Hlavní navigace

Docker Hub úspěšně napaden, unikla data 190 000 uživatelů

Sdílet

Petr Krčmář 27. 4. 2019
Docker logo

Docker oznámil, že došlo k úspěšnému průniku do databáze Docker Hub, odkud si útočníci odnesli data celkem 190 000 uživatelů. Jde o uživatelská jména, hašovaná hesla a tokeny pro přístup k GitHubu a Bitbucketu. Tokeny umožňují automaticky v repozitářích sestavovat obrazy, což může útočník zneužít k modifikaci cizích aplikací.

Docker se o průniku dozvěděl ve čtvrtek 25. dubna a velmi rychle informoval ohrožené uživatele e-mailem. Zároveň byla revokována potenciálně ohrožená hesla a zmíněné tokeny. Zástupci firmy tvrdí, že se únik týká jen asi 5 % uživatelů, přesto jde v absolutních číslech o velký počet lidí.

Vývojáři využívající funkci autobuild v Docker Hubu by měli zkontrolovat své repozitáře a prověřit, zda se v nich nenachází žádné neautorizované změny. Staré heslo už by zároveň neměli používat na jiných službách, protože mohlo být kompromitováno.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 27. 4. 2019 21:52

    Miroslav Šilhavý

    Když se stane v letectví nebo na železnici průšvih (a nemusí přitom být ani mrtví), vyšetřují to úřady. Výsledkem je veřejná zpráva, která má za následek, že výrobci i provozovatelé jsou pod veřejnou kontrolou.

    Digitální průšvihy ovlivňují ještě víc životů, než o tři metry projeté návěstidlo nebo přistání bez vztlakových klapek. Přesto není žádný úřad, který by to vyšetřoval a veřejnost se obvykle nedoví, jestli šlo o technickou závadu, o selhání jednotlivce, nebo celkově špatné zabezpečení provozu.

    Uvítal bych vědět, co za takovými úniky stojí - provozovatel by se pak daleko víc snažil, aby se nic takového neopakovalo.

  • 28. 4. 2019 9:43

    bez přezdívky

    Nedramatizoval bych to tak. Neni to davno co DockerHub nabizel obrazy s vlozenym backdoorem. Motivace ziskani pristupu k casto verejne stahovanym obrazum je dost lakava.

  • 28. 4. 2019 14:40

    Cabrón

    Od průšvihu na železnici, v letectví nebo třeba ve stavebnictví je poměrně zřejmá kauzální linka k ohrožení lidí na životě, proto je důraz na vyšetření obrovský. Únik "pár" hesel z nějakého Docker čehosi těžko můžete srovnávat s mimořádností přistávajícího letadla.

  • 28. 4. 2019 18:00

    Miroslav Šilhavý

    Tak především, mimořádných událostí na železnici a v letectví je daleko víc, než jen ty, při kterých umírají lidé. Lidé neumírají tak moc, i právě protože se vše poměrně důkladně prošetřuje.

    No a za druhé, software je mnohdy součástí i systémů, kde o životy jde. Nemusí to být zrovna jaderná elektrárna. Představte si, co všechno se může přihodit v provozech potravinářských, farmaceutických, ... Nevím, třeba by stačilo u vymývání vratných flašek od piva nastavit program aby méně vypláchl lahev vodou po vyčištění louhem? Maličko změnit recepturu léku? Nenachlorovat vodu ve vodárně?

    A jen pro srovnání, v letectví je celosvětově několik set mrtvých (cca 500?). Ano, nehodu vlaku či letadla doprovází velká rána, stoupající kouř, hasiči, prostě je novinářský špektákl. V důsledku digitálnich průšvihů nevíme kolik je zničených a zmařených životů, ale rozhodně 500 není nedostižné číslo.

    Softwarová bezpečnost se dnes už stává nadřazenou oblastí a nevidím důvod čekat na to, až mrtví opravdu budou.

  • 28. 4. 2019 22:43

    bez přezdívky

    K cemu to drama? Bavime se o tom samem? DockerHub, podobne jako GitHub nabizi verejny obsah, kde Vam "nikdo neruci za nic". Staci si precist podminky. To, ze na tom nekdo stavi, je jen jeho problem.

  • 29. 4. 2019 4:51

    Miroslav Šilhavý

    To, že je něco zdarma nebo veřejné, Vás nemůže zprostit odpovědnosti.

    Představte si třeba nadšence do aut, který by po večerech zdarma opravoval známým auta: kdyby jednoho dne špatně namontoval brzdy a někdo přišel o život, půjde před soud naprosto nehledě na to, jestli to dělal zdarma nebo za úplatu. Nebo třeba obchod či trhovec, který by rozdával zdarma závadné (prošlé) potraviny. Na něj by skočila hygiena a kdyby se někdo přiotrávil, taky skončí před soudem.

    Do důsledku, každý autor viru, malwaru by byl beztrestný, protože i on přece svůj kus "prográmku" dává zadarmo a za nic neručí, ne? :-)

    Takže podmínky typu "nikdo neručí za nic" jsou samozřejmě v mnoha ohledech neplatné, a co se týče bezpečnosti, je čas i přitvdit.

  • 29. 4. 2019 8:58

    Filip Jirsák

    Docker Hub i GitHub mají především privátní úložiště pro firmy, to je to, co je placené a na čem vydělávají. Ta veřejná část, která je zdarma, je jenom taková reklama na jejich placené služby, ani Microsoft ani Docker to neprovozují jako charitu.

  • 29. 4. 2019 8:55

    Filip Jirsák

    To, co se prošetřuje na železnici a v letectví, jsou jen typy událostí, kde potenciálně jde o životy. To, že v daném konkrétním případě shodou okolností o životy nešlo, se zjistí právě až během toho vyšetřování, kdy se prozkoumají ty okolnosti. Pokud unikne heslo výpravčího do systému na objednávání stravenek, tak to drážní inspekce opravdu nevyšetřuje.

    Napsal jste to totiž nepřesně, a to na obou stranách. Ono se mluví o mimořádných událostech na železnici a v letectví, ale to nejsou všechny netypické události u všech firem, které mají něco společného s železnicí nebo letectvím. Vyšetřují se ty události, které mohou mít vliv na bezpečnost provozu. Stejně tak je nesmyslné vyšetřovat stejným způsobem všechny mimořádné události v IT. A takové, které mají dopad na bezpečnost něčeho, se vyšetřují úplně stejně, jako kdyby to nebylo IT. Takže na železnici při události, které se zúčastnil i traťový zabezpečovač, se vyšetřuje i funkce toho zabezpečovače, teď u Boingu je hlavní podezřelý software MCAS a samozřejmě se také vyšetřuje. A pokud by se přihodilo něco v potravinářských nebo farmaceutických provozech, vyšetřovalo by se to úplně stejně, ať by v tom IT hrálo nebo nehrálo roli.

    Software je jenom jeden z mnoha nástrojů, není důvod se k němu chovat nějak jinak jenom proto, že je to nástroj relativně nový.

  • 29. 4. 2019 15:08

    Miroslav Šilhavý

    Stejně tak je nesmyslné vyšetřovat stejným způsobem všechny mimořádné události v IT. A takové, které mají dopad na bezpečnost něčeho, se vyšetřují úplně stejně, jako kdyby to nebylo IT.

    Posouzení závažnosti a dopadů by mělo být na konzumentovi služby / software. Já zde mluvím hlavně o tom, že např. Docker Hub dnes není ničím nucen spolupracovat se svými zákazníky - tedy oběťmi. Pro Docker Hub, ale i pro další je nejlepší strategií pasivní rezistence, nic nepřiznat, nic nesdělit. A díky tomu zde chybí jakýkoliv tlak, jakákoliv smysluplná kontrola stavu.

    Samozřejmě, můžete na to nahlížet tak, že nikdo Vás nenutí jejich služby využívat. To máte pravdu, ale ostatně jezdit vlakem a létat letadlem také nikdo nikoho nemůže nutit, že. Společnost se vyvinula do určitého stupně, a to, co ještě před 20 lety šlo odbýt smluvní volností stran, je dnes už skutečná nevyhnutelnost a ochrana chybí.

  • 1. 5. 2019 16:59

    Filip Jirsák

    Já zde mluvím hlavně o tom, že např. Docker Hub dnes není ničím nucen spolupracovat se svými zákazníky - tedy oběťmi. Pro Docker Hub, ale i pro další je nejlepší strategií pasivní rezistence, nic nepřiznat, nic nesdělit.
    Na to jste přišel jak? Proč to podle vás zveřejnili, když si myslíte, že to není nejlepší strategie? Proč to zveřejňují ostatní?

    A díky tomu zde chybí jakýkoliv tlak, jakákoliv smysluplná kontrola stavu.
    Za prvé netuším, jak to souvisí s předchozím, za druhé si nemyslím, že by zde chyběl jakýkoli tlak, a za třetí smysluplná kontrola stavu se dělá tam, kde je potřeba.

    Společnost se vyvinula do určitého stupně, a to, co ještě před 20 lety šlo odbýt smluvní volností stran, je dnes už skutečná nevyhnutelnost a ochrana chybí.
    Společnost něco chrání tam, kde hrozí vážné škody. Když dojde k „železniční nehodě“ na vašem domácím modelu železnice, drážní inspekce to vyšetřovat nebude. Docker Hub je z hlediska zabezpečení asi tak stejně zajímavý, jako ten domácí model. Tam, kde jde o něco důležitého, ochranu máme – např. GDPR nebo zákon o kybernetické bezpečnosti.

  • 29. 4. 2019 8:39

    jan.str

    Myslim, ze postesk je myslen obecne, nejde jen o DockerHub nebo GitHub. A celkem ho chapu. Ono na ruznych sluzbach maji dnes lide napr. postavene zivobyti, nemusi jit hned o mrtvoly...