaardigen als de verdacht bij verstek ik veroordeeld bij ik meen minimaal 1 jaar. Door het publiceren van de broncode is Disney is verlegenheid gebracht. Dus zelfs als zij de tool eigenlijk al 5 jaar niet meer zouden gebruiken, zullen zij dat natuurlijk nooit toegeven. Disney zal claimen dat het een essentiele tool binnen hun productie proces en dat directe concurrenten daar nu ook toegang tot hebben. Dat de code al een aantal jaren niet meer gewijzigd is, betekend nog niet dat de tool niet (meer) wordt gebruikt. Qmail heeft bijvoorbeeld als sinds 2003 geen officiele updates meer gehad. Toch is het nog steeds een veelgebruikte mailserver..
Probleem is natuurlijk dat als je hier als bedrijf niet van op de hoogte bent gebracht je niet weet dat jouw code daar bv publiekelijk beschikbaar is en je dus ook niet zo snel een takedownnotice zult sturen, want wat je niet weet kun je ook niet naar handelen.
Dus je komt broncode tegen waarvoor je geen licentievoorwaarden hebt, die dus automatisch beschermd is door copyright en beslist om ze dan, zonder licentie, online te gooien met de melding dat ze maar moeten verzoeken om deze terug offline te halen.
Hij zegt dat het mag volgens de Amerikaanse DMCA, zolang hij maar reageert op take-down verzoeken. Ik ben niet genoeg jurist om dat te beoordelen, maar hij lijkt er in ieder geval over na te hebben gedacht.
Vraag is of hij er goed over heeft nagedacht. DCMA beschermd GitHub, als GitHub maar reageert op Notice-and-takedown requests, maar ik twijfel heel erg of het je beschermd als je als uploader willens en wetens (slecht beveiligd) coprighted materiaal bewust publiek zet met de mededeling "meld het maar als het weg moet". Dan zou de gemiddelde Torrent-site hetzelfde beleid kunnen gaan voeren, net als de uploaders. Ben geen jurist, maar ik denk niet dat het stand houdt.
De DMCA biedt daar idd een safe haven voor en inderdaad: ook torrent sites kunnen dat in principe.

In dit geval heeft hij de code gekregen of uit publieke bronnen gehaald als ik het artikel goed begrijp. Als het niet de bedoeling was, kan men dus een takedown verzoek indienen en moet hij het offline halen. Doet hij dat “at first notice”, dan is er hoogstwaarschijnlijk weinig aan de hand en lijkt hij inderdaad prima te kunnen voldoen aan de DMCA... Ik neem aan dat het niet toegestaan is dit zomaar te repliceren en te publiceren, dus ik gok dat hij heel veel verzoekjes gaat krijgen.

Maar... Dat is als de DMCA van toepassing is. Dat is een Amerikaanse wet en dit is een meneer die niet Amerikaans is noch in Amerika woont; dus dan is de vraag in hoeverre die hele DMCA ook maar iets boeit. :+ Zal mede afhangen van waar die server gehost staat.

[Reactie gewijzigd door WhatsappHack op 28 juli 2020 12:14]

De safe harbor regeling in de DMCA is echter bedoelt voor OSP's (Online Service Providers), niet voor de uploaders zelf.
The DMCA’s solution: copyright law would treat online service providers
(“OSPs”) as innocent middle-men in the underlying disputes between copyright
holders and users who posted infringing content – provided the OSPs met certain conditions.

https://assets.fenwick.co...wickDocuments/DMCA-QA.pdf
Daarnaast stond de code niet op GitHub maar op zijn eigen GitLab.
GitLab is een service die heel erg lijkt op GitHub, alleen is het bij GitLab mogelijk om deze zelf te hosten. (vergelijkbaar met hoe Wordpress werkt) Dit is wat Kottmann had gedaan; hij was dus niet alleen de uploader, hij was ook de host.
Ja en? Dat maakt je nog steeds geen OSP. Nogmaals, de safe harbor uitzondering beschermt je als provider tegen claims als gebruikers iets uploaden. Zelfs als hij als provider gezien wordt beschermt dat hem dus niet tegen claims als gebruiker, wat hij in dit geval ook is.
Safe harbor is dus niet van toepassing in deze.
Ja, dat zeg ik dus. Mijn comment was een ondersteuning van jouw argument; Kottmann gaat op beide manieren de fout in.
Vraag is of hij er goed over heeft nagedacht. DCMA beschermd GitHub, als GitHub maar reageert op Notice-and-takedown requests, maar ik twijfel heel erg of het je beschermd als je als uploader willens en wetens (slecht beveiligd) coprighted materiaal bewust publiek zet met de mededeling "meld het maar als het weg moet".
Ik ben het met je eens dat het verschil maakt of hij zelf dingen verwijderd of dat het platform het doet.
Als het door Gitlab wordt gedaan dan zie ik weinig verschil met wat Youtube doet.
Dan moet hij er ook niet handmatig naar kijken. Want bij een handmatige beoordeling kan je een fout maken.
Dit past goed bij pogen om via scripts credentials er uit te halen.
Want bij een handmatige beoordeling kan je een fout maken.
Bij gescripte beoordeling worden juist alleen maar meer fouten gemaakt. Vraag maar aan Youtubers
Ik heb het vanochtend niet goed uitgedrukt. Het essentiële voordeel van een automatische beoordeling is dat je erdoor als partij niet verantwoordelijk bent voor een handmatige fout.

Je hebt als partij nog geen keuze gemaakt of iets legitiem of niet legitiem is. Beoordeel je het handmatig dan doe je dat wel. Daar hangt jouw bescherming onder de DMCA van af.
Tsja dat maakt sws niet heel veel uit. Hij heeft de keuze immers al gemaakt door het online te zetten. Enige wat DMCA verzoek nog doet is het schriftelijk maken van bezwaar. Ik denk niet dat er überhaupt snel op gereageerd zal worden en dat inhoudelijk het toch snel richting "laten staan" gaat.
Bij DMCA ben je als partij die de content verspreid voor zover ik weet aansprakelijk als je een verkeerd oordeel doet.

Er zit daarom een enorme bias naar goedkeuren van verzoek tot takedown in (als je de juridische risicos niet wilt lopen)
I know. Daarom is youtube zo’n drama op dit moment. In een geval als dit is het kwaad natuurlijk allang geschied. Dat is dan weer de grap.

Een gitlab repository is natuurlijk bedoelt om te clonen. Dat is dan ook allang gedaan door heel veel mensen voordat er ook maar 1 DMCA takedown verzoek ingestuurd kan worden. Anders dan bij YT ga je dit dus nooooit meer offline krijgen.

De beste man kan echter waarschijnlijk zeer goed onderbouwen wat ie aan het doen is dus zul je met een goede case moeten komen. Alleen zeggen hee dit is van mij dus copyright zal ie ws niet snel in meegaan.
Ik zou er niet zonder meer vanuit gaan dat hij strafbaar bezig is. Dat zal vooral afhangen van hoe hij de broncode heeft verkregen. De broncode zelf geeft kennelijk aanleiding om een publiekelijk belang te vermoeden. Kottman noemt het zelf "scary code" en hij vervult dus in feite de rol van een klokkenluider door het openbaar te maken, al ben je daarmee niet automatisch gevrijwaard van schuld. Dat hij takedownverzoeken honoreert maakt het wel minder waarschijnlijk dat het tot een rechtszaak komt.

[Reactie gewijzigd door sampoo op 28 juli 2020 10:36]

Als hij niet aangeeft per repository wat er dan precies scary aan is dan is die rol als klokkenluider wel heel ver gezocht. Helemaal omdat hij niet alleen de enge delen maar de hele repo deelt. Als jij bij iemand die zijn deur niet op slot heeft gedaan naar binnen wandelt en daar stapels wiet vindt dan is er ook nogal onderscheid tussen dat stuk informatie online posten of foto's van het hele hebben en houwen van die persoon inclusief adresgegevens en een kopie van de huissleutel delen. En in beide gevallen ben je nog steeds strafbaar wegens inbraak en/of huisvredebreuk.
Als hij nergens binnen is gewandeld maar hij de informatie aangereikt heeft gekregen dan geeft dat al een heel ander beeld. Hij heeft 'scary code' gevonden, maar het is onduidelijk of er niet nog veel meer te vinden is. Je kan je afvragen of de hele repo delen opweegt tegenover de mogelijke bezwaren maar hij vond het kennelijk nodig. Ik kan niet inschatten of dat het geval is. Het verdient misschien niet de schoonheidsprijs maar hij heeft zelf enige moeite gedaan om misbruik te beperken door hardgecodeerde wachtwoorden te verwijderen en aan alle takedownverzoeken te voldoen.

Hij begeeft zich vast en zeker in grijs gebied en ik zal ook niet uitsluiten dat het strafbaar is, maar ik ben er alleen niet zo zeker van dat het tot een rechtszaak komt al zou dat het geval zijn.
Uit de bron:
Nevertheless, the developer told us that there are more companies with misconfigured devops tools exposing source code. Furthermore, they are exploring servers running SonarQube, an open-source platform for automated code auditing and static analysis to uncover bugs and security vulnerabilities.
Zelf actief op onderzoek uitgaan geeft al aan dat hij de informatie niet aangereikt heeft gekregen.

Overigens is (willen) klokkenluiden nog geen vrijbrief om auteursrechtelijk beschermd materiaal te mogen publiceren. Vraag maar aan Manning en Assange.
Manning en Assange betrof geclassificeerde informatie. Dat is strafrechtelijk van een hele andere categorie. dan auteursrecht.
Zoals iemand anders al zei heeft hij wel degelijk zelf ingebroken in die systemen. Daarbij heeft hij bedrijfsgeheimen gestolen, bestudeerd en gepubliceerd (al dan niet na modificatie, waarbij je maar moet hopen dat hij écht alle wachtwoorden heeft gevonden). Er staat hier verdomd weinig ter discussie, te meer omdat hij vóór de onrechtmatige toegangsverschaffing niet heeft kunnen weten óf er daadwerkelijk "enge" code in stond. Dus een rechter gaat hier écht wel korte metten mee maken. Dit is geen grijs gebied, dit is zo zwart als het maar kan.
Het verdient misschien niet de schoonheidsprijs maar hij heeft zelf enige moeite gedaan om misbruik te beperken door hardgecodeerde wachtwoorden te verwijderen en aan alle takedownverzoeken te voldoen.
Zo werkt het niet. Als ik nu alle films uit het MCU ga publiceren met een berichtje erbij "lieve Marvel, als dit niet mag, laat het dan maar even weten en ik haal het meteen weg" dan ben ik nog steeds strafbaar. Als deze lutser écht misbruik had willen beperken en misstanden had willen aankaarten dan was hij naar een journalist gestap, had hij melding bij de politie gemaakt of had hij in het uiterste geval alleen die stukjes uit de code die écht niet kunnen gepubliceerd. Hij heeft echt op alle vlakken de foute keuze gemaakt.
Voor de software van financiële instellingen ben ik het met je eens. Maar hoe is hij klokkenluider door code te publiceren van N64 games en Mineplex (Minecraft community)?

Hij is beveiligingsonderzoeker, dus hij had best eerst de code mogen onderzoeken op of het scary is en dan inderdaad openbaar maken. In plaats van gewoon alles wat hij vind open en bloot gooien.
tja, wat noem je 'scary code'? als het code is waarvan jij vindt dat het slecht is, wil nog niet zeggen dat het 'scary code' is. Het kan ook zijn dat de makers een hele andere gedachtengang hebben dan jij, en voor hun het dus wel 'clean code' is. Zoveel mensen, zoveel meningen. IMHO is alles opsplitsen in de kleinste functies die je maar kunt bedenken ook geen goede manier van werken en maakt het soms zelfs onleesbaarder (hele lange lappen code is natuurlijk dan weer het andere uiteinde).
Denk het juist niet, weinig declarabele uren als iets een slam-dunk is :+
Nou hebben dat soort bedrijven gelukkig advocaten op de loonlijst staan. :P
Maar die gaan meestal over de eigen contracten en dergelijke. Voor zaken die ze aanspannen tegen derde gaat men vaak op zoek naar externe advocaten gespecialiseerd in het type zaak dat men wenst aan te spannen.
Hangt ervan af. GitHub heeft als ik me niet vergis voorwaarden voor de gratis versie vs commerciële versie. De gratis versie is voor open-source projecten en is openbaar, terwijl de commerciële versie private repositories heeft.
Vermoedelijk bedoelt hij met ‘verkeerd geconfigureerd’ dat ze bepaalde code per ongeluk op de open-source GitHub hebben staan. Mogelijk is het een kopie van de private repository of een van de eerste revisies tijdens het instellen van GitHub.
Kottmann kijkt daarbij bijvoorbeeld naar servers waarop het code-auditingplatform SonarQube draait.
Zit er dan een beveiligingslek in SonarQube of laat deze dienst het (te) makkelijk toe om zaken niet goed te configureren?
Ik denk dat die SonarQube's heel veel (ook) met default username/passwoord draait, net zoals grafana ...
Sonarqube server heeft standaard analyse resultaten openbaar staan. Als dit niet of slecht geconfigureerd is kan iedereen daar dus bij.
De credentials van SonarQube is standaard admin/admin en geeft daar ook geen waachuwing van weer, wat best ironisch is gezien de tool o.a. gebruikt wordt voor het vinden van security bugs of hardcoded credentials...
Kottmann heeft het zelf over slechte configuratie, al deze repo's zijn niet gehackt of gestolen maar van openbare info (al dan niet bewust)
Waarom hangt een sonarqube server zonder SSO/credentials direct aan het internet? Als het om interne projecten gaat is een internetverbinding sws al raar. Laat staan dat je hjier niet voor hoeft in te loggen.

Met OSS software snap ik het wel. Daarmee kun je met sonarcloud basically alle projecten van anderen zien. Je moet dus nooit private repo's in de publieke sonarcloud hangen.
In sommige repo's waren hardcoded wachtwoorden en authenticatiemiddelen te vinden. Die credentials zijn door Kottmann naar eigen zeggen zoveel mogelijk weggehaald, al is dat waarschijnlijk niet overal het geval.
Toch compleet onverantwoord, zet dan enkel bestandnamen ed online om hetzelfde aan te tonen .

Ook is "slechte beveiliging" niet hetzelfde als "gevonden". Het is niet omdat je deur niet op slot is ik plots een TV in je huis kan "vinden" .
Als je je TV aan de kant van de openbare weg zet is je verdediging een stuk minder. SonarQube publiek aanbieden is vergelijkbaar (alhoewel analoge analogieen in de digitale wereld altijd ergens mank gaan).
Nevertheless, the developer told us that there are more companies with misconfigured devops tools exposing source code. Furthermore, they are exploring servers running SonarQube, an open-source platform for automated code auditing and static analysis to uncover bugs and security vulnerabilities.

Kottmann believes there are thousands of companies that expose proprietary code by failing to properly secure SonarQube installations.
Dit is het equivalent van een deur niet op slot doen.
Of van je spullen aan de openbare weg (=internet) zetten. Zoals gezegd analogieën werken slecht.
Neen, dit is afgeschermd en iemand die daar geen recht op heeft komt in jouw omgeving. Dat is echt niet de openbare weg, dat je voordeur uitgeeft op de openbare weg geeft niemand het recht even te proberen of je deur opengaat.
Als het afgeschermd was kun je er niet bij. Deze servers waren via het internet te bereiken zonder hacks oid. Net zoals je Wordpress site. Het verschil met een sonarqube site met publieke toegang en een Wordpress site met blogpost ontgaat mij een beetje.
Net zoals bij iemand binnenlopen waar de deur niet op slot is.
Dat is strafbaar. Is het ook strafbaar om naar jouw publieke site te gaan en de blogpost te lezen? Nee. Wat is het verschil met deze 'hack' dan precies? Staat een server met publieke toegang aan het internet. Ik zou hier niet echt computervredebreuk in zien. Ik praat niet recht dat men de data kopieert (dat is namelijk waarschijnlijk niet toegestaan als er iets van een licentie genoemd wordt). Maar om dit hacken te noemen gaat mij een paar straten te ver.
Had hij recht om hierop te komen? Neen. Dat is het verschil met een publieke toegang en niet.
Net zoals het geen probleem is dat ik op cafe ga is het wel een probleem als ik bij jou thuis in de zetel ga omdat ik een kopie van je sleutel heb.

Een deel van de data die hij nam was afgescherm en niet publiekelijk toegankelijk en toch heeft hij zich toegang verschaft (of dit makkelijk of moeilijk ging is niet belangrijk) en data gekopieerd en nadien openbaar gemaakt.
proberen mag wel.. naar binnengaan is een ander verhaal.. en dat wat binnen staat vervolgens publiek zetten is weer heel wat anders.

Als de deur opengaat, moet je waarschuwen. Als je naar binnengaat en de boel bekijkt en ook die onderdelen niet door de beugel kunnen, is een waarschuwing ook op zijn plek al begint dat al heel grijs te worden. Zaken meenemen en publiek maken is een stap die ik echt niet meer OK kan vinden.
Als die TV nog steeds in mijn voortuin staat, blijft het diefstal.

Zelfs als een Adobe of Microsoft de broncode zelf publiceert, mag je het nog steeds niet zomaar kopieren naar je eigen site. Copyright bechermt ook dingen dingen die publiek staan en technisch makkelijk te kopieren zijn.
Neen. Het standaard user-id/wachtwoord van SonarQube schijnt Admin/Admin te zijn. Hoe je het wendt of keert, het is een sleutel. De deur zit op slot.

Dat de beveiliging knullig is; dat bedrijven beter zouden (moeten) weten; dat maakt allemaal niets uit.

Als je die combi gebruikt op een repo waar je geen toegang toe zou mogen hebben dan ben je gewoon aan het hacken: bewust bezig een beveiliging te omzeilen.
De vergelijking is: je raakt binnen zonder veel moeite maar dit is niet zomaar openbaar terrein: je moet effectief moeite doen om binnen te geraken.

En idd dit is gewoon hacking, dat hij dan vervolgens die code meenam en publiek maakte is imho het nog een pak erger maken.
Nee. Sonarqube heeft anoniem alleen-lezen toegang. Hacken is niet nodig.
SonarQube kun je ook anoniem bezoeken. Je kunt dan alleen maar inzien (maar daar is het ook voor bedoeld). Admin/admin is als je ook iets wilt wijzigen.
De bad guys hebben de code al.
De good guys kunnen de code nu ook gebruiken.
Prima dat dit gebeurt, (en ook prima dat het inmiddels weer offline is overigens). Als ik lees dat er fintech's bijzitten en zelfs banken toont het maar weer eens des te meer aan hoe laks dit soort toko's om gaan met potentieel gevoelige gegevens waar ook 'wij' de dupe van zouden kunnen worden als er 'partijen' zijn die met minder goede bedoelingen deze code 'gebruiken'

Door dit publiek te maken komt er hopelijk bij de 'getroffen' partijen weer wat meer aandacht voor beveiliging.

Overigens wil het helemaal niet zeggen dat hij de enige is die deze code heeft kunnen bemachtigen, hij is alleen maar degene die het ook publiek heeft gemaakt waardoor het aandacht heeft gekregen.
Niet alles is offline. De Nintendo-data staat nog op een alternatieve locatie van Kottman. Waarom hij die data ook op een alternatieve plek online heeft gezet is me een vraag.
Ook al waren ze soms zo in te zien, dan nog lijkt het me illegaal om ze dan ergens anders online te zetten.
Idd, recht op herpublicatie is geen automatisme, zeker niet als het om abusievelijk opengestelde repo's gaat. Beetje onnozel.
Idd. En een afbeelding van de repo's en/of bestanden zou al voldoende zijn om een probleem aan te kaarten. Waarom dan ook de info dumpen, dat lijkt me echt strafbaar.
Dat lijkt mij ook ja. Een repo maken met een overzicht van gevonden repo's en bestandsnamen in die repos's lijken me wel genoeg als bewijs dat je ze hebt.
Kan iemand mij vertellen wat het doel van deze actie had moeten zijn? 'Legacy' projecten beschikbaar houden? Ik sluit mij aan bij @Blokker_1999 dat op voorhand om toestemming vragen voor de publicatie een betere zet had geweest.
Ik ben benieuwd naar de reacties van de bedrijven. Ik verwacht een hoop juridisch gedonder en dat de meeste bedrijven meer geld gaan uitgeven aan advocaten om mee te blaffen dan aan programmeurs om de problemen op te lossen.

Misschien valt het mee, want wie z'n code snel offline haalt suggereert dat er iets niet in orde is.
Nu is dat niet zo'n hele grote verrassing, foutloze code bestaat niet, maar je zou ook kunnen zeggen "kijk maar, wij zijn trots op ons werk en hebben niks te verbergen".

Het hoeft allemaal geen ramp te zijn als die code in orde is. Gitlab staat vol met miljoenen regels code van duizenden programmeurs die hun werk graa laten zien. Dat gaat ook meestal goed.

[Reactie gewijzigd door CAPSLOCK2000 op 28 juli 2020 10:26]

En hoe zit dat dan met bepaalde gepatenteerde code? Als er code tussen zit waar niet per se iets mis mee is, maar wat ook niet gedeeld hoeft te worden met de rest van de wereld? Alleen maar omdat een server verkeerd geconfigureerd stond, geeft je geen vrijbrief om te gaan rondneuzen. Precies hetzelfde als de voordeur openlaten van je huis, dat geeft je ook niet het recht om binnen te gaan als het huis niet van jou is.

Ik denk niet dat het per se een slecht signaal is als een bedrijf snel haar code weg wilt halen.

[Reactie gewijzigd door OmgItsKoen op 28 juli 2020 12:17]

Geïnfecteerde webpagina gedetecteerd
nu

Functie:
Preventie van online dreigingen

We hebben deze gevaarlijke pagina voor uw bescherming geblokkeerd:
https://git.rip/exconfidential/ilendx/ilendx
Gevaarlijke pagina's proberen software te installeren die schadelijk kan zijn voor uw apparaat, persoonlijke gegevens kan verzamelen en zonder uw toestemming handelingen kan stellen

lekker staat gewoon virus linjk in dit artikel................
@TheVivaldi klopt bovenstaande reactie van @well0549 ? Dat zou namelijk zorgelijk zijn.

[Reactie gewijzigd door dedicated1 op 29 juli 2020 09:18]

Ik weet niet wat je precies bedoelt? Ik heb het artikel niet geschreven; Tijs Hofmans heeft het geschreven.

[Reactie gewijzigd door TheVivaldi op 29 juli 2020 16:38]

Bitdefender ging op rood


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True